Sophos AV mit Amavisd-new und SAVDI

Michael Wuttke mwuttke at beuth-hochschule.de
Di Dez 4 16:17:21 CET 2018


Hallo,

noch mal als Nachtrag, da es Nachfragen gab:

Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
channel for SSSP konfiguriert.

Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
channel for SSSP hinzufügen.

Danke & Gruß,
Michael Wuttke

Am 04.12.18 um 10:19 schrieb Michael Wuttke:
> Hallo,
> 
> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
> folgende Einstellung hinzuzufügen, die zum einen aus der
> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
> Executive von sophos bestätigt wurde:
> 
> / /
> /CXMail is our context based detection/
> / /
> 
> /This particular detection is fired on Microsoft office
> attachments(often compressed) that have macros inside. These macros
> work as a file dropper/downloader and access the internet to download
> a malware payload. The URL's accessed by these attachments change on a
> regular basis and will automatically switch to a new one if the
> existing one is blocked.  /
> 
> scanner {
> 
> ...
>   contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
> ...
> }
> 
> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
> oben gegangen. ;-)
> 
> Danke & Gruß,
> Michael
> 
> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>> Moin,
>>
>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.
>>
>>
>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?
>>
>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?
>>
>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>
>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?
>>
>>
>>
>> Viele Grüße!
>> Frank
>>
> 

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5602 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20181204/df65009f/attachment.p7s>


Mehr Informationen über die Mailingliste Postfixbuch-users