Formatierungs-Inhalte einer MIME-Mail auf Textmuster untersuchen und diese blockieren

Aufgrund einer Apple-Mail Schwachstelle (Ursprünglichen Meldung von ZecOps.
Wurde nach einer Möglichkeit gesucht, Formatierungs-Inhalte einer MIME-Mail auf Textmuster zu durchsuchen und diese dann zu blockieren.

Wie ist dies mit der iQ.Suite realisierbar?

Mit iQ.Suite Wall

Wall-Advanced-Job im Modus MIME-Analyse

Im Text-Analyse-Modus muss man keine Konvertierung auswählen. Jedoch werden immer implizit die MIME-Transport-Kodierungen dekodiert. Im MIME-Analyse-Modus bleiben die Transportkodierungen so, wie sie sind.

Mit dem „Unicode Analyzer for Regular Expressions“ kann man nach Zeilenumbrüchen mit der Syntax \r\n suchen. Es sollte dabei aber beachtet werden, dass im Domino-System die MIME-Parts etwas umformatiert werden können und die Zeilenumbrüche u.U. an anderen Stellen landen.

Ein Teilmuster aus der “Indicators of Compromise“-Tabelle von https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/ ist in der Tat häufig anzutreffen: „AAAAAAAA“ passt auf sechs Base64-kodierte Nullbytes. Solche Nullbyte-Sequenzen findet man sehr oft in Anhängen.

Bei regulären Ausdrücken kann man ein UND mit kleinen Einschränkungen umsetzen: Ein Muster der Form „Teilmuster1.*Teilmuster2“ passt, wenn Teilmuster2 nach Teilmuster 1 vorkommt („.*“ passt auf eine beliebig lange Sequenz aus beliebigen Zeichen). Wenn nicht klar ist, in welcher Reihenfolge die Teilmuster vorkommen müssen, kann man einen zweiten regulären Ausdruck mit umgedrehter Reihenfolge angeben: “Teilmuster2.*Teilmuster1“.

Der Wall-Advanced-Job bietet nur die Möglichkeit, die komplette Mail (mit Headern, Body, Anhängen und sonstige Teile der Mail) auf MIME-Ebene zu analysieren.