[ext] SOPHOS_VIRUS_FAIL

Frank Fiene ffiene at veka.com
Di Nov 19 14:00:16 CET 2019


Jetzt habe ich sogar

  savdi_report_encrypted = false;

Gesetzt, und es erscheint immer noch im Log:


Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; sophos.lua:143: Message is encrypted (FAIL 0212): FAIL 0212 \0d\0a
Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; common.lua:108: sophos: result - FAILED with error: "SAVDI: Message is encrypted (FAIL 0212) - score: 0"
Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; lua; common.lua:108: sophos: result - Scan has returned that input was encrypted: "File is encrypted - score: 1"
Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; proxy; rspamd_add_passthrough_result: <a4d0b34486cc4669b1cb50050f4957df at beermann-partner.de>: set pre-result to 'reject' (no score): 'VEKA sophos: virus found: "File is encrypted"' from sophos(1)
Nov 19 13:56:17 smtp1 postfix/cleanup[6470]: 6157A8C1D: milter-reject: END-OF-MESSAGE from idvmailout01.datevnet.de[193.27.50.76]: 5.7.1 VEKA sophos: virus found: "File is encrypted"; from=<Audit at beermann-partner.de> to=<csach at veka.com> proto=ESMTP helo=<idvmailout01.datevnet.de>



WTF?


> Am 19.11.2019 um 13:33 schrieb Frank Fiene <ffiene at veka.com>:
> 
> 
> 
>> Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg <cr at ncxs.de <mailto:cr at ncxs.de>>:
>> 
>> Hey,
>> 
>> es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob
>> das im 2.1 Release schon drin war.
>> 
>> Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und
>> schau mal ins savdi log.
> 
> Wenn ich in debug_modules das antivirus einschalte, sehe ich , dass rspamd mit dem savdi korrekt kommuniziert. Der erkennt ja auch manchmal Viren.
> 
> Das savdi log selber sieht gut aus, wenn da manchmal steht, dass der Client die Verbindung „early“ beendet hat, heißt das wahrscheinlich, dass rspamd anderweitig schon die Entscheidung getroffen hat, die Mail abzuweisen, oder?
> 
> 
>> Wegen der max Connections:
>> https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666 <https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666>
>> Vielleicht muss du da noch was drehen.
> 
> Da stand vorher
> 
> threadcount = 30
> maxquedsessions=20
> 
> Ich habe den Wert der maxquedsessions auf 2 gesetzt.
> 
> 
> Kann ich den ersten Wert hochstehen, wenn das System das Ressourcentechnisch erlaubt?
> 
> 
>>>  scan_mime_parts = true;
>>>  scan_text_mime = true;
>>>  scan_image_mime = true;
>>>  symbol = "SOPHOS_VIRUS";
>> 
>> Das erzeugt natürlich auch viele Requests.
> 
> Was ist deine Empfehlung?
> 
> 
>>> SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted]
>> 
>> Das ist das neue generische Symbol für verschlüsselte Files. Da musst du
>> deine Settings anpassen.
>> 
>> Viele Grüße
>> 
>> Carsten
>> 
>> 
>> On 19.11.19 12:39, Ralf Hildebrandt wrote:
>>> * Frank Fiene <ffiene at veka.com <mailto:ffiene at veka.com>>:
>>>> Seit etwas mehr als zwei Wochen:
>>>> 
>>>> /var/log/mail.log:835
>>>> /var/log/mail.log.1:2347
>>>> /var/log/mail.log.2:1792
>>>> /var/log/mail.log.3:22
>>>> /var/log/mail.log.4:27
>>> 
>>> Mein Setup:
>>> 
>>>  action = "reject";
>>> 
>>>  scan_mime_parts = true;
>>>  scan_text_mime = true;
>>>  scan_image_mime = true;
>>>  symbol = "SOPHOS_VIRUS";
>>> 
>>>  type = "sophos";
>>> 
>>>  log_clean = false;
>>>  timeout = 30.0;
>>>  retransmits = 4;
>>> 
>>>  servers = "127.0.0.1:4010";
>>> 
> 
> Viele Grüße!
> i.A. Frank Fiene
> --
> Frank Fiene
> IT-Security Manager VEKA Group
> 
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: ffiene at veka.com <mailto:ffiene at veka.com>
> http://www.veka.com <http://www.veka.com/>
> 
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
> 
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
> 
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster

Viele Grüße!
i.A. Frank Fiene
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191119/c313f298/attachment-0001.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191119/c313f298/attachment-0001.asc>


Mehr Informationen über die Mailingliste Postfixbuch-users