Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 6259 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.314]Malware attachments going into Quarantine

mayday175
For a while now we have had emails with malicious attachments going into quarantine instead of being dropped/blackholed. See the attached image for an example of emails received recently. 

Occasionally, users release their quarantined email and recklessly open the attachment... fortunately Sophos Endpoint protection detects and removes the file at this point.

So, why are these emails with malware attached going to Quarantine? I would prefer they were dropped altogether... the end user should never see emails with malware attached.

Our UTM's SMTP Antivirus settings are as follows:
- Reject malware during SMTP transaction = Enabled
- Antivirus Scanning = Blackhole, Dual Scan, Quarantine unscannable = enabled
- MIME type filter = all disabled (default, I think)
- File extension filter = exe, js, etc (default, I think)

I have toggled every setting on/off just to make sure they are set correctly... but won't know if that helped til the quarantine is monitored for a few days. Do you have any ideas what's happening here?

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Yes, Anti-Virus scanning is done only on "ham" - emails that have passed the anti-spam tests.

    I normally allow 'Release' only for 'Spam' and 'Expression'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes, Anti-Virus scanning is done only on "ham" - emails that have passed the anti-spam tests.Cheers - Bob


    Ahh, I wonder if that has something to do with it... looking closer at some of these quarantined emails, they appear to be a snowshoe campaign. In the SMTP logs, I can see a bunch of them from many different source IPs with similar subjects and similar attachments getting quarantined over a period of a few hours. After about 12 hours, this pattern changes... they then become blackholed instead of quarantined.

    The quarantined emails are hitting the file extension filter, but the blackholed ones are detected as malware (see attached image for a sample of when this detection changes). I wonder if this is a new release (or multiple releases) of malware... the first few to arrive are not recognised... the email is marked as possible spam (*SPAM* in subject line) then quarantined cos of the .js file in side the .zip attachment. Then, when the AV patterns are updated and recognise the malware, later emails are blackholed as expected. This is only a speculation on my part, hopefully Sophos/someone can confirm.

    Since I can't make the AV patterns recognise the malware any faster, is it possible to blackhole email based on the attached file type? I see no reason to allow anyone to receive a .js type file.

    As mentioned before, I have raised this issue with our Sophos partner. I'll see if they can answer this question too...
Reply
  • 0 in reply to BAlfson
    Yes, Anti-Virus scanning is done only on "ham" - emails that have passed the anti-spam tests.Cheers - Bob


    Ahh, I wonder if that has something to do with it... looking closer at some of these quarantined emails, they appear to be a snowshoe campaign. In the SMTP logs, I can see a bunch of them from many different source IPs with similar subjects and similar attachments getting quarantined over a period of a few hours. After about 12 hours, this pattern changes... they then become blackholed instead of quarantined.

    The quarantined emails are hitting the file extension filter, but the blackholed ones are detected as malware (see attached image for a sample of when this detection changes). I wonder if this is a new release (or multiple releases) of malware... the first few to arrive are not recognised... the email is marked as possible spam (*SPAM* in subject line) then quarantined cos of the .js file in side the .zip attachment. Then, when the AV patterns are updated and recognise the malware, later emails are blackholed as expected. This is only a speculation on my part, hopefully Sophos/someone can confirm.

    Since I can't make the AV patterns recognise the malware any faster, is it possible to blackhole email based on the attached file type? I see no reason to allow anyone to receive a .js type file.

    As mentioned before, I have raised this issue with our Sophos partner. I'll see if they can answer this question too...
Children
No Data
Unfiltered HTML