Sophos AV mit Amavisd-new und SAVDI
Carsten Rosenberg
cr at ncxs.de
Mi Dez 5 20:52:45 CET 2018
Hey,
per default sind viele von denen ausgeschaltet. Ich habe leider keinen
Vergleich ob es hilft diese explizit zu aktivieren. Ich suche bei
Gelegenheit die Dokus dazu mal raus. Von dem Cxmail war da leider keine
Rede.
> BTW: @Carsten, in deinem Kurs geht es mehr um rspamd, oder?
So 80/20 oder 70/30 + den allgemein gültigen Teil. Beim Rspamd gibts
halt viel mehr zu bestaunen und auch zu erklären.
Viele Grüße
Carsten
On 05.12.18 13:06, Frank Fiene wrote:
> Sehr schön, da fallen mir die ganzen Optionen am Ende auf!
>
> Sind das die Default, oder sollte man die so setzen?
>
>
>
> BTW: @Carsten, in deinem Kurs geht es mehr um rspamd, oder?
>
>
> Viele Grüße! Frank
>
>
>> Am 05.12.2018 um 11:28 schrieb Carsten Rosenberg <cr at ncxs.de
>> <mailto:cr at ncxs.de>>:
>>
>> https://github.com/rspamd/rspamd.com/pull/369
>>
>> Ich hab die SAVDI Doku für den Rspamd mal präzisiert.
>>
>> Viele Grüße
>>
>> Carsten
>>
>> On 04.12.18 19:28, Frank Fiene wrote:
>>> Na also:
>>>
>>> 554 5.7.1 sophos: virus found: "EICAR-AV-Test"
>>>
>>>
>>>
>>> Also vielen Dank an alle!
>>>
>>> Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod
>>> Stakhov mal an.
>>>
>>>
>>> Viele Grüße!
>>> Frank
>>> --
>>> Frank Fiene
>>> IT-Security Manager VEKA Group
>>>
>>> Fon: +49 2526 29-6200
>>> Fax: +49 2526 29-16-6200
>>> mailto: ffiene at veka.com <mailto:ffiene at veka.com> <mailto:ffiene at veka.com>
>>> http://www.veka.com <http://www.veka.com/>
>>>
>>> PGP-ID: 62112A51
>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>> Threema: VZK5NDWW
>>>
>>> VEKA AG
>>> Dieselstr. 8
>>> 48324 Sendenhorst
>>> Deutschland/Germany
>>>
>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>>> Werner Schuler,
>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>>> Weimer
>>> HRB 8282 AG Münster/District Court of Münster
>>>
>>>> Am 04.12.2018 um 19:22 schrieb Frank Fiene <ffiene at veka.com
>>>> <mailto:ffiene at veka.com>
>>>> <mailto:ffiene at veka.com>>:
>>>>
>>>> Ich meinte natürlich SSSP.
>>>>
>>>> Ich habe mal die Requests mitgelogt.
>>>>
>>>> 181204:192035 [5C06A00C] 00038402 New session
>>>> 181204:192035 [5C06A00C/1] 00030406 Client request
>>>> SSSP/1.0
>>>> 181204:192035 [5C06A00C/2] 00030406 Client request
>>>> SCANDATA 9585
>>>> 181204:192035 [5C06A00C/3] 00030406 Client request
>>>> BYE
>>>> 181204:192035 [5C06A00C] 00038403 Session ended
>>>> 181204:192035 [5C06A00C] 00038401 Connection ended
>>>>
>>>>
>>>> Das sieht doch eigentlich gut aus, oder?
>>>>
>>>> Muss nochmal den EICAR durchjagen.
>>>>
>>>>
>>>> Viele Grüße!
>>>> Frank
>>>> --
>>>> Frank Fiene
>>>> IT-Security Manager VEKA Group
>>>>
>>>> Fon: +49 2526 29-6200 <tel:+49%202526%2029-6200>
>>>> Fax: +49 2526 29-16-6200 <tel:+49%202526%2029-16-6200>
>>>> mailto: ffiene at veka.com
>>>> <mailto:ffiene at veka.com> <mailto:ffiene at veka.com>
>>>> http://www.veka.com <http://www.veka.com/> <http://www.veka.com/>
>>>>
>>>> PGP-ID: 62112A51
>>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>>> Threema: VZK5NDWW
>>>>
>>>> VEKA AG
>>>> Dieselstr. 8
>>>> 48324 Sendenhorst
>>>> Deutschland/Germany
>>>>
>>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>>>> Werner Schuler,
>>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>>>> Weimer
>>>> HRB 8282 AG Münster/District Court of Münster
>>>>
>>>>> Am 04.12.2018 um 17:52 schrieb Frank Fiene <ffiene at veka.com
>>>>> <mailto:ffiene at veka.com>
>>>>> <mailto:ffiene at veka.com>>:
>>>>>
>>>>> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.
>>>>>
>>>>> Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.
>>>>>
>>>>> --
>>>>> Frank Fiene
>>>>> IT-Security Manager VEKA Group
>>>>>
>>>>> Fon: +49 2526 29-6200 <tel:+49%202526%2029-6200>
>>>>> Fax: +49 2526 29-16-6200 <tel:+49%202526%2029-16-6200>
>>>>> mailto: ffiene at veka.com
>>>>> <mailto:ffiene at veka.com> <mailto:ffiene at veka.com>
>>>>> http://www.veka.com <http://www.veka.com/> <http://www.veka.com/>
>>>>>
>>>>> PGP-ID: 62112A51
>>>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>>>>
>>>>> VEKA AG
>>>>> Dieselstr. 8
>>>>> 48324 Sendenhorst
>>>>> Deutschland/Germany
>>>>>
>>>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>>>>> Werner Schuler,
>>>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>>>>> Weimer
>>>>> HRB 8282 AG Münster/District Court of Münster
>>>>>
>>>>>> Am 04.12.2018 um 16:17 schrieb Michael Wuttke
>>>>>> <mwuttke at beuth-hochschule.de
>>>>>> <mailto:mwuttke at beuth-hochschule.de> <mailto:mwuttke at beuth-hochschule.de>>:
>>>>>>
>>>>>> Hallo,
>>>>>>
>>>>>> noch mal als Nachtrag, da es Nachfragen gab:
>>>>>>
>>>>>> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
>>>>>> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
>>>>>> channel for SSSP konfiguriert.
>>>>>>
>>>>>> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
>>>>>> einfach den unten stehenden contextstr-Schnipsel im scanner-Block
>>>>>> vom IP
>>>>>> channel for SSSP hinzufügen.
>>>>>>
>>>>>> Danke & Gruß,
>>>>>> Michael Wuttke
>>>>>>
>>>>>>> Am 04.12.18 um 10:19 schrieb Michael Wuttke:
>>>>>>> Hallo,
>>>>>>>
>>>>>>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
>>>>>>> folgende Einstellung hinzuzufügen, die zum einen aus der
>>>>>>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise
>>>>>>> Account
>>>>>>> Executive von sophos bestätigt wurde:
>>>>>>>
>>>>>>> / /
>>>>>>> /CXMail is our context based detection/
>>>>>>> / /
>>>>>>>
>>>>>>> /This particular detection is fired on Microsoft office
>>>>>>> attachments(often compressed) that have macros inside. These macros
>>>>>>> work as a file dropper/downloader and access the internet to download
>>>>>>> a malware payload. The URL's accessed by these attachments change
>>>>>>> on a
>>>>>>> regular basis and will automatically switch to a new one if the
>>>>>>> existing one is blocked. /
>>>>>>>
>>>>>>> scanner {
>>>>>>>
>>>>>>> ...
>>>>>>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
>>>>>>> ...
>>>>>>> }
>>>>>>>
>>>>>>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
>>>>>>> oben gegangen. ;-)
>>>>>>>
>>>>>>> Danke & Gruß,
>>>>>>> Michael
>>>>>>>
>>>>>>>> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>>>>>>>> Moin,
>>>>>>>>
>>>>>>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen
>>>>>>>> Virenscanner testen neben Clamav und da ist mir Sophos in dein
>>>>>>>> Sinn gekommen.
>>>>>>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav
>>>>>>>> noch Trendmicro (im Backend) erkennen, selbst ältere.
>>>>>>>>
>>>>>>>>
>>>>>>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und
>>>>>>>> amavisd-new?
>>>>>>>>
>>>>>>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen
>>>>>>>> Maschine oder auf jedem Gateway?
>>>>>>>>
>>>>>>>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>>>>>>>
>>>>>>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag
>>>>>>>> gescannt werden müssen, also durch die anderen Abwehrmaßnahmen
>>>>>>>> durchgekommen sind?
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> Viele Grüße!
>>>>>>>> Frank
>
> Viele Grüße!
> i.A. Frank Fiene
> --
> Frank Fiene
> IT-Security Manager VEKA Group
>
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
> http://www.veka.com
>
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
>
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
>
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
> Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster
>
Mehr Informationen über die Mailingliste Postfixbuch-users