Email Archived Attachments

I just read your suggestion above, Berkleigh - great contribution!

Since it would be impractical in an Active Directory environment, changing the time and blocking UDP/123 can only be used by home users, but that's probably where it's most needed.  Hopefully, businesses will have backup systems in place that minimize the damage.  It's difficult to imagine any other way to block I2P.

Cheers - Bob

Agreed, using the NTP time shift method would definitely not work in a large AD environment or perhaps any for that matter. Was thinking that a small script in Powershell that changes the time and time zone scheduled to run every 15 minutes or so might effectively cripple I2P to the point where it would essentially not work, will have to test that theory perhaps on a sacrificial lamb PC, plenty of old XP boxes laying around, just have to see if I can get my hands on the CryptoWALL exe which apparently goes by C:\2c428424\2c428424.exe

I had written a script in Powershell recently that watches a network share for the tell-tale help_decrypt files left behind once CryptoWALL has done its dirty work and if found e-mails me immediately. Perhaps another defense would be to map 'dummy' shares on every computer on the network to one centrally monitored share with nothing important inside, sort of a honeypot type setup. Then you would know right away if someone on the network had been infected. The only problem then is how to determine which computer it came from. Of course as soon as the user whose computer it was notices the big warning screen the next day you will know then. 

I suppose I could modify the script that looks for help_decrypt and have it look for that particular .exe file, install it on every PC, schedule it to run every 15 minutes or so, and then I will be e-mailed imediately and could possibly jump in and stop it early. Of course that is assuming it uses the same name every time.

So back to the original subject of this post, e-mail attachments. Found out today that there was actually nothing wrong with the Sophos unit, problem was the PDF viewer being used on the receiving end. You have to use Adobe Reader to be able to see the attachments, pre-viewers and phone apps don't appear to be able to handle PDF files with attachments inside.

Any news from Sophos?

This is not funny..

I'm upset because I can't get the UTM to block extensions inside of zip files. I've tested .js and .exe inside of zips and they sail through both ways. This is a problem.

Any news from Sophos?

This is not funny..

Just so we can all be clear on the problem we are talking about here. 

If I'm reading this correctly OP wants to be able to block any zip files that contain .EXE or .JS files whether or not they contain malicious code. 

As it works now the system WILL block zip files that contain malicious code but passes those with nothing bad inside.

I believe what the OP is looking for is a Feature Request to have the system block .ZIP files that contain any of the extensions that are blocked under the POP3 menu on the Antivirus tab. Or maybe just a 'Quarantine Executable Content' selection like SMTP has would be sufficient?

I did a little test and if you tell Sophos under SMTP on the Antivirus Tab to Quarantine Executable Content (eg. exe) it does indeed stop the zip file containing an exe or js from reaching the destination. 

Also tested incoming (POP3) mail and Yes, as indicated by OP, ZIP files will pass through if nothing malicious is detected inside them. My suggestion would be to add ZIP to the list of extensions to be blocked by POP3 and examine each e-mail manually when they land in quarantine. 

So in short there probably is no answer from Sophos because there is no issue, the system will block a .exe or .js file inside a ZIP if you tell it to. 

If someone could put in a Feature Request for this that would be most appreciated, don't need much, just a check box next to the list of blocked extensions in POP3 that says 'Include Archives' would do the trick.

I'm sorry, my responses are limited. You must ask the right question.