Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 8 replies
  • Subscribers 8 subscribers
  • Views 11759 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Antivirus for Linux and SAVDI with Amavis

Markus Heinze

Hello,

 

I have successfully installed and configured Sophos Antivirus for Linux and SAVDI. Both were integrated into amavisd-new. The tests with infected sample mails were successful, both scanners, Clamd and Sophos SSSP recognized the patterns. Next I tried the forwarding of infected mails, Clamd recognized everything as usual, Sophos not a single mail. Further tests showed that Sophos does not recognize mails as soon as a prepared mail content is integrated before the virus, A header of this form is enough:

 

-------- original message --------

Subject: Fwd: Test Date: 2018-03-09 09:17

From: xxxx@abc.de

To: yyy@fgh.net

 

to break the virus protection. Is this desirable or are there further configuration settings that take this into account? In this condition, this product is not useful.

 

Kind regards

M.Heinze

 

--------------------------------------------

 

Hallo

ich habe Sophos Antivirus für Linux und SAVDI erfolgreich installiert und konfiguriert. Beides wurde in amavisd-new eingebunden. Die Test mit infizierten Beispielmails verliefen erfolgreich, beide Scanner, Clamd und Sophos-SSSP erkannten die Muster.
Weitergehend probierte ich das weiterleiten infizierter Mails aus, Clamd erkannte alles wie gewohnt, Sophos nicht eine einzige Mail. Weitere Tests ergaben das Sophos die Mails nicht erkennt sobald eine präparierter Mailinhalt vor dem Virus integriert wird,
Es reicht ein Header dieser Form:

-------- Originalnachricht --------
Betreff: Fwd: Test
Datum: 2018-03-09 09:17
Von: xxxx@abc.de
An: yyy@fgh.net

um den Virenschutz auszuhebeln. Ist dies erwünscht oder gibt es weitergehende Konfigurationseinstellungen die dies berücksichtigen?
In diesem Zustand ist dieses Produkt nicht zu gebrauchen.

mfg
M.Heinze

 



This thread was automatically locked due to age.
Parents
  • 0

    update:

    I have carried out further tests. It does not seem to have anything to do with e-mail forwarding. Rather, Sophos ignores all test signatures that are not at the beginning of the e-mail. Subsequent text does not bother. I can also send such mails via a UTM.
    Attachments as well as packed and multiply packed files are reliably detected.
    Can someone confirm this behavior, is this possibly so wanted?

    Kind regards
    M.Heinze

     

    ------------------------------------------------------------------------------------------------------

    update:

    ich habe weiterführende Tests durchgeführt. Es hat offenbar nichts mit der Weiterleitung von E-Mails zu tun. Vielmehr ignoriert Sophos alle Testsignaturen die nicht am Anfang der E-Mail stehen. Nachfolgender Text stört nicht. Ich kann solche Mails auch über eine UTM versenden.
    Attachments sowie gepackte und mehrfach gepackte Dateien werden zuverlässig erkannt.
    Kann jemand dieses Verhalten bestätigen, ist dies ggf. so gewollt?

    mfg
    M.Heinze

  • 0 in reply to Markus Heinze

    Hello Markus Heinze,

    alle Testsignaturen - all test signatures
    welche waren das?

    die nicht am Anfang der E-Mail stehen
    grundsätzlich geht es ja "Viren", allgemeiner gesagt um Schadcode. In einer E-Mail kann das entweder ein HTML-Body oder ein Attachment sein. nicht am Anfang und nachfolgender Text klingt eher nach Einbetten "beliebiger" Strings in einer Plain-Text Mail.

    Christian 

  • 0 in reply to QC

    QC said:

    Hello Markus Heinze,

    alle Testsignaturen - all test signatures
    welche waren das?


     

    Die üblichen verdächtigen, EICAR und clamav-testfiles.

    Wie gesagt es kann ja ein ganz normales Verhalten sein, micht stört es aber ein wenig da die meisten Mails hier Plaintext/HTML sind. Da erwarte ich das der Text in Gänze gescannt wird, auch bei EICAR & Co.  um 'Sicher' (Sicher im Sinne, man hat getan was ging) zu sein das die Engine richtig läuft.

    Es hat einen fahlen Beigeschmack wenn schon die Testsachen nicht richtig durchlaufen, auch wenn es kein richtiger 'Schadcode' ist

     

    lg

  • +1 in reply to Markus Heinze

    Hallo Markus Heinze,

    Da erwarte ich das der Text in Gänze gescannt wird
    das habe ich vermutet. Text ist Text, ein File ohne Struktur dessen Anfang beliebiger Text ist kann schlicht und einfach nicht ausgeführt werden. Was dahinter kommt ist vollkommen gleichgültig. Der Scanner hört auf, wenn es - außer vielleicht einem Teststring - nicht zu finden gibt. Dass ein String in einem File gefunden werden kann, beweist je nach Sichtweise viel oder fast nichts. Viel - die Konfiguration stimmt, die Übergabe funktioniert, der Scanner ist aktiv, die Benachrichtigung kommt wie erwartet. Fast nichts - Obfuscation, Self-Encryption, richtiges Erkennen diverser File-Formate, die Funktion der Scanner-internen Finite State Machine, korrektes Laden aller Definitionen,  Umfang und Vollständigkeit der Definitionen werden alle nicht getestet.

    Bezüglich EICAR (gekürztes Zitat): The file is a legitimate DOS program - also tatsächlich ausführbar und damit potentiell schädlich, muss aber auch den Regeln für ausführbare Programme entsprechen -  Any anti-virus product [...] should detect it in any file providing that the file starts with the following 68 characters [...]. Natürlich steht es jedem hersteller frei, seine eigenen Test zu kreieren - es ist aber nicht gesagt, dass (die "statischen Scanner" der) andere(n) Hersteller diese Testfiles auch zwingend erkennen müssen - das betrifft speziell den Umgang mit Containern und Archiven.

    Christian 

  • 0 in reply to QC

    Dann scheint dies wohl ein 'normales' Verhalten zu sein, wenngleich es von anderen Engines abweicht. Ob das immer so gut ist Text nich so genau zu betrachten ist in meinen Augen fraglich bei der Masse an Mails die automatisch verarbeitet werden, wie leicht können da Puffer überlaufen und undefinierte Zustände generieren, sicher im Grunde ein Problem der verarbeitenden Software andererseits sollte eine Sicherheitssoftware dafür sorgen, das wenn dies passiert, wenigstens kein Schadcode bei ist. Diesen Anspruch hab ich nunmal, und das es geht zeigen ja andere, damit mein ich durchaus nicht kostenfreie Lösungen.

    Ansonsten muss ich sagen ist Sophos+SAVDI nicht schlecht umgesetzt, es ist mit nur wenigen Anpassungen zu installieren und relativ flott zu integrieren. Mal schauen wie es unter Last aussieht, aber für den Heimbereich denk ich eine Bereicherung.

     

    lg

  • 0 in reply to Markus Heinze

    Hallo Markus Heinze,

    dass [ein "Etwas" an beliebiger Stelle finden] geht
    die Frage ist, wie relevant das ist. Das Generieren (brauchbarer) undefinierter Zustände ist nicht so einfach - dass jemand das schafft, ohne Verdacht zu erregen und dann noch die "Nutzlast" gut sichtbar angefügt ist, ist ziemlich unwahrscheinlich. Die Scanner entdecken buchstäblich Millionen von Bedrohungen, immer nach allen an jeder Stelle zu suchen ist praktisch unmöglich, selbst wenn optimiert einfach nur nach Strings oder Pattern optimal gesucht würde. So funktionieren Scanner nicht - und können auch nicht funktionieren.
    Das soll nicht heißen, dass die Testfiles (nur) Marketing-Gags sind - sie können durchaus dazu dienen, bestimmte Funktionen eines bestimmten Scanners zu überprüfen. Diese Überprüfungen sind allerdings sehr spezifisch und nicht sinnvoll allgemein anwendbar.

    Wäre AV so einfach, gäbe es analog zu den Exploit Kits und Frameworks entsprechende AV Kits wo sich jeder seinen perfekt angepassten Super-Scanner basteln könnte.

    Christian

Reply
  • 0 in reply to Markus Heinze

    Hallo Markus Heinze,

    dass [ein "Etwas" an beliebiger Stelle finden] geht
    die Frage ist, wie relevant das ist. Das Generieren (brauchbarer) undefinierter Zustände ist nicht so einfach - dass jemand das schafft, ohne Verdacht zu erregen und dann noch die "Nutzlast" gut sichtbar angefügt ist, ist ziemlich unwahrscheinlich. Die Scanner entdecken buchstäblich Millionen von Bedrohungen, immer nach allen an jeder Stelle zu suchen ist praktisch unmöglich, selbst wenn optimiert einfach nur nach Strings oder Pattern optimal gesucht würde. So funktionieren Scanner nicht - und können auch nicht funktionieren.
    Das soll nicht heißen, dass die Testfiles (nur) Marketing-Gags sind - sie können durchaus dazu dienen, bestimmte Funktionen eines bestimmten Scanners zu überprüfen. Diese Überprüfungen sind allerdings sehr spezifisch und nicht sinnvoll allgemein anwendbar.

    Wäre AV so einfach, gäbe es analog zu den Exploit Kits und Frameworks entsprechende AV Kits wo sich jeder seinen perfekt angepassten Super-Scanner basteln könnte.

    Christian

Children
Unfiltered HTML