Sophos AV mit Amavisd-new und SAVDI

Di Dez 4 19:28:35 CET 2018

Na also:

554 5.7.1 sophos: virus found: "EICAR-AV-Test"

Also vielen Dank an alle!

Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod Stakhov mal an.

Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

> Am 04.12.2018 um 19:22 schrieb Frank Fiene <ffiene at veka.com>:
> 
> Ich meinte natürlich SSSP. 
> 
> Ich habe mal die Requests mitgelogt.
> 
> 181204:192035 [5C06A00C] 00038402 New session
> 181204:192035 [5C06A00C/1] 00030406 Client request
>     SSSP/1.0
> 181204:192035 [5C06A00C/2] 00030406 Client request
>     SCANDATA 9585
> 181204:192035 [5C06A00C/3] 00030406 Client request
>     BYE
> 181204:192035 [5C06A00C] 00038403 Session ended
> 181204:192035 [5C06A00C] 00038401 Connection ended
> 
> 
> Das sieht doch eigentlich gut aus, oder?
> 
> Muss nochmal den EICAR durchjagen.
> 
> 
> Viele Grüße!
> Frank
> -- 
> Frank Fiene
> IT-Security Manager VEKA Group
> 
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
> http://www.veka.com <http://www.veka.com/>
> 
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
> 
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
> 
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster
> 
>> Am 04.12.2018 um 17:52 schrieb Frank Fiene <ffiene at veka.com <mailto:ffiene at veka.com>>:
>> 
>> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.
>> 
>> Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.
>> 
>> -- 
>> Frank Fiene
>> IT-Security Manager VEKA Group
>> 
>> Fon: +49 2526 29-6200
>> Fax: +49 2526 29-16-6200
>> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
>> http://www.veka.com <http://www.veka.com/>
>> 
>> PGP-ID: 62112A51
>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>> 
>> VEKA AG
>> Dieselstr. 8
>> 48324 Sendenhorst
>> Deutschland/Germany
>> 
>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
>> HRB 8282 AG Münster/District Court of Münster
>> 
>>> Am 04.12.2018 um 16:17 schrieb Michael Wuttke <mwuttke at beuth-hochschule.de>:
>>> 
>>> Hallo,
>>> 
>>> noch mal als Nachtrag, da es Nachfragen gab:
>>> 
>>> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
>>> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
>>> channel for SSSP konfiguriert.
>>> 
>>> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
>>> einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
>>> channel for SSSP hinzufügen.
>>> 
>>> Danke & Gruß,
>>> Michael Wuttke
>>> 
>>>> Am 04.12.18 um 10:19 schrieb Michael Wuttke:
>>>> Hallo,
>>>> 
>>>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
>>>> folgende Einstellung hinzuzufügen, die zum einen aus der
>>>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
>>>> Executive von sophos bestätigt wurde:
>>>> 
>>>> / /
>>>> /CXMail is our context based detection/
>>>> / /
>>>> 
>>>> /This particular detection is fired on Microsoft office
>>>> attachments(often compressed) that have macros inside. These macros
>>>> work as a file dropper/downloader and access the internet to download
>>>> a malware payload. The URL's accessed by these attachments change on a
>>>> regular basis and will automatically switch to a new one if the
>>>> existing one is blocked.  /
>>>> 
>>>> scanner {
>>>> 
>>>> ...
>>>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
>>>> ...
>>>> }
>>>> 
>>>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
>>>> oben gegangen. ;-)
>>>> 
>>>> Danke & Gruß,
>>>> Michael
>>>> 
>>>>> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>>>>> Moin,
>>>>> 
>>>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
>>>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.
>>>>> 
>>>>> 
>>>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?
>>>>> 
>>>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?
>>>>> 
>>>>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>>>> 
>>>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?
>>>>> 
>>>>> 
>>>>> 
>>>>> Viele Grüße!
>>>>> Frank
>>>>> 
>>>> 
>>> 
>> 
> 

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20181204/8c683505/attachment-0001.html>