[9.314]Malware attachments going into Quarantine

The recommended solution for this is to not allow the release of emails quarantined for 'Malware'.  Make this selection on the 'Advanced' tab of 'Quarantine Report'.  The item will be reported in the quarantine report, but there will be no link to release it.  The user will have to request release by a Mail Manager or a SuperAdmin of the UTM.

Cheers - Bob

BAlfson,

Shouldn't that be EMail protection[B]Quarantine Report[/B]\Advanced\Release options?

See attached image.

C68

Ok, I've made that change. (@C68, I knew what BAlfson meant [;)] )

So, that'll prevent users from releasing malware emails from quarantine... but it would be advantageous if these types of emails/attachments were dropped/blackholed all together. I don't want users to know about virus attachments waiting for them in quarantine, nor bother our HelpDesk to inquire about them.

If the Antivirus:Blackhole setting is not working as expected, is this a problem with our UTM or a problem with my understanding of this function?

Since there are occasional false positives with everything, I prefer to select "Quarantine" instead of "Blackhole," so I've no experience with the latter setting.  If an email with a virus is quarantined instead of blackholed, you should have your reseller open a case with Sophos Support - check that setting first. [;)]

Cheers - Bob

Ok, I've made that change. (@C68, I knew what BAlfson meant [;)] )

That's good!

you should have your reseller open a case with Sophos Support

Yes, I'll give that a try.

However, it occurs to me that if these emails are being blocked by the File Extension Filter settings instead of the Avtivirus Scanning settings, does this indicate our antivirus is not detecting the virus? (and so passes the email on to the next rule?)

I'll see what Sophos Support have to say...

Yes, Anti-Virus scanning is done only on "ham" - emails that have passed the anti-spam tests.

I normally allow 'Release' only for 'Spam' and 'Expression'.

Cheers - Bob

Yes, Anti-Virus scanning is done only on "ham" - emails that have passed the anti-spam tests.Cheers - Bob

Ahh, I wonder if that has something to do with it... looking closer at some of these quarantined emails, they appear to be a snowshoe campaign. In the SMTP logs, I can see a bunch of them from many different source IPs with similar subjects and similar attachments getting quarantined over a period of a few hours. After about 12 hours, this pattern changes... they then become blackholed instead of quarantined.

The quarantined emails are hitting the file extension filter, but the blackholed ones are detected as malware (see attached image for a sample of when this detection changes). I wonder if this is a new release (or multiple releases) of malware... the first few to arrive are not recognised... the email is marked as possible spam (*SPAM* in subject line) then quarantined cos of the .js file in side the .zip attachment. Then, when the AV patterns are updated and recognise the malware, later emails are blackholed as expected. This is only a speculation on my part, hopefully Sophos/someone can confirm.

Since I can't make the AV patterns recognise the malware any faster, is it possible to blackhole email based on the attached file type? I see no reason to allow anyone to receive a .js type file.

As mentioned before, I have raised this issue with our Sophos partner. I'll see if they can answer this question too...

Good detective work!  If you happened to notice one of these within an hour after it was caught, you could send the malware example to Sophos Labs.  After that, some AV company with a honeypot will have found it and distributed it to others.  No, there isn't a selection to blackhole emails with files containing extensions - only quarantine, so the comment in my prior post above is the accepted solution with the UTM.

Cheers - Bob