Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

gepackte Dateien werden nicht gescannt

Mahlzeit,

ich benutzte bei vielen ASGs das Mail Security und habe festgestellt, wenn eine exe file in einer ZIP-Datei ankommt wird diese von der ASG einfach durch gelassen.

Habe mal einen Vergleich mit MS ForeFront Protection for Exchange, dort wird die File erkannt und aus der ZIP entfernt...

Kann dies sein, das Astaro bzw. Sophos nicht in die ZIP reinschauen; da ich mal die bekannten Rechungs-Fakemail getestet habe und die ASG diese durchlässt?!

Gruß


This thread was automatically locked due to age.
Parents
  • Welche UTM Version nutzt Du ? Ich hab das grad mal mit ner 9.305 sowohl mit single scan (Sophos only) wie Dual scan getestet mit paar Testdateien als .exe, .scr, gezippt, als 7z archiv, und die UTM hat sowohl die Testmalware abgefangen wie auch geblockte Dateitypen geblockt. Ich hab auf keine Art und Weise geblockte Dateitypen oder (Test)Malware durchgekriegt.


    Testmalware via Mail zugesendet als .exe, .scr, gezippt und mit doppelter Dateiendung Single scan und mit "Reject Malware during SMTP transaction"
    2014:12:31-11:46:43 asg01 exim-in[28107]: [1\22] 2014-12-31 11:46:43 1Y6Gnb-0007JL-17 H=web.heise.de [193.99.144.71]:40882 F= rejected after DATA: Malware found: Troj/FakeAle-RS
    2014:12:31-11:46:37 asg01 exim-in[28079]: [1\22] 2014-12-31 11:46:37 1Y6GnV-0007It-0Y H=web.heise.de [193.99.144.71]:51729 F= rejected after DATA: Malware found: Troj/FakeAle-RS
    2014:12:31-11:46:30 asg01 exim-in[28053]: [1\22] 2014-12-31 11:46:30 1Y6GnN-0007IT-38 H=web.heise.de [193.99.144.71]:50297 F= rejected after DATA: Malware found: Mal/Generic-S
    2014:12:31-11:46:26 asg01 exim-in[28030]: [1\22] 2014-12-31 11:46:26 1Y6GnJ-0007I6-1K H=web.heise.de [193.99.144.71]:49386 F= rejected after DATA: Malware found: Troj/FakeAle-RS

    Testmalware via Mail zugesendet als .exe, .scr, gezippt und mit doppelter Dateiendung Single scan OHNE  "Reject Malware during SMTP transaction" (also rein Sophos AV)
    2014:12:31-12:05:33 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: EXE (tveexxc)" queueid="1Y6H5L-0000wl-8I" size="32875" reason="av" extra="Troj/FakeAle-RS"
    2014:12:31-12:05:33 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: SCR (qvjbavl)" queueid="1Y6H5p-0000wl-IS" size="32840" reason="av" extra="Troj/FakeAle-RS"
    2014:12:31-12:05:34 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: EXE in ZIP(ulesakz)" queueid="1Y6H5p-0000wl-Q6" size="21946" reason="av" extra="Mal/Generic-S"
    2014:12:31-12:05:34 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: Doppelte Erweiterung (grtwvvq)" queueid="1Y6H5q-0000wl-2f" size="32913" reason="av" extra="Troj/FakeAle-RS"

    Geblockte .exe Endung in ZIP Archiv
    2014:12:31-11:56:42 asg01 smtpd[32023]: SCANNER[32023]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="145.253.124.137" from="hans.muster@nodomain.tld" to="hans.mustermann@beispiel.ch" subject="Scanner test" queueid="1Y6GxE-0008KV-2T" size="542936" reason="ext" extra="exe"

    Geblockte .exe Endung als .7z Archiv
    2014:12:31-11:57:06 asg01 smtpd[32023]: SCANNER[32023]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="145.253.124.138" from="hans.muster@nodomain.tld" to="hans.mustermann@beispiel.ch" subject="Scanner test 2" queueid="1Y6Gxe-0008KV-NT" size="525911" reason="ext" extra="exe"


    Möglicherweise ein Bug in ner älteren Firmwareversion oder eine Exception die dazwischenfummelt ?

    [:)]

    Die Seite hier ist ziemlich cool um die Einstellungen testen zu können
    Mails mit Anhängen | heise Security

    Nachtrag: Ach - das ursprüngliche Post ist ja Asbach Uralt von 2013 und mit V8...Wie auch immer - Stand heute unter 9.305 scheint alles geblockt zu werden....
Reply
  • Welche UTM Version nutzt Du ? Ich hab das grad mal mit ner 9.305 sowohl mit single scan (Sophos only) wie Dual scan getestet mit paar Testdateien als .exe, .scr, gezippt, als 7z archiv, und die UTM hat sowohl die Testmalware abgefangen wie auch geblockte Dateitypen geblockt. Ich hab auf keine Art und Weise geblockte Dateitypen oder (Test)Malware durchgekriegt.


    Testmalware via Mail zugesendet als .exe, .scr, gezippt und mit doppelter Dateiendung Single scan und mit "Reject Malware during SMTP transaction"
    2014:12:31-11:46:43 asg01 exim-in[28107]: [1\22] 2014-12-31 11:46:43 1Y6Gnb-0007JL-17 H=web.heise.de [193.99.144.71]:40882 F= rejected after DATA: Malware found: Troj/FakeAle-RS
    2014:12:31-11:46:37 asg01 exim-in[28079]: [1\22] 2014-12-31 11:46:37 1Y6GnV-0007It-0Y H=web.heise.de [193.99.144.71]:51729 F= rejected after DATA: Malware found: Troj/FakeAle-RS
    2014:12:31-11:46:30 asg01 exim-in[28053]: [1\22] 2014-12-31 11:46:30 1Y6GnN-0007IT-38 H=web.heise.de [193.99.144.71]:50297 F= rejected after DATA: Malware found: Mal/Generic-S
    2014:12:31-11:46:26 asg01 exim-in[28030]: [1\22] 2014-12-31 11:46:26 1Y6GnJ-0007I6-1K H=web.heise.de [193.99.144.71]:49386 F= rejected after DATA: Malware found: Troj/FakeAle-RS

    Testmalware via Mail zugesendet als .exe, .scr, gezippt und mit doppelter Dateiendung Single scan OHNE  "Reject Malware during SMTP transaction" (also rein Sophos AV)
    2014:12:31-12:05:33 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: EXE (tveexxc)" queueid="1Y6H5L-0000wl-8I" size="32875" reason="av" extra="Troj/FakeAle-RS"
    2014:12:31-12:05:33 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: SCR (qvjbavl)" queueid="1Y6H5p-0000wl-IS" size="32840" reason="av" extra="Troj/FakeAle-RS"
    2014:12:31-12:05:34 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: EXE in ZIP(ulesakz)" queueid="1Y6H5p-0000wl-Q6" size="21946" reason="av" extra="Mal/Generic-S"
    2014:12:31-12:05:34 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: Doppelte Erweiterung (grtwvvq)" queueid="1Y6H5q-0000wl-2f" size="32913" reason="av" extra="Troj/FakeAle-RS"

    Geblockte .exe Endung in ZIP Archiv
    2014:12:31-11:56:42 asg01 smtpd[32023]: SCANNER[32023]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="145.253.124.137" from="hans.muster@nodomain.tld" to="hans.mustermann@beispiel.ch" subject="Scanner test" queueid="1Y6GxE-0008KV-2T" size="542936" reason="ext" extra="exe"

    Geblockte .exe Endung als .7z Archiv
    2014:12:31-11:57:06 asg01 smtpd[32023]: SCANNER[32023]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="145.253.124.138" from="hans.muster@nodomain.tld" to="hans.mustermann@beispiel.ch" subject="Scanner test 2" queueid="1Y6Gxe-0008KV-NT" size="525911" reason="ext" extra="exe"


    Möglicherweise ein Bug in ner älteren Firmwareversion oder eine Exception die dazwischenfummelt ?

    [:)]

    Die Seite hier ist ziemlich cool um die Einstellungen testen zu können
    Mails mit Anhängen | heise Security

    Nachtrag: Ach - das ursprüngliche Post ist ja Asbach Uralt von 2013 und mit V8...Wie auch immer - Stand heute unter 9.305 scheint alles geblockt zu werden....
Children
No Data