Sophos AV mit Amavisd-new und SAVDI

Di Dez 4 15:08:28 CET 2018

Wenn ich clamav auf dem System ausschalte, kommt der EICAR durch. :-(

Also irgendwas funktioniert nicht.

Google hilft auch nicht.

> Am 04.12.2018 um 14:52 schrieb Frank Fiene <ffiene at veka.com>:
> 
> Ich habe das blöde Gefühl, dass rspamd nicht richtig mit SAVDI will.
> 
> Ich habe jetzt drei Installationen. Zwei mit amavisd-new und eine mit rspamd.
> 
> Im SAVDI Log erscheint:
> 181204:144538 [5C067F4F] 00038402 New session
> 181204:144538 [5C067F4F] 00038403 Session ended
> 181204:144538 [5C067F4F] 00038401 Connection ended
>     To: /var/run/savdid/savdid.sock From User (112, 117), process 20693
> 
> 
> Alles auf einmal, auf den Amavisd-new Instanzen vergehen ein paar Sekunden zwischen „New session“ und „Session ended“.
> 
> Es sieht irgendwie so aus, als wenn rspamd zwar mit dem Socket redet, aber SAVDI nicht den Scan Daemon benutzt.
> 
> Der läuft natürlich.
> 
> Kann ich das irgendwie testen?
> 
> 
> 
> Viele Grüße! Frank
> 
> 
> 
>> Am 04.12.2018 um 10:19 schrieb Michael Wuttke <mwuttke at beuth-hochschule.de <mailto:mwuttke at beuth-hochschule.de>>:
>> 
>> Hallo,
>> 
>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
>> folgende Einstellung hinzuzufügen, die zum einen aus der
>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
>> Executive von sophos bestätigt wurde:
>> 
>> / /
>> /CXMail is our context based detection/
>> / /
>> 
>> /This particular detection is fired on Microsoft office
>> attachments(often compressed) that have macros inside. These macros
>> work as a file dropper/downloader and access the internet to download
>> a malware payload. The URL's accessed by these attachments change on a
>> regular basis and will automatically switch to a new one if the
>> existing one is blocked.  /
>> 
>> scanner {
>> 
>> ...
>>  contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
>> ...
>> }
>> 
>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
>> oben gegangen. ;-)
>> 
>> Danke & Gruß,
>> Michael
>> 
>> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>>> Moin,
>>> 
>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.
>>> 
>>> 
>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?
>>> 
>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?
>>> 
>>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>> 
>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?
>>> 
>>> 
>>> 
>>> Viele Grüße!
>>> Frank
>>> 
>> 
> 
> Viele Grüße!
> i.A. Frank Fiene
> -- 
> Frank Fiene
> IT-Security Manager VEKA Group
> 
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
> http://www.veka.com <http://www.veka.com/>
> 
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
> 
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
> 
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster
> 

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20181204/6629f07d/attachment-0001.html>