Sophos AV mit Amavisd-new und SAVDI

Di Dez 4 14:52:09 CET 2018

Ich habe das blöde Gefühl, dass rspamd nicht richtig mit SAVDI will.

Ich habe jetzt drei Installationen. Zwei mit amavisd-new und eine mit rspamd.

Im SAVDI Log erscheint:
181204:144538 [5C067F4F] 00038402 New session
181204:144538 [5C067F4F] 00038403 Session ended
181204:144538 [5C067F4F] 00038401 Connection ended
    To: /var/run/savdid/savdid.sock From User (112, 117), process 20693

Alles auf einmal, auf den Amavisd-new Instanzen vergehen ein paar Sekunden zwischen „New session“ und „Session ended“.

Es sieht irgendwie so aus, als wenn rspamd zwar mit dem Socket redet, aber SAVDI nicht den Scan Daemon benutzt.

Der läuft natürlich.

Kann ich das irgendwie testen?

Viele Grüße! Frank

> Am 04.12.2018 um 10:19 schrieb Michael Wuttke <mwuttke at beuth-hochschule.de>:
> 
> Hallo,
> 
> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
> folgende Einstellung hinzuzufügen, die zum einen aus der
> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
> Executive von sophos bestätigt wurde:
> 
> / /
> /CXMail is our context based detection/
> / /
> 
> /This particular detection is fired on Microsoft office
> attachments(often compressed) that have macros inside. These macros
> work as a file dropper/downloader and access the internet to download
> a malware payload. The URL's accessed by these attachments change on a
> regular basis and will automatically switch to a new one if the
> existing one is blocked.  /
> 
> scanner {
> 
> ...
>  contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
> ...
> }
> 
> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
> oben gegangen. ;-)
> 
> Danke & Gruß,
> Michael
> 
> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>> Moin,
>> 
>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.
>> 
>> 
>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?
>> 
>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?
>> 
>> 3.) Gibt es Testversionen ohne Einschränkungen?
>> 
>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?
>> 
>> 
>> 
>> Viele Grüße!
>> Frank
>> 
> 

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20181204/2fcdcd5c/attachment.html>