Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 38 subscribers
  • Views 3075 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Probleme mit ISP und IMAP

fwuser
Hallo,

folgendes Problem:

Im Einsatz ist eine ASG120 mit Firmware 7.511.

Die user greifen mit Thunderbird, derzeit Version 8, auf IMAP-Mails des Providers Strato zu.

Soweit funktioniert(e) seit Jahren alles.

Seit letzten Donnerstag jedoch gab es gravierende Probleme, die schließlich dazu führten, dass ich in der Firewall das IPS komplett ausschalten mußte.

Die Probleme waren, dass die user keine Mails mehr öffnen, versenden oder abspeichern konnten. [:O]

Als Admin bekam ich Warnmeldungen der Firewall:

Intrusion Prevention Alert (Packet dropped)

An intrusion has been detected. The packet has been dropped automatically.

You can toggle this rule between "drop" and "alert only" in WebAdmin.

Message........: SHELLCODE base64 x86 NOOP
Details........: Snort ::
Time...........: 2012:02:10-11:56:49
Packet dropped.: yes
Priority.......: 1 (high)
Classification.: Executable code was detected IP protocol....: 6 (TCP)


Als source IP war der Mailprovider von Strato eingetragen, als destination der jeweilige client der versuchte die Mails abzurufen oder zu versenden.

Das Einzigste was bisher half leider, war das komplette Abschalte der IPS; nur "Software" half nicht.

Unter "Erweitert" sind 2 Regeln definiert bei Angriffschutz, da es ein ähnliches Problem vor längerer Zeit mal gab: 15851 und 16576 sind disabled

Frage: Sehe ich das Richtig, dass es ein fehlerhaftes Update seitens Astaro ist, das dieses plötzlich auftretende Problem verursacht?

Was kann man dagegen tun? Wann bekommt man wie Nachricht, wenn der Fehler behoben wurde? Ich lasse die FW so ungerne länger laufen, aber wenn die user nicht mehr arbeiten können, habe ich derzeit leider keine andere Wahl.

Vielen Dank im Voraus!


This thread was automatically locked due to age.
  • 0
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/40477

    Wie mit 15851 und 16576, einfach 12798 ausschalten, und dann IPS wieder einschalten.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Guten Morgen zusammen,

    wir hatten das gleiche Problem, wobei wir das kuriose Phänomen hatten, dass im Mailclient (Outlook 2010, Thunderbird) Mails "gemixt" wurden.
    Dies betraf aber nur Mails, die eine PDF-Datei als Anhang hatten.

    Gemixt bedeutete, dass der Header und Betreff einer Mail mit dem Body und Anhang einer ANDEREN (!) Mail angezeigt wurde! Beispielsweise haben wir zum Test über das Webinterface von web.de eine Mail mit PDF-Datei im Anhang an einen Mitarbeiter geschickt. Parallel dazu schickte ein anderer Mitarbeiter ebenfalls eine Mail über das interne Netzwerke an den selben Mitarbeiter.

    Im Outlook des Empfängers wurde dann der Absender (xyz@web.de) und Betreff (Testmail) der externen Mail mit dem Body der internen Mail und dem PDF-Anhang der internen Mail angezeigt!
    Wobei sich der PDF-Anhang nicht öffnen ließ...

    Ich habe mal ein Hardcopy einer solchen Mail angehängt: hier hätte man eigentlich eine Warnmeldung eines Virenscanners bekommen sollen - im Body steht aber eine Mail mit Word-Anhang, die an einen ganz anderen (!) Mitarbeiter gehen sollte.

    Da kommt Freude auf! Natürlich habe wir zuerst an ein Problem mit dem Mailserver gedacht und wie wild am Mailserver gesucht. Nachdem wir ermittelt haben, dass die Maildateien aber auf dem Mailserver korrekt abgelegt sind und hier stimmen, haben wir irgendwann mit Wireshark entdeckt, dass der Traffic vom Mailserver mitten in der Übertragung abbricht. Um Hardware-Probleme zu auszuschliessen haben wir also fröhlich noch den DMZ-Switch getauscht, dazu noch die Firewall auf einen anderen Port und anderen Switch des internen Netzwerkes gelegt und so weiter...

    Nachdem dies alles nicht fruchtete (inzwischen hatten wir den kostenpflichtigen und nicht gerade billigen Support des Mailserver-Herstellers in Anspruch genommen) sind wir irgendwann auf die Idee gekommen dass ja auf der Firewall das IPS läuft. Testweise abgeschaltet und schon flutschte das Ganze wieder!

    Daher haben wir eine Exception angelegt, die den Traffic vom Mailserver ins interne Netz vom IPS ausschliesst - und nun ist es gut. Nebenbei wird damit der Zugriff auf den Mailserver - gerade beim aktualisieren der Ansichten wenn man zwischen den Foldern wechselte dauerte es immer ein paar Sekunden - rapide beschleunigt!

    Wer kommt nun für den entstanden Schaden auf? 3-4 Stunden Support des Mailserver-Herstellers per Fernwartung mit Priority-Option (schliesslich läuft fast die gesamte Kommunikation mit den Lieferanten und Kunden inzwischen per Mail ab und da ging ja nichts mehr) kosten uns um die 500 - 600 EUR (die Rechnung kommt noch) - und das nur weil Astaro hier geschlampt hat!

    Ich bin gespannt ob sich hier Astaro zu dem Thema äußert - unser bisheriges Vertrauen in Astaro ist momentan schwer erschüttert!
  • 0 in reply to BAlfson
    Vielen Dank für den Tipp!

    Ich werde ihn testen sobald es geht (Regel abschalten).

    Eine Frage noch bitte: was macht diese Regel bzw. wo findet man eine Übersicht aller Regeln?

    Ich habe danach jetzt eine Stunde gesucht, aber nix gefunden...
Unfiltered HTML