Sophos AV mit Amavisd-new und SAVDI

[Frank Fiene]

Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.

Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.

-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

> Am 04.12.2018 um 16:17 schrieb Michael Wuttke <mwuttke at beuth-hochschule.de>:
> 
> Hallo,
> 
> noch mal als Nachtrag, da es Nachfragen gab:
> 
> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
> channel for SSSP konfiguriert.
> 
> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
> einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
> channel for SSSP hinzufügen.
> 
> Danke & Gruß,
> Michael Wuttke
> 
>> Am 04.12.18 um 10:19 schrieb Michael Wuttke:
>> Hallo,
>> 
>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
>> folgende Einstellung hinzuzufügen, die zum einen aus der
>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
>> Executive von sophos bestätigt wurde:
>> 
>> / /
>> /CXMail is our context based detection/
>> / /
>> 
>> /This particular detection is fired on Microsoft office
>> attachments(often compressed) that have macros inside. These macros
>> work as a file dropper/downloader and access the internet to download
>> a malware payload. The URL's accessed by these attachments change on a
>> regular basis and will automatically switch to a new one if the
>> existing one is blocked.  /
>> 
>> scanner {
>> 
>> ...
>>  contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
>> ...
>> }
>> 
>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
>> oben gegangen. ;-)
>> 
>> Danke & Gruß,
>> Michael
>> 
>>> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>>> Moin,
>>> 
>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.
>>> 
>>> 
>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?
>>> 
>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?
>>> 
>>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>> 
>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?
>>> 
>>> 
>>> 
>>> Viele Grüße!
>>> Frank
>>> 
>> 
>