AW: Sophos AV mit Amavisd-new und SAVDI

Stellwagen Daniel Daniel.Stellwagen at brunata-muenchen.de
Mi Dez 5 10:52:22 CET 2018


> Am 04.12.18 um 10:19 schrieb Michael Wuttke:
> 
> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
> folgende Einstellung hinzuzufügen, die zum einen aus der
> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
> Executive von sophos bestätigt wurde:
> 
> / /
> /CXMail is our context based detection/
> / /
> 
> /This particular detection is fired on Microsoft office
> attachments(often compressed) that have macros inside. These macros
> work as a file dropper/downloader and access the internet to download
> a malware payload. The URL's accessed by these attachments change on a
> regular basis and will automatically switch to a new one if the
> existing one is blocked.  /
> 
> scanner {
> 
> ...
>   contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
> ...
> }

Hallo,

sehr vielen Dank für diesen Hinweis!!!
Habe die Zeile eingebunden und die Erkennungsrate steigerte sich beachtlich.


Mit freundlichen Grüßen
Daniel Stellwagen
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 2585 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20181205/b64d9193/attachment.p7s>


Mehr Informationen über die Mailingliste Postfixbuch-users