To less malware detected during SMTP-Scan

Chris, if you still have any of those, you can submit samples of suspicious files to Sophos.

Cheers - Bob

Hi there,
since I enabled the Software UTM (right now 9.310-11) as a SMTP-Proxy it is filtering SPAM very well - but malware not as well as expected.

During the last 30 days it blocked 11 inbound mails for malware reasons - so far, so good - but in the same time the internal Exchange with "forefront security" reported a dozen times malware detection - and was right!
But Forefront is EOL and our license period will end up next week so it will stop the protection during the next days.

Yes, of course I did set the E-Mailprotection / Antivirus to "Dual Scan (Maximum Security)".

The patterns are downloaded and installed in the background and seem to be fine.


Any ideas for a better protection out there?

how many users?  system stats? what is the scan size set to?

@Bob: there are no samples left, because forefront deleted these attachments directly. The forefront-detected malware is e.g.:
winpe/Suspicious.FYU
winpe/Injector.IGZN
NetTool.Win32.ProxySwitcher.d


@William: 
50 user
stats:
SMTP last 24 hours [ 1268 messages delivered. 221 messages blocked (14%) ]

Malware quarantined/rejected: 0 SPF rejects: 5
Spam quarantined/rejected: 91 RBL rejects: 45
Blacklist rejects: 0 BATV rejects: 0
Address Verification rejects: 20 RDNS/HELO rejects: 60

How do I set SMTP-Scan size?

@Bob: there are no samples left, because forefront deleted these attachments directly. The forefront-detected malware is e.g.:
winpe/Suspicious.FYU
winpe/Injector.IGZN
NetTool.Win32.ProxySwitcher.d


@William: 
50 user
stats:
SMTP last 24 hours [ 1268 messages delivered. 221 messages blocked (14%) ]

Malware quarantined/rejected: 0 SPF rejects: 5
Spam quarantined/rejected: 91 RBL rejects: 45
Blacklist rejects: 0 BATV rejects: 0
Address Verification rejects: 20 RDNS/HELO rejects: 60

How do I set SMTP-Scan size?

how much ram is in the machine..or if an appliance which one?

As I wrote in my #1 posting: Software based.
16GB RAM, 24% used. (active/passive HA)

appendix: Xeon E-5 CPU is nearly idle (1%), log and data disk 3% resp. 12% used.

first off I do not allow allow the following on any network i have going with utm:
com
bat
vbx
hta
inf
js
jse
wsh
vbs
vbe
lnk
ohm
pif
reg
scr
cmd
zip
exe

I have one client who insists on allowing exe so i allowed it there.  
the smtp-advanced section is where the max message size is controlled.  Whatever the max message size is is what the a/v scans.

Max message size is 100MB, deny .exe / .zip is not an option as long we receive a lot of costumer mails with questions to debug a bunch of things.
The UTM simply should detect elder malware.

Chris, without seeing the actual emails that got through, it's hard to help you with correcting your configuration.  Maybe you can post the relevant lines from the SMTP log for one of the ones that got through.

My most-recent 30-day study of Spam rejection percentages indicates a much-higher percentage of blocks than you are seeing.  It is rare to see blocks due to malware as those messages are usually eliminated by the SMTP-time blocks before the content is even received.

Cheers - Bob

Hi Bob, thank you for your input.

To me the statistics do look as usual. Before I switched to the SMTP-Functions of the UTM I used a dedicated linux mailserver with exim, spamassasin, dovecoat a.s.o as my mx-record for several years and the numbers of mail delivered / blocked had been quite the same as it is now with the UTM being the mx.
Yes, you are right, most of the malware is blocked during the smtp-handshake - but a few unwanted mails do always pass. 
No AV-engine alone will detect ALL kind of malware, thats for sure.
Behind my MS Forefront are 4 different AV engines working and it looks like they do a much better job than Avira & Sophos together. 

So I will check back if I can find any SMTP-Tracks in the .gz-logs belonging to that malware-messages - but I simply have not to much hope that this will bring any new perception.