Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

IDS und Application-Proxies

https://support.securepoint.de/viewtopic.php?t=59

Seite 1 von 1

IDS und Application-Proxies

Verfasst: Fr 09.03.2007, 12:00
von achim
Unter Application -> IDS sind alle Markierungen aufgehoben.
Unter Application -> POP3-Proxy ist der Virenscanner und der Spamfilter aktiviert.

Es ist uns nicht mehr möglich E-Mails per POP3 durch unseren Mail-Server abholen zu lassen.

Das Log der Securepoint sagt folgendes:
IDS/Alert: (portscan) TCP Portsweep

Die Mails werden im 2 Minuten-Rhythmus gepollt.

Warum ist das IDS aktiv?

Deaktivierung des Spam-Filters und Virenscanners im POP3-Proxy "löst" das Problem.

Nachtrag: Das IDS ist auch für den HTTP-Proxy aktiv.

mfg
achim

IDS und Application-Proxies

Verfasst: Fr 09.03.2007, 12:20
von oliver
hallo,

diese meldungen kommen auch, wenn alle regeln im ids deaktiviert sind. das sind
allgemeine "bemerkungen" des ids systems. man kann sie im prinzip ignorieren
(entstehen zum beispiel durch die umleitung der pakete bei transparenten proxies).

gruss

oliver hausmann

IDS und Application-Proxies

Verfasst: Fr 09.03.2007, 12:26
von achim
OK, mit dem ignorieren habe ich kein problem.

Doch wie gesagt können wir bei aktiviertem Spamfilter und Virenscanner über den POP3-Proxy keine Mails mehr abholen.
Unser Mailserver bekommt beim Verbindungsversuch ein timeout.

(Gleichzeitig erscheinen die IDS-Warnungen. daher der Thread-Titel)
Bei deaktiviertem Spamfilter/Virenscanner funktioniert das Abrufen wieder UND es kommen KEINE IDS-Warnungen mehr.

mfg
achim

IDS und Application-Proxies

Verfasst: Fr 09.03.2007, 12:38
von oliver
hallo,

sorry, jetzt hab ich es verstanden. im pop3proxy fehlt vermutlich die notification.
gehen sie mal in sm unter den punkt applikationen/pop3proxy/notification und
speichern folgenden text ab:

From: Securepoint POP3 Virus Scanner
To: %MAILTO%
Date: %MAILDATE%
Subject: Virus found in a mail to you.
Content-Transfer-Encoding: 8bit
Content-Type: text/plain;
charset="iso-8859-1"
MIME-Version: 1.0
This email is generated by %HOSTNAME%!
In a mail sent to you a virus has been found.
Virus name:
%VIRUSNAME%
Sender of the email:
%MAILFROM%
Subject:
%SUBJECT%
Connection date:
POP3 from %CLIENTIP%:%CLIENTPORT% to %SERVERIP%:%SERVERPORT%
Message File:
%POP3VSCANID%
Instead of the infected email this message has been sent to you.


gruss

oliver hausmann

IDS und Application-Proxies

Verfasst: Fr 09.03.2007, 12:58
von achim
notification fehlte.
funktioniert im moment.

achim
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de