Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 4522 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Poisened URLS

RStokes
Hi All,

We are just looking at what we can save (in licences) if possible.

At the moment we are using Mail Marshal and we have Full Guard on the Sophos.

The main advantage with Mail Marshal is handling Blended Threats, that is, URLs in emails. Mail Marshal does some pretty clever stuff making sure URLs are clean etc...

How does Sophos handle poisoned URL's within emails?


This thread was automatically locked due to age.
  • 0
    The UTM will not attempt to follow links to determine if there is something nasty on the other end, but if a URL matches in the spam database providers patterns, it will be treated as bad.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I believe that this would be a valuable Feature and would urge you to add such a suggestion or vote for one that already exists.

    I suspect that most emails containing "poison" links are rejected during SMTP time, so I would be interested to learn whether an experiment showed any such emails got past those tests and the ctasd spam test.  In any case, I can't imagine that Mail Marshal would know to stop, for example, a phishing email pretending to be from your local bank.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    PaloAlto and FireEye already do this. There is a HUGE gain in security when doing checking links. 

    All I can say is at my last job and my current job, more then 98% of all the malware we see uses this vector.

    Evil links and evil attachments.  

    I would also go one further and say that Sophos should offer up a sandbox environment like Palo's WildFire or like FireEye's appliances to also test attachments and links in a sandbox. That would really move Sophos up into the NGF game. 

    I suggested something similar a while back, but no other votes came in. This was before links were being done. 
     
    I made a new updated version that can be found here:

    Attachment, link, and file emulation

    Vote!!

    C68
  • 0
    I'd still be interested in knowing what emails got through the SMTP Proxy with a "poison" link.

    Can WildFire or FireEye stop "a phishing email pretending to be from your local bank?"

    Sometimes, appearances can be deceptive.  If I were one of those companies, I certainly would put the "poison-link" test before others in order to show the maximum possible number of hits on my unique offering.  I would imagine their approach increases the bandwidth needed for email by at least 4x compared to the UTM.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    The way the FireEye works is it goes out and clicks that link in a VM. It then sees what happens and makes its determination. It catches stuff all the time. It does the same for attachments, but those are obviously local. 

    Wildfire's upgrade was after I left my last company. I thought it was to be inline, but it might work like their previous system. After the fact. It sends it off to the VM and comes back with a verdict... all while the email was sent off to the end user who could have still clicked it. 

    Checkpoint has a setting that will force your use to wait until it has been checked out before letting them have the file/email. Or so I am told. I am going to a Checkpoint class in mid October so I will find out more then. I did just get my class Checkpoint wireless 640, so if I have time I will look into it.
Unfiltered HTML