Unter Application -> IDS sind alle Markierungen aufgehoben.
Unter Application -> POP3-Proxy ist der Virenscanner und der Spamfilter aktiviert.
Es ist uns nicht mehr möglich E-Mails per POP3 durch unseren Mail-Server abholen zu lassen.
Das Log der Securepoint sagt folgendes:
IDS/Alert: (portscan) TCP Portsweep
Die Mails werden im 2 Minuten-Rhythmus gepollt.
Warum ist das IDS aktiv?
Deaktivierung des Spam-Filters und Virenscanners im POP3-Proxy "löst" das Problem.
Nachtrag: Das IDS ist auch für den HTTP-Proxy aktiv.
mfg
achim
IDS und Application-Proxies
Moderator: Securepoint
hallo,
diese meldungen kommen auch, wenn alle regeln im ids deaktiviert sind. das sind
allgemeine "bemerkungen" des ids systems. man kann sie im prinzip ignorieren
(entstehen zum beispiel durch die umleitung der pakete bei transparenten proxies).
gruss
oliver hausmann
diese meldungen kommen auch, wenn alle regeln im ids deaktiviert sind. das sind
allgemeine "bemerkungen" des ids systems. man kann sie im prinzip ignorieren
(entstehen zum beispiel durch die umleitung der pakete bei transparenten proxies).
gruss
oliver hausmann
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH
OK, mit dem ignorieren habe ich kein problem.
Doch wie gesagt können wir bei aktiviertem Spamfilter und Virenscanner über den POP3-Proxy keine Mails mehr abholen.
Unser Mailserver bekommt beim Verbindungsversuch ein timeout.
(Gleichzeitig erscheinen die IDS-Warnungen. daher der Thread-Titel)
Bei deaktiviertem Spamfilter/Virenscanner funktioniert das Abrufen wieder UND es kommen KEINE IDS-Warnungen mehr.
mfg
achim
Doch wie gesagt können wir bei aktiviertem Spamfilter und Virenscanner über den POP3-Proxy keine Mails mehr abholen.
Unser Mailserver bekommt beim Verbindungsversuch ein timeout.
(Gleichzeitig erscheinen die IDS-Warnungen. daher der Thread-Titel)
Bei deaktiviertem Spamfilter/Virenscanner funktioniert das Abrufen wieder UND es kommen KEINE IDS-Warnungen mehr.
mfg
achim
Zuletzt geändert von achim am Fr 09.03.2007, 12:27, insgesamt 1-mal geändert.
hallo,
sorry, jetzt hab ich es verstanden. im pop3proxy fehlt vermutlich die notification.
gehen sie mal in sm unter den punkt applikationen/pop3proxy/notification und
speichern folgenden text ab:
From: Securepoint POP3 Virus Scanner
To: %MAILTO%
Date: %MAILDATE%
Subject: Virus found in a mail to you.
Content-Transfer-Encoding: 8bit
Content-Type: text/plain;
charset="iso-8859-1"
MIME-Version: 1.0
This email is generated by %HOSTNAME%!
In a mail sent to you a virus has been found.
Virus name:
%VIRUSNAME%
Sender of the email:
%MAILFROM%
Subject:
%SUBJECT%
Connection date:
POP3 from %CLIENTIP%:%CLIENTPORT% to %SERVERIP%:%SERVERPORT%
Message File:
%POP3VSCANID%
Instead of the infected email this message has been sent to you.
gruss
oliver hausmann
sorry, jetzt hab ich es verstanden. im pop3proxy fehlt vermutlich die notification.
gehen sie mal in sm unter den punkt applikationen/pop3proxy/notification und
speichern folgenden text ab:
From: Securepoint POP3 Virus Scanner
To: %MAILTO%
Date: %MAILDATE%
Subject: Virus found in a mail to you.
Content-Transfer-Encoding: 8bit
Content-Type: text/plain;
charset="iso-8859-1"
MIME-Version: 1.0
This email is generated by %HOSTNAME%!
In a mail sent to you a virus has been found.
Virus name:
%VIRUSNAME%
Sender of the email:
%MAILFROM%
Subject:
%SUBJECT%
Connection date:
POP3 from %CLIENTIP%:%CLIENTPORT% to %SERVERIP%:%SERVERPORT%
Message File:
%POP3VSCANID%
Instead of the infected email this message has been sent to you.
gruss
oliver hausmann
best regards
oliver hausmann
--
Securepoint GmbH
oliver hausmann
--
Securepoint GmbH
notification fehlte.
funktioniert im moment.
achim
funktioniert im moment.
achim