Sophos AV mit Amavisd-new und SAVDI

Carsten Rosenberg cr at ncxs.de
Mi Dez 5 11:28:47 CET 2018


https://github.com/rspamd/rspamd.com/pull/369

Ich hab die SAVDI Doku für den Rspamd mal präzisiert.

Viele Grüße

Carsten

On 04.12.18 19:28, Frank Fiene wrote:
> Na also:
> 
> 554 5.7.1 sophos: virus found: "EICAR-AV-Test"
> 
> 
> 
> Also vielen Dank an alle!
> 
> Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod
> Stakhov mal an.
> 
> 
> Viele Grüße!
> Frank
> -- 
> Frank Fiene
> IT-Security Manager VEKA Group
> 
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
> http://www.veka.com
> 
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
> 
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
> 
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
> Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster
> 
>> Am 04.12.2018 um 19:22 schrieb Frank Fiene <ffiene at veka.com
>> <mailto:ffiene at veka.com>>:
>>
>> Ich meinte natürlich SSSP. 
>>
>> Ich habe mal die Requests mitgelogt.
>>
>> 181204:192035 [5C06A00C] 00038402 New session
>> 181204:192035 [5C06A00C/1] 00030406 Client request
>>     SSSP/1.0
>> 181204:192035 [5C06A00C/2] 00030406 Client request
>>     SCANDATA 9585
>> 181204:192035 [5C06A00C/3] 00030406 Client request
>>     BYE
>> 181204:192035 [5C06A00C] 00038403 Session ended
>> 181204:192035 [5C06A00C] 00038401 Connection ended
>>
>>
>> Das sieht doch eigentlich gut aus, oder?
>>
>> Muss nochmal den EICAR durchjagen.
>>
>>
>> Viele Grüße!
>> Frank
>> -- 
>> Frank Fiene
>> IT-Security Manager VEKA Group
>>
>> Fon: +49 2526 29-6200
>> Fax: +49 2526 29-16-6200
>> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
>> http://www.veka.com <http://www.veka.com/>
>>
>> PGP-ID: 62112A51
>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>> Threema: VZK5NDWW
>>
>> VEKA AG
>> Dieselstr. 8
>> 48324 Sendenhorst
>> Deutschland/Germany
>>
>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>> Werner Schuler,
>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>> Weimer
>> HRB 8282 AG Münster/District Court of Münster
>>
>>> Am 04.12.2018 um 17:52 schrieb Frank Fiene <ffiene at veka.com
>>> <mailto:ffiene at veka.com>>:
>>>
>>> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.
>>>
>>> Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.
>>>
>>> -- 
>>> Frank Fiene
>>> IT-Security Manager VEKA Group
>>>
>>> Fon: +49 2526 29-6200
>>> Fax: +49 2526 29-16-6200
>>> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
>>> http://www.veka.com <http://www.veka.com/>
>>>
>>> PGP-ID: 62112A51
>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>>
>>> VEKA AG
>>> Dieselstr. 8
>>> 48324 Sendenhorst
>>> Deutschland/Germany
>>>
>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>>> Werner Schuler,
>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>>> Weimer
>>> HRB 8282 AG Münster/District Court of Münster
>>>
>>>> Am 04.12.2018 um 16:17 schrieb Michael Wuttke
>>>> <mwuttke at beuth-hochschule.de <mailto:mwuttke at beuth-hochschule.de>>:
>>>>
>>>> Hallo,
>>>>
>>>> noch mal als Nachtrag, da es Nachfragen gab:
>>>>
>>>> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
>>>> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
>>>> channel for SSSP konfiguriert.
>>>>
>>>> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
>>>> einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
>>>> channel for SSSP hinzufügen.
>>>>
>>>> Danke & Gruß,
>>>> Michael Wuttke
>>>>
>>>>> Am 04.12.18 um 10:19 schrieb Michael Wuttke:
>>>>> Hallo,
>>>>>
>>>>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
>>>>> folgende Einstellung hinzuzufügen, die zum einen aus der
>>>>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
>>>>> Executive von sophos bestätigt wurde:
>>>>>
>>>>> / /
>>>>> /CXMail is our context based detection/
>>>>> / /
>>>>>
>>>>> /This particular detection is fired on Microsoft office
>>>>> attachments(often compressed) that have macros inside. These macros
>>>>> work as a file dropper/downloader and access the internet to download
>>>>> a malware payload. The URL's accessed by these attachments change on a
>>>>> regular basis and will automatically switch to a new one if the
>>>>> existing one is blocked.  /
>>>>>
>>>>> scanner {
>>>>>
>>>>> ...
>>>>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
>>>>> ...
>>>>> }
>>>>>
>>>>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
>>>>> oben gegangen. ;-)
>>>>>
>>>>> Danke & Gruß,
>>>>> Michael
>>>>>
>>>>>> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>>>>>> Moin,
>>>>>>
>>>>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen
>>>>>> Virenscanner testen neben Clamav und da ist mir Sophos in dein
>>>>>> Sinn gekommen.
>>>>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav
>>>>>> noch Trendmicro (im Backend) erkennen, selbst ältere.
>>>>>>
>>>>>>
>>>>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und
>>>>>> amavisd-new?
>>>>>>
>>>>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen
>>>>>> Maschine oder auf jedem Gateway?
>>>>>>
>>>>>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>>>>>
>>>>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag
>>>>>> gescannt werden müssen, also durch die anderen Abwehrmaßnahmen
>>>>>> durchgekommen sind?
>>>>>>
>>>>>>
>>>>>>
>>>>>> Viele Grüße!
>>>>>> Frank
>>>>>>
>>>>>
>>>>
>>>
>>
> 


Mehr Informationen über die Mailingliste Postfixbuch-users