This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

All encrypted email being marked as malware

We occassionally get encrypted email attachments from our customers.  In the past, this would mean an employee gets a quarantine report, lets me know that they were in fact expecting this particular email from a customer, then I log in to the mail manager and release the email from quarantine.  

Within the past couple days (this could have originated a few months ago though - we don't get encrypted attachements all that often) I go in and release the email, but then the user gets an email that says "We have re-scanned your message to check for viruses and we have identified that your message has a virus. Hence we have changed the Reason for it being quarantined to “Malware”. If you wish to release this message, you will possibly infect your machine and other machines in the network. We strongly recommend you to not release this message. If you have further questions, please contact your IT administrator."  

The "reason" in the quarantine then changes from "Unscannable - Encrypted Archive" to "Malware - Unscannable".  We've tested this with a text file created and encrypted on our own machines, and we still see the same behavior, so I'm fairly confident this is a false error and not an actual infected file.


This thread was automatically locked due to age.
  • Hi, Avery, and welcome to the User BB!

    I hope you had your reseller submit a ticket to Sophos Support for you.  What did they say?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • There's a settings change you can make to tell it to allow unscannable/encrypted files files...which do put you at high risk for something like cryptolocker.  use this with EXTREME caution(i would advise against this at all)

    head into email protection--smtp--antivirus tab
    uncheck the box that says quarantine unscannable and encrypted content.  

    I do agree make this a bug report to your reseller as once you release it the file be forwarded to the mail server.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow