Sophos AV mit Amavisd-new und SAVDI

Mi Dez 5 13:06:13 CET 2018

Sehr schön, da fallen mir die ganzen Optionen am Ende auf!

Sind das die Default, oder sollte man die so setzen?

BTW: @Carsten, in deinem Kurs geht es mehr um rspamd, oder? 

Viele Grüße! Frank

> Am 05.12.2018 um 11:28 schrieb Carsten Rosenberg <cr at ncxs.de>:
> 
> https://github.com/rspamd/rspamd.com/pull/369 <https://github.com/rspamd/rspamd.com/pull/369>
> 
> Ich hab die SAVDI Doku für den Rspamd mal präzisiert.
> 
> Viele Grüße
> 
> Carsten
> 
> On 04.12.18 19:28, Frank Fiene wrote:
>> Na also:
>> 
>> 554 5.7.1 sophos: virus found: "EICAR-AV-Test"
>> 
>> 
>> 
>> Also vielen Dank an alle!
>> 
>> Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod
>> Stakhov mal an.
>> 
>> 
>> Viele Grüße!
>> Frank
>> -- 
>> Frank Fiene
>> IT-Security Manager VEKA Group
>> 
>> Fon: +49 2526 29-6200
>> Fax: +49 2526 29-16-6200
>> mailto: ffiene at veka.com <mailto:ffiene at veka.com> <mailto:ffiene at veka.com <mailto:ffiene at veka.com>>
>> http://www.veka.com <http://www.veka.com/>
>> 
>> PGP-ID: 62112A51
>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>> Threema: VZK5NDWW
>> 
>> VEKA AG
>> Dieselstr. 8
>> 48324 Sendenhorst
>> Deutschland/Germany
>> 
>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>> Werner Schuler,
>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
>> HRB 8282 AG Münster/District Court of Münster
>> 
>>> Am 04.12.2018 um 19:22 schrieb Frank Fiene <ffiene at veka.com <mailto:ffiene at veka.com>
>>> <mailto:ffiene at veka.com <mailto:ffiene at veka.com>>>:
>>> 
>>> Ich meinte natürlich SSSP. 
>>> 
>>> Ich habe mal die Requests mitgelogt.
>>> 
>>> 181204:192035 [5C06A00C] 00038402 New session
>>> 181204:192035 [5C06A00C/1] 00030406 Client request
>>>     SSSP/1.0
>>> 181204:192035 [5C06A00C/2] 00030406 Client request
>>>     SCANDATA 9585
>>> 181204:192035 [5C06A00C/3] 00030406 Client request
>>>     BYE
>>> 181204:192035 [5C06A00C] 00038403 Session ended
>>> 181204:192035 [5C06A00C] 00038401 Connection ended
>>> 
>>> 
>>> Das sieht doch eigentlich gut aus, oder?
>>> 
>>> Muss nochmal den EICAR durchjagen.
>>> 
>>> 
>>> Viele Grüße!
>>> Frank
>>> -- 
>>> Frank Fiene
>>> IT-Security Manager VEKA Group
>>> 
>>> Fon: +49 2526 29-6200 <tel:+49%202526%2029-6200>
>>> Fax: +49 2526 29-16-6200 <tel:+49%202526%2029-16-6200>
>>> mailto: ffiene at veka.com <mailto:ffiene at veka.com> <mailto:ffiene at veka.com <mailto:ffiene at veka.com>>
>>> http://www.veka.com <http://www.veka.com/> <http://www.veka.com/ <http://www.veka.com/>>
>>> 
>>> PGP-ID: 62112A51
>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>> Threema: VZK5NDWW
>>> 
>>> VEKA AG
>>> Dieselstr. 8
>>> 48324 Sendenhorst
>>> Deutschland/Germany
>>> 
>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>>> Werner Schuler,
>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>>> Weimer
>>> HRB 8282 AG Münster/District Court of Münster
>>> 
>>>> Am 04.12.2018 um 17:52 schrieb Frank Fiene <ffiene at veka.com <mailto:ffiene at veka.com>
>>>> <mailto:ffiene at veka.com <mailto:ffiene at veka.com>>>:
>>>> 
>>>> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.
>>>> 
>>>> Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.
>>>> 
>>>> -- 
>>>> Frank Fiene
>>>> IT-Security Manager VEKA Group
>>>> 
>>>> Fon: +49 2526 29-6200 <tel:+49%202526%2029-6200>
>>>> Fax: +49 2526 29-16-6200 <tel:+49%202526%2029-16-6200>
>>>> mailto: ffiene at veka.com <mailto:ffiene at veka.com> <mailto:ffiene at veka.com <mailto:ffiene at veka.com>>
>>>> http://www.veka.com <http://www.veka.com/> <http://www.veka.com/ <http://www.veka.com/>>
>>>> 
>>>> PGP-ID: 62112A51
>>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>>> 
>>>> VEKA AG
>>>> Dieselstr. 8
>>>> 48324 Sendenhorst
>>>> Deutschland/Germany
>>>> 
>>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>>>> Werner Schuler,
>>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>>>> Weimer
>>>> HRB 8282 AG Münster/District Court of Münster
>>>> 
>>>>> Am 04.12.2018 um 16:17 schrieb Michael Wuttke
>>>>> <mwuttke at beuth-hochschule.de <mailto:mwuttke at beuth-hochschule.de> <mailto:mwuttke at beuth-hochschule.de <mailto:mwuttke at beuth-hochschule.de>>>:
>>>>> 
>>>>> Hallo,
>>>>> 
>>>>> noch mal als Nachtrag, da es Nachfragen gab:
>>>>> 
>>>>> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
>>>>> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
>>>>> channel for SSSP konfiguriert.
>>>>> 
>>>>> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
>>>>> einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
>>>>> channel for SSSP hinzufügen.
>>>>> 
>>>>> Danke & Gruß,
>>>>> Michael Wuttke
>>>>> 
>>>>>> Am 04.12.18 um 10:19 schrieb Michael Wuttke:
>>>>>> Hallo,
>>>>>> 
>>>>>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
>>>>>> folgende Einstellung hinzuzufügen, die zum einen aus der
>>>>>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
>>>>>> Executive von sophos bestätigt wurde:
>>>>>> 
>>>>>> / /
>>>>>> /CXMail is our context based detection/
>>>>>> / /
>>>>>> 
>>>>>> /This particular detection is fired on Microsoft office
>>>>>> attachments(often compressed) that have macros inside. These macros
>>>>>> work as a file dropper/downloader and access the internet to download
>>>>>> a malware payload. The URL's accessed by these attachments change on a
>>>>>> regular basis and will automatically switch to a new one if the
>>>>>> existing one is blocked.  /
>>>>>> 
>>>>>> scanner {
>>>>>> 
>>>>>> ...
>>>>>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
>>>>>> ...
>>>>>> }
>>>>>> 
>>>>>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
>>>>>> oben gegangen. ;-)
>>>>>> 
>>>>>> Danke & Gruß,
>>>>>> Michael
>>>>>> 
>>>>>>> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>>>>>>> Moin,
>>>>>>> 
>>>>>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen
>>>>>>> Virenscanner testen neben Clamav und da ist mir Sophos in dein
>>>>>>> Sinn gekommen.
>>>>>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav
>>>>>>> noch Trendmicro (im Backend) erkennen, selbst ältere.
>>>>>>> 
>>>>>>> 
>>>>>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und
>>>>>>> amavisd-new?
>>>>>>> 
>>>>>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen
>>>>>>> Maschine oder auf jedem Gateway?
>>>>>>> 
>>>>>>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>>>>>> 
>>>>>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag
>>>>>>> gescannt werden müssen, also durch die anderen Abwehrmaßnahmen
>>>>>>> durchgekommen sind?
>>>>>>> 
>>>>>>> 
>>>>>>> 
>>>>>>> Viele Grüße!
>>>>>>> Frank

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20181205/cebe9aea/attachment-0001.html>