Sophos AV mit Amavisd-new und SAVDI
Frank Fiene
ffiene at veka.com
Di Dez 4 19:22:20 CET 2018
Ich meinte natürlich SSSP.
Ich habe mal die Requests mitgelogt.
181204:192035 [5C06A00C] 00038402 New session
181204:192035 [5C06A00C/1] 00030406 Client request
SSSP/1.0
181204:192035 [5C06A00C/2] 00030406 Client request
SCANDATA 9585
181204:192035 [5C06A00C/3] 00030406 Client request
BYE
181204:192035 [5C06A00C] 00038403 Session ended
181204:192035 [5C06A00C] 00038401 Connection ended
Das sieht doch eigentlich gut aus, oder?
Muss nochmal den EICAR durchjagen.
Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com
PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW
VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster
> Am 04.12.2018 um 17:52 schrieb Frank Fiene <ffiene at veka.com>:
>
> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.
>
> Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.
>
> --
> Frank Fiene
> IT-Security Manager VEKA Group
>
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com
> http://www.veka.com
>
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
>
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster
>
>> Am 04.12.2018 um 16:17 schrieb Michael Wuttke <mwuttke at beuth-hochschule.de>:
>>
>> Hallo,
>>
>> noch mal als Nachtrag, da es Nachfragen gab:
>>
>> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
>> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
>> channel for SSSP konfiguriert.
>>
>> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
>> einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
>> channel for SSSP hinzufügen.
>>
>> Danke & Gruß,
>> Michael Wuttke
>>
>>> Am 04.12.18 um 10:19 schrieb Michael Wuttke:
>>> Hallo,
>>>
>>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
>>> folgende Einstellung hinzuzufügen, die zum einen aus der
>>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
>>> Executive von sophos bestätigt wurde:
>>>
>>> / /
>>> /CXMail is our context based detection/
>>> / /
>>>
>>> /This particular detection is fired on Microsoft office
>>> attachments(often compressed) that have macros inside. These macros
>>> work as a file dropper/downloader and access the internet to download
>>> a malware payload. The URL's accessed by these attachments change on a
>>> regular basis and will automatically switch to a new one if the
>>> existing one is blocked. /
>>>
>>> scanner {
>>>
>>> ...
>>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
>>> ...
>>> }
>>>
>>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
>>> oben gegangen. ;-)
>>>
>>> Danke & Gruß,
>>> Michael
>>>
>>>> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>>>> Moin,
>>>>
>>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
>>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.
>>>>
>>>>
>>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?
>>>>
>>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?
>>>>
>>>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>>>
>>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?
>>>>
>>>>
>>>>
>>>> Viele Grüße!
>>>> Frank
>>>>
>>>
>>
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20181204/4b9b80c1/attachment-0001.html>
Mehr Informationen über die Mailingliste Postfixbuch-users