Hallo,
wir setzen seit einigen Wochen den Mailfilter der UTM 11.6 ein. Einige Kollegen berichten, dass Sie regelmäßig Mails mit *.zip und *.rar Anhängen erhalten, die ausführbare Malware enthalten und von der UTM gar nicht gefiltert bzw. max als 'Bulk' klassifiziert werden.
Wenn ich die Anhänge lokal abspeichere fängt mir Avira bzw. Bitdefender diese sofort weg.
Meine Frage: Werden die gepackten Anhänge überhaupt gescannt? Kann man den Umgang mit gepackten Anhängen irgendwie steuern? Im Wiki finde ich dazu leider nichts detailiertes. Zips und Rars grundsätzlich zu blockieren, ist KEINE Option, da wir regelmäßig *.exe und *.ps1 - Anhänge gezippt bekommen.
Mailfilter und ausführbare Dateien in zip-/rar-Anhängen
Moderator: Securepoint
Vermutl. wäre hier ein Option, sich gezippte Archive automatisch in die Quarantäne schieben zu lassen und diese sich dann dort zu holen, wenn Sie benötigt werden.
Wie das geht steht hier.
Wie das geht steht hier.
Mit freundlichen Grüßen
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
Also ich habe hier bei unseren größeren Kunden im Sendmail-Template die RBL bl.spamcop.net aktiviert - das hat die Anzahl von Viren, die der ESET am Mailserver hinter der SP abfängt deutlich nach unten geschraubt (+ im Mailrelay Reverse-DNS - geht glaube ich erst ab 11.7 - sowie Greeting Pause aktiviert, im Mailfilter Viren und Spam: ablehnen).
Jetzt findet der ESET gerade mal eine Handvoll in 2 Wochen, wohingegen bei anderen Kunden ohne UTM im selben Zeitraum mind. 100-150 am Mailserver aufschlagen...
Jetzt findet der ESET gerade mal eine Handvoll in 2 Wochen, wohingegen bei anderen Kunden ohne UTM im selben Zeitraum mind. 100-150 am Mailserver aufschlagen...
- Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Hallo zusammen,
zunächst erstmal muss ich sagen dass auch Archive gescannt werden, die Frage wäre dann ob die Malware von den Virenscannern erkannt wird. Dies können Sie gerne einmal auf z.B. Virustotal prüfen. Dabei wäre zudem das Greylisting zu empfehlen, da es bei "neuen/unbekannten" Dateien den Virenscannern und dem Mailfilter Zeit verschafft die Mail und den Inhalt zu klassifizieren. So könnte eine Mail einige Minuten später schon als SPAM/Bulk erkannt werden, die vorher durchgegangen wäre.
Eine Mail mit einem leeren Betreff können Sie mit folgender Regel filtert:
Leere Empfänger fangen Sie am besten mit der Option: "E-Mail-Adresse überprüfen" im Mailrelay -> SMTP Routen ab.
Beste Grüße
Christian
zunächst erstmal muss ich sagen dass auch Archive gescannt werden, die Frage wäre dann ob die Malware von den Virenscannern erkannt wird. Dies können Sie gerne einmal auf z.B. Virustotal prüfen. Dabei wäre zudem das Greylisting zu empfehlen, da es bei "neuen/unbekannten" Dateien den Virenscannern und dem Mailfilter Zeit verschafft die Mail und den Inhalt zu klassifizieren. So könnte eine Mail einige Minuten später schon als SPAM/Bulk erkannt werden, die vorher durchgegangen wäre.
Eine Mail mit einem leeren Betreff können Sie mit folgender Regel filtert:
Code: Alles auswählen
"und Header-Feld" - "Subject" - "passt auf regex" - "^$"
Beste Grüße
Christian