[clamav-users] Heuristics.Phishing.Email.SpoofedDomain false positive desjardins.com and rbc.com

Mon Jun 13 21:06:11 UTC 2022

For now I have done that and it work !

echo "M:can01.safelinks.protection.outlook.com<http://can01.safelinks.protection.outlook.com>:www.desjardins.com<http://www.desjardins.com>" >> /var/lib/clamav/local.wdb
systemctl restart clamd

But it will be great if Desjardins rules are on the up-to-date definition like for some other bank

        Mathieu Morier,
Administrateur Internet / Network Administrator

Ce message est confidentiel et destiné uniquement aux destinataires dûment nommés. Il peut contenir de l'information couverte par le secret professionnel. Il est strictement défendu à toute personne qui n'est pas un destinataire dûment nommé de diffuser ce message ou d'en faire une copie. Si vous n'êtes pas un destinataire dûment nommé ou un employé ou mandataire chargé de livrer ce message à un destinataire dûment nommé, veuillez nous aviser sans tarder et supprimer ce message ainsi que toute copie qui peut en avoir été faite.

This message is confidential and intended only for the named recipients. It may contain information that is privileged. Any dissemination or copying of this message by anyone other than a named recipient is strictly prohibited. If you are not a named recipient or an employee or agent responsible for delivering this message to a named recipient, please notify us immediately, and permanently destroy this message and any copies you may have.

Le 13 juin 2022 à 16:25, Mathieu Morier via clamav-users <clamav-users at lists.clamav.net<mailto:clamav-users at lists.clamav.net>> a écrit :

Hi,

Look like many Canadian Banks are switching their corporate email to Office 365 ( Microsoft cloud ) and all the links in their email are then automatically change to https://can01.safelinks.protection.outlook.com<https://can01.safelinks.protection.outlook.com/> with a long string.

So all the links to desjardins.com<http://desjardins.com/> and now rbc.com<http://rbc.com/> hit the Heuristics.Phishing.Email.SpoofedDomain .

Can this rule be changed to allow the real domain of the bank + *.safelinks.protection.outlook.com<http://safelinks.protection.outlook.com/> ?

Then will have to trust Microsoft that Outlook.com<http://outlook.com/> user will not be able to pass fake bank websites by their service ?

Thanks,

Mathieu Morier,
Administrateur Internet / Network Administrator
mathieu.morier at sogetel.com<mailto:mathieu.morier at sogetel.com>

Ce message est confidentiel et destiné uniquement aux destinataires dûment nommés. Il peut contenir de l'information couverte par le secret professionnel. Il est strictement défendu à toute personne qui n'est pas un destinataire dûment nommé de diffuser ce message ou d'en faire une copie. Si vous n'êtes pas un destinataire dûment nommé ou un employé ou mandataire chargé de livrer ce message à un destinataire dûment nommé, veuillez nous aviser sans tarder et supprimer ce message ainsi que toute copie qui peut en avoir été faite.

This message is confidential and intended only for the named recipients. It may contain information that is privileged. Any dissemination or copying of this message by anyone other than a named recipient is strictly prohibited. If you are not a named recipient or an employee or agent responsible for delivering this message to a named recipient, please notify us immediately, and permanently destroy this message and any copies you may have.

_______________________________________________

clamav-users mailing list
clamav-users at lists.clamav.net<mailto:clamav-users at lists.clamav.net>
https://lists.clamav.net/mailman/listinfo/clamav-users

Help us build a comprehensive ClamAV guide:
https://github.com/Cisco-Talos/clamav-documentation

https://docs.clamav.net/#mailing-lists-and-chat

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <https://lists.clamav.net/pipermail/clamav-users/attachments/20220613/842edec9/attachment.htm>