Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

gepackte Dateien werden nicht gescannt

Mahlzeit,

ich benutzte bei vielen ASGs das Mail Security und habe festgestellt, wenn eine exe file in einer ZIP-Datei ankommt wird diese von der ASG einfach durch gelassen.

Habe mal einen Vergleich mit MS ForeFront Protection for Exchange, dort wird die File erkannt und aus der ZIP entfernt...

Kann dies sein, das Astaro bzw. Sophos nicht in die ZIP reinschauen; da ich mal die bekannten Rechungs-Fakemail getestet habe und die ASG diese durchlässt?!

Gruß


This thread was automatically locked due to age.
  • Auch bei Web Protection, wenn in einer E-Mail ein Links auf ne ZIP-Datei ist und in dieser eine ausführbare Datei ist. Wird von der UTM nichts ausgefiltert, das ist echt schade.

    Mal schauen ob das Voting etwas bringt.

    Bei vielen Mitbewerbern gibt es diese Funktion schon lange, dass Dateiendungen oder MIME-Type aus gepackten Dateien entfernt werden.

    Mal schauen, wie lange die Damen und Herren von Sophos noch brauchen..
  • Hi,

    Offenbar ist man bei Sophos aufgewacht, heute haben sie angekündigt, daß die Option  für das nächste Release geplant ist.
    Bin ja gespannt, ob es 9.3 oder 10 wird, bis das umgesetzt ist.

    CU
    Thomas
  • Tach zusammen,

    hab mal die Tage ein Upgrade auf 9.3xx durchgeführt, leider gehen E-Mail mit gezippten exe-Dateien bei mir immer noch durch. Da hat sich scheinbar nichts getan, bei der 9.3er Version.

    Sollte dies nicht ab der 9.3 gehen? oder sehe ich das falsch?

    True-File-Type Detection
    In our web and mail proxy we now traverse archive files (zip, rar, etc.) to detect the types of files inside. This allows granular policy enforcement based on file types included in an archive rather than blocking archive files in general.

    Grüsse
  • Welche UTM Version nutzt Du ? Ich hab das grad mal mit ner 9.305 sowohl mit single scan (Sophos only) wie Dual scan getestet mit paar Testdateien als .exe, .scr, gezippt, als 7z archiv, und die UTM hat sowohl die Testmalware abgefangen wie auch geblockte Dateitypen geblockt. Ich hab auf keine Art und Weise geblockte Dateitypen oder (Test)Malware durchgekriegt.


    Testmalware via Mail zugesendet als .exe, .scr, gezippt und mit doppelter Dateiendung Single scan und mit "Reject Malware during SMTP transaction"
    2014:12:31-11:46:43 asg01 exim-in[28107]: [1\22] 2014-12-31 11:46:43 1Y6Gnb-0007JL-17 H=web.heise.de [193.99.144.71]:40882 F= rejected after DATA: Malware found: Troj/FakeAle-RS
    2014:12:31-11:46:37 asg01 exim-in[28079]: [1\22] 2014-12-31 11:46:37 1Y6GnV-0007It-0Y H=web.heise.de [193.99.144.71]:51729 F= rejected after DATA: Malware found: Troj/FakeAle-RS
    2014:12:31-11:46:30 asg01 exim-in[28053]: [1\22] 2014-12-31 11:46:30 1Y6GnN-0007IT-38 H=web.heise.de [193.99.144.71]:50297 F= rejected after DATA: Malware found: Mal/Generic-S
    2014:12:31-11:46:26 asg01 exim-in[28030]: [1\22] 2014-12-31 11:46:26 1Y6GnJ-0007I6-1K H=web.heise.de [193.99.144.71]:49386 F= rejected after DATA: Malware found: Troj/FakeAle-RS

    Testmalware via Mail zugesendet als .exe, .scr, gezippt und mit doppelter Dateiendung Single scan OHNE  "Reject Malware during SMTP transaction" (also rein Sophos AV)
    2014:12:31-12:05:33 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: EXE (tveexxc)" queueid="1Y6H5L-0000wl-8I" size="32875" reason="av" extra="Troj/FakeAle-RS"
    2014:12:31-12:05:33 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: SCR (qvjbavl)" queueid="1Y6H5p-0000wl-IS" size="32840" reason="av" extra="Troj/FakeAle-RS"
    2014:12:31-12:05:34 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: EXE in ZIP(ulesakz)" queueid="1Y6H5p-0000wl-Q6" size="21946" reason="av" extra="Mal/Generic-S"
    2014:12:31-12:05:34 asg01 smtpd[3643]: SCANNER[3643]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="193.99.144.71" from="emailcheck-robot@ct.de" to="hans.mustermann@beispiel.ch" subject="c't-Emailcheck: Doppelte Erweiterung (grtwvvq)" queueid="1Y6H5q-0000wl-2f" size="32913" reason="av" extra="Troj/FakeAle-RS"

    Geblockte .exe Endung in ZIP Archiv
    2014:12:31-11:56:42 asg01 smtpd[32023]: SCANNER[32023]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="145.253.124.137" from="hans.muster@nodomain.tld" to="hans.mustermann@beispiel.ch" subject="Scanner test" queueid="1Y6GxE-0008KV-2T" size="542936" reason="ext" extra="exe"

    Geblockte .exe Endung als .7z Archiv
    2014:12:31-11:57:06 asg01 smtpd[32023]: SCANNER[32023]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="145.253.124.138" from="hans.muster@nodomain.tld" to="hans.mustermann@beispiel.ch" subject="Scanner test 2" queueid="1Y6Gxe-0008KV-NT" size="525911" reason="ext" extra="exe"


    Möglicherweise ein Bug in ner älteren Firmwareversion oder eine Exception die dazwischenfummelt ?

    [:)]

    Die Seite hier ist ziemlich cool um die Einstellungen testen zu können
    Mails mit Anhängen | heise Security

    Nachtrag: Ach - das ursprüngliche Post ist ja Asbach Uralt von 2013 und mit V8...Wie auch immer - Stand heute unter 9.305 scheint alles geblockt zu werden....
  • @ Sascha Paris

    bin auf der Version 9.305. Die Heise Seite kenne ich und oft benutzt.

    Muss mir meine Einstellungen nochmals anschauen, vielleicht hab ich etwas übersehen.