Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 5610 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.104-17][POP3S] UTM configuration

wingman
Hi All

I have configured my GMX account to use POP3S with port 995 (pic below). However, when testing the functionality it seems that emails are not properly scanned for virus. I have used the following online service to check for viruses
Free Email Security Check

I can see that UTM is indeed checking for new emails but

1)It quarantined some of the files but not other ones even though there is an attachment with a "bad" extension 
2013:08:11-11:59:28 ****** pop3proxy[10619]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="securitycheck@emailsecuritycheck.net" to="******@gmx.us" subject="Test mail 1/7 (ID=zFEu5qpmBiQygS94cogyjQ==)" size="3308" srcip="78.47.119.33" dstip="212.227.17.187" uid="0Ll0sP-1VgQj637Qr-00aoll" ident="0/10619-4-1376218768" reason="ext" extra="bat"
2013:08:11-11:59:28 ****** pop3proxy[10619]: id="1100" severity="info" sys="SecureMail" sub="pop3" name="email passed" from="virenschutz@gmxnet.de" to="******@gmx.us" subject="VIRUS SUSPECTED: securitycheck@emailsecuritycheck.net" size="1488" srcip="0.0.0.0" dstip="212.227.17.187" uid="0LwwHY-1WERBb0jHd-016dm4" ident="0/10619-5-1376218768"
2013:08:11-11:59:29 ****** pop3proxy[10619]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="securitycheck@emailsecuritycheck.net" to="******@gmx.us" subject="Test mail 3/7 (ID=zFEu5qpmBiQygS94cogyjQ==)" size="2961" srcip="78.47.119.33" dstip="212.227.17.187" uid="0MgonQ-1VUQ3013Hk-00M0hS" ident="0/10619-6-1376218768" reason="as" extra="confirmed"
2013:08:11-11:59:29 ****** pop3proxy[10619]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="securitycheck@emailsecuritycheck.net" to="******@gmx.us" subject="Test mail 4/7 (ID=zFEu5qpmBiQygS94cogyjQ==)" size="3297" srcip="78.47.119.33" dstip="212.227.17.187" uid="0McQoC-1VQ0Cl2F0K-00Hin1" ident="0/10619-7-1376218769" reason="ext" extra="bat"
2013:08:11-11:59:30 ****** pop3proxy[10619]: id="1100" severity="info" sys="SecureMail" sub="pop3" name="email passed" from="securitycheck@emailsecuritycheck.net" to="******@gmx.us" subject="Test mail 5/7 (ID=zFEu5qpmBiQygS94cogyjQ==)" size="3221" srcip="78.47.119.33" dstip="212.227.17.187" uid="0Ls9Zn-1W8MdV2TR1-013wxx" ident="0/10619-8-1376218769"
2013:08:11-11:59:30 ****** pop3proxy[10619]: id="1100" severity="info" sys="SecureMail" sub="pop3" name="email passed" from="securitycheck@emailsecuritycheck.net" to="******@gmx.us" subject="Test mail 6/7 (ID=zFEu5qpmBiQygS94cogyjQ==)" size="3222" srcip="78.47.119.33" dstip="212.227.17.187" uid="0M8ZyV-1W2vfI0ewd-00wFYa" ident="0/10619-9-1376218770"
2013:08:11-11:59:30 ****** pop3proxy[10619]: id="1100" severity="info" sys="SecureMail" sub="pop3" name="email passed" from="securitycheck@emailsecuritycheck.net" to="******@gmx.us" subject="Test mail 7/7 (ID=zFEu5qpmBiQygS94cogyjQ==)" size="3223" srcip="78.47.119.33" dstip="212.227.17.187" uid="0MTOGl-1VWpxQ1xlX-00SPU0" ident="0/10619-10-1376218770"
2013:08:11-11:59:30 ****** pop3proxy[10619]: Prefetch for account 6 finished (fetched=10, deleted=3, not_on_server=3)


Description of the Test Emails
There are seven test mails our server will try to send:
The first mail (1/7) contains a harmless executable attachment. Even though it is harmless, it should be removed (or replaced) by your attachment blocker. Depending on the configuration of your attachment blocker, this mail may never reach you.
The next mail (2/7) contains a harmless executable attachment, the EICAR anti virus test file in a .zip archive. This file should be detected by every virus checker. Depending on the configuration of your virus checker, this mail may never reach you.
The third mail (3/7) is harmless spam message (GTUBE spam signature), and should be detected by every spam filter. Depending on the configuration of your spam filter, this mail may never reach you.
The remaining four mails (4/7 to 7/7) contain attachments disguised in different ways. Even though the attachments are harmless, they should be removed (or replaced) by your attachment blocker. Depending on the configuration of your attachment blocker, these mails may never reach you.


This thread was automatically locked due to age.
  • 0
    Same problem with smtp proxy. I am still using 9.103005 but the forbidden extensions are passing through. If I enable Quarantine executable content (e.g. exe) then it quarantines the stuff but otherwise extension checking is not enforced[:O]

    Truncated smtp log 
    2013:08:11-09:17:07 gatekeeper smtpd[14434]: SCANNER[14434]: 1V8WSB-0003ko-Vw  myname@mydomain P= R=static_route_hostlist T=static_smtp H=10.10.10.10 [10.10.10.101]:25 C="250 2.6.0  emailsecuritycheck.net.6.0!O3SpI8vninYWwlAJ2jPA== Queued mail for delivery"

    2013:08:11-09:17:08 gatekeeper exim-out[14493]: 2013-08-11 09:17:08 1V8WSB-0003ko-Vw Completed
  • 0
    Could it be a bug then ? Anyone else to confirm and/or raise it to support?(I am a home user!)

    Sent from my iPhone using Astaro.org
  • 0
    I didn't see that; our 9.104-17 blocks outbound exe. Bill, can you send me write.exe from the Windows directory?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob, run the test  at Free Email Security Check with your email address. Its the incoming mail that is being allowed mostly .bat files
  • 0
    Mail 1/7 - Quarantined: File Extension (bat)
    Mail 2/7 - Rejected: Malware (EICAR-AV-Test)
    Mail 3/7 - Rejected: Spam (confirmed)
    Mail 4/7 - Delivered 
    Mail 5/7 - Delivered
    Mail 6/7 - Delivered 
    Mail 7/7 - Delivered

    4-6 had the attachement blocked by Outlook
    7 contained a file named "attached_" that contained:
    .bat
    Content-Transfer-Encoding: 7bit
    Content-Disposition: attachment;
     filename=attached\
    .bat

    echo Your system is vulnerable
    pause


    The blocked email contained an attachment named "attached.bat" that contained the last two lines above.  Is this any different than it has been?  I thought there was a feature request to have the filter do a bit of what Outlook does - examine the content to see if the file was just renamed with a different extension.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks for testing
    Is this any different than it has been? 

    Ha, thats a good one, I had never thought of testing the extension filter since I never receive any vbs files like was the norm in the big days of dot com.
     I thought there was a feature request to have the filter do a bit of what Outlook does - examine the content to see if the file was just renamed with a different extension.
    I am not aware of the request, but the default configuration of astaro has those extensions blocked. I don't see why would it be productive to allow an extension that is blocked specifically by the admin. Heuristics are a great feature but if I block a file extension, I blocked it because I didn't want to worry about heuristics. Besides, in a windows system .bat files are executable no matter what the content is inside the batch file.

    I say its a bug. Not sure how long has it been a bug[:O]

    Regards
    Bill
  • 0
    thanks all for testing. Unfortunately i am not able to raise this as a bug as I have a home license. If you think it's an important bug please raise it with Sophos

    Thanks
  • 0
    Of the five emails that contained the file in some form, there was only one with a file named "attached.bat" - and that one was blocked by the UTM.  The others had files with slightly different content and names, exploiting email clients' susceptibility to such tricks.  My Outlook has the latest patches, so it correctly blocked the attachment when it found a file with an extension of .bat.  That's why I don't see this as a bug, rather as a feature request.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob

    I am using the latest mail.app client but it shouldn't make any difference. My understanding is that the UTM should block all relevant emails (all 7 that is in the specific test- I've also added the description of all the relevant tests)
  • 0 in reply to BAlfson
    My Outlook has the latest patches, so it correctly blocked the attachment when it found a file with an extension of .bat.  
    Although I understand what you are saying, the same mails are directed to quarantine queue if you enable MIME filtering and quarantine executables, which means the UTM sees the mail as a problem but chooses to ignore it.
     
    The problem is that we have the luxury to use MIME filtering in smtp transactions whereas people like Wingman have no way of blocking this. 

    Regards
    Bill
Unfiltered HTML