Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 10454 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

To less malware detected during SMTP-Scan

Chris69
Hi there,
since I enabled the Software UTM (right now 9.310-11) as a SMTP-Proxy it is filtering SPAM very well - but malware not as well as expected.

During the last 30 days it blocked 11 inbound mails for malware reasons - so far, so good - but in the same time the internal Exchange with "forefront security" reported a dozen times malware detection - and was right!
But Forefront is EOL and our license period will end up next week so it will stop the protection during the next days.

Yes, of course I did set the E-Mailprotection / Antivirus to "Dual Scan (Maximum Security)".

The patterns are downloaded and installed in the background and seem to be fine.


Any ideas for a better protection out there?


This thread was automatically locked due to age.
Parents
  • 0
    I have paid subscription and: heck! Just right in this moment again:

    Microsoft Forefront Protection for Exchange Server hat einen Virus gefunden.
        
        Virusname: "W32/VBTrojan.9!Maximus"
        Dateiname: "fattura-1013057821.rar->fattura-1013057821-genereted-by-system-automation-confirmed-operator.exe"
        Status: "Entfernt"
        Betreffzeile: "copia documento richiesto"

    And SMTP-Log looks like this:

    2015:05:13-12:18:24 berlin-1 exim-in[8601]: 2015-05-13 12:18:24 SMTP connection from [213.218.169.82]:57295 (TCP/IP connection count = 2)
    2015:05:13-12:18:24 berlin-1 exim-in[1204]: 2015-05-13 12:18:24 [213.218.169.82] F= R= Accepted: from relay
    2015:05:13-12:18:24 berlin-1 exim-in[1204]: 2015-05-13 12:18:24 1YsTk8-0000JQ-2I DKIM: d=info1.benacomolit.info s=default c=relaxed/relaxed a=rsa-sha256 [verification succeeded]
    2015:05:13-12:18:25 berlin-1 exim-in[1204]: 2015-05-13 12:18:25 1YsTk8-0000JQ-2I ctasd reports 'Unknown' RefID:str=0001.0A0C0201.555324F1.001B,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
    2015:05:13-12:18:25 berlin-1 exim-in[1204]: 2015-05-13 12:18:25 1YsTk8-0000JQ-2I contact@info1.benacomolit.info H=mail.XYZ.net [213.218.169.82]:57295 P=esmtps X=TLSv1:AES256-SHA:256 S=37211 id=E1YsTjz-0001Wb-2g@info1.benacomolit.info
    2015:05:13-12:18:25 berlin-1 exim-in[1204]: 2015-05-13 12:18:25 SMTP connection from mail.XYZ.net [213.218.169.82]:57295 closed by QUIT
    2015:05:13-12:18:26 berlin-1 smtpd[8506]: QMGR[8506]: 1YsTk8-0000JQ-2I moved to work queue
    2015:05:13-12:18:26 berlin-1 smtpd[1099]: SCANNER[1099]: 1YsTkA-0000Hj-Oy contact@info1.benacomolit.info R=1YsTk8-0000JQ-2I P=INPUT S=35618
    2015:05:13-12:18:27 berlin-1 smtpd[1099]: SCANNER[1099]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="213.218.169.82" from="contact@info1.benacomolit.info" to="info@XYZ.com" subject="copia documento richiesto" queueid="1YsTkA-0000Hj-Oy" size="35618"
    2015:05:13-12:18:27 berlin-1 smtpd[1099]: SCANNER[1099]: 1YsTk8-0000JQ-2I => work R=SCANNER T=SCANNER
    2015:05:13-12:18:27 berlin-1 smtpd[1099]: SCANNER[1099]: 1YsTk8-0000JQ-2I Completed
    2015:05:13-12:18:27 berlin-1 exim-out[1207]: 2015-05-13 12:18:27 1YsTkA-0000Hj-Oy => info@XYZ.com P= R=static_route_hostlist T=static_smtp H=192.168.0.173 [192.168.0.173]:25 X=TLSv1:RC4-SHA:128 C="250 2.6.0  > Queued mail for delivery"
    2015:05:13-12:18:27 berlin-1 exim-out[1207]: 2015-05-13 12:18:27 1YsTkA-0000Hj-Oy Completed
    2015:05:13-12:18:56 berlin-1 smtpd[1099]: SCANNER[1099]: Nothing to do, exiting.

    But it is not that the UTM does not filter mails:
    today´s statistics:

    Total number of malware mails: 2
    Total malware mail size: 80.3 kB
      Malware Name   # Traffic
    TR/Kryptik.dhvz   2    80,3kB

    So I will involve Sophos anyway.
Reply
  • 0
    I have paid subscription and: heck! Just right in this moment again:

    Microsoft Forefront Protection for Exchange Server hat einen Virus gefunden.
        
        Virusname: "W32/VBTrojan.9!Maximus"
        Dateiname: "fattura-1013057821.rar->fattura-1013057821-genereted-by-system-automation-confirmed-operator.exe"
        Status: "Entfernt"
        Betreffzeile: "copia documento richiesto"

    And SMTP-Log looks like this:

    2015:05:13-12:18:24 berlin-1 exim-in[8601]: 2015-05-13 12:18:24 SMTP connection from [213.218.169.82]:57295 (TCP/IP connection count = 2)
    2015:05:13-12:18:24 berlin-1 exim-in[1204]: 2015-05-13 12:18:24 [213.218.169.82] F= R= Accepted: from relay
    2015:05:13-12:18:24 berlin-1 exim-in[1204]: 2015-05-13 12:18:24 1YsTk8-0000JQ-2I DKIM: d=info1.benacomolit.info s=default c=relaxed/relaxed a=rsa-sha256 [verification succeeded]
    2015:05:13-12:18:25 berlin-1 exim-in[1204]: 2015-05-13 12:18:25 1YsTk8-0000JQ-2I ctasd reports 'Unknown' RefID:str=0001.0A0C0201.555324F1.001B,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
    2015:05:13-12:18:25 berlin-1 exim-in[1204]: 2015-05-13 12:18:25 1YsTk8-0000JQ-2I contact@info1.benacomolit.info H=mail.XYZ.net [213.218.169.82]:57295 P=esmtps X=TLSv1:AES256-SHA:256 S=37211 id=E1YsTjz-0001Wb-2g@info1.benacomolit.info
    2015:05:13-12:18:25 berlin-1 exim-in[1204]: 2015-05-13 12:18:25 SMTP connection from mail.XYZ.net [213.218.169.82]:57295 closed by QUIT
    2015:05:13-12:18:26 berlin-1 smtpd[8506]: QMGR[8506]: 1YsTk8-0000JQ-2I moved to work queue
    2015:05:13-12:18:26 berlin-1 smtpd[1099]: SCANNER[1099]: 1YsTkA-0000Hj-Oy contact@info1.benacomolit.info R=1YsTk8-0000JQ-2I P=INPUT S=35618
    2015:05:13-12:18:27 berlin-1 smtpd[1099]: SCANNER[1099]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="213.218.169.82" from="contact@info1.benacomolit.info" to="info@XYZ.com" subject="copia documento richiesto" queueid="1YsTkA-0000Hj-Oy" size="35618"
    2015:05:13-12:18:27 berlin-1 smtpd[1099]: SCANNER[1099]: 1YsTk8-0000JQ-2I => work R=SCANNER T=SCANNER
    2015:05:13-12:18:27 berlin-1 smtpd[1099]: SCANNER[1099]: 1YsTk8-0000JQ-2I Completed
    2015:05:13-12:18:27 berlin-1 exim-out[1207]: 2015-05-13 12:18:27 1YsTkA-0000Hj-Oy => info@XYZ.com P= R=static_route_hostlist T=static_smtp H=192.168.0.173 [192.168.0.173]:25 X=TLSv1:RC4-SHA:128 C="250 2.6.0  > Queued mail for delivery"
    2015:05:13-12:18:27 berlin-1 exim-out[1207]: 2015-05-13 12:18:27 1YsTkA-0000Hj-Oy Completed
    2015:05:13-12:18:56 berlin-1 smtpd[1099]: SCANNER[1099]: Nothing to do, exiting.

    But it is not that the UTM does not filter mails:
    today´s statistics:

    Total number of malware mails: 2
    Total malware mail size: 80.3 kB
      Malware Name   # Traffic
    TR/Kryptik.dhvz   2    80,3kB

    So I will involve Sophos anyway.
Children
No Data
Unfiltered HTML