SOPHOS_VIRUS_FAIL

classic Classic list List threaded Threaded
13 messages Options
Reply | Threaded
Open this post in threaded view
|

SOPHOS_VIRUS_FAIL

Frank Fiene
Moin!

Mal wieder etwas neues:

Ich bekomme seit dem Update auf 2.1 tausende dieser Fehlermeldungen (Faktor 20 zu vorher):

Nov 19 11:36:51 smtp1 rspamd[9849]: <fd2893>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed

Woran kann das liegen?

Wie funktioniert das Multithreading im savdi? Wird der Scanner blockiert, wenn eine Datei untersucht wird? Dann wäre der Scanner aber ziemlich unbrauchbar.



Da meine Ausnahme

  ALLOW_ENCR_ATT {
    id = "allow_encr_att";
    priority = high;
    ip = "2a00:e50:f155:800::76"; # Behrmann und Partner
    ip = "193.27.50.76";          # Behrmann und Partner
    apply {
      symbols_disabled = [
        "SAVDI_FILE_ENCRYPTED",
      ];
    }
    # Always add these symbols when settings rule has matched
    symbols [
      "ALLOW_ENCR_ATT"
    ]
  }

Auch gerade nicht funktioniert und Mails von diesen IPs mit

SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted]

abgewiesen werden, sieht es für mich so aus, als wenn der Rspamd mit dem savdi ein Problem hätte.



Hilfe!



Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Ralf Hildebrandt
* Frank Fiene <[hidden email]>:

> Ich bekomme seit dem Update auf 2.1 tausende dieser Fehlermeldungen (Faktor 20 zu vorher):
>
> Nov 19 11:36:51 smtp1 rspamd[9849]: <fd2893>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed

Ich sehe die auch, aber selten (2.1 schon lange im Einsatz):

# xzegrep -c "SOPHOS_VIRUS.*failed to scan, maximum retransmits exceed" /var/log/mail.log*

/var/log/mail.log-20191112.xz:0
/var/log/mail.log-20191113.xz:10
/var/log/mail.log-20191114.xz:6
/var/log/mail.log-20191115.xz:2
/var/log/mail.log-20191116.xz:1
/var/log/mail.log-20191117.xz:0
/var/log/mail.log-20191118:0
/var/log/mail.log:4

Heute:

Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed
Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; common.lua:108: second (sophos): result - FAILED with error: "failed to scan and retransmits exceed - score: 0"
Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed
Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; common.lua:108: second (sophos): result - FAILED with error: "failed to scan and retransmits exceed - score: 0"
Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed
Nov 19 01:12:11 mail-cbf rspamd[1892]: <6e9830>; lua; common.lua:108: second (sophos): result - FAILED with error: "failed to scan and retransmits exceed - score: 0"

und

Nov 19 10:24:23 mail-cbf rspamd[1891]: <c3bcfd>; lua; sophos.lua:117: SOPHOS_VIRUS [sophos]: failed to scan, maximum retransmits exceed

Blick ins Log:
*** sagt mir nix, weil der Scans nicht protokolliert :( ****

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Frank Fiene
Seit etwas mehr als zwei Wochen:

/var/log/mail.log:835
/var/log/mail.log.1:2347
/var/log/mail.log.2:1792
/var/log/mail.log.3:22
/var/log/mail.log.4:27


Das ganze mal drei wegen dreier Gateways.

:-(



Am 19.11.2019 um 12:31 schrieb Ralf Hildebrandt <[hidden email]>:

xzegrep -c "SOPHOS_VIRUS.*failed to scan, maximum retransmits exceed" /var/log/mail.log*

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Ralf Hildebrandt
* Frank Fiene <[hidden email]>:
> Seit etwas mehr als zwei Wochen:
>
> /var/log/mail.log:835
> /var/log/mail.log.1:2347
> /var/log/mail.log.2:1792
> /var/log/mail.log.3:22
> /var/log/mail.log.4:27

Mein Setup:

  action = "reject";
 
  scan_mime_parts = true;
  scan_text_mime = true;
  scan_image_mime = true;
  symbol = "SOPHOS_VIRUS";
 
  type = "sophos";
 
  log_clean = false;
  timeout = 30.0;
  retransmits = 4;

  servers = "127.0.0.1:4010";

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Carsten Rosenberg
Hey,

es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob
das im 2.1 Release schon drin war.

Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und
schau mal ins savdi log.
Wegen der max Connections:
https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666
Vielleicht muss du da noch was drehen.

>   scan_mime_parts = true;
>   scan_text_mime = true;
>   scan_image_mime = true;
>   symbol = "SOPHOS_VIRUS";

Das erzeugt natürlich auch viele Requests.

>
> SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted]

Das ist das neue generische Symbol für verschlüsselte Files. Da musst du
deine Settings anpassen.

Viele Grüße

Carsten


On 19.11.19 12:39, Ralf Hildebrandt wrote:

> * Frank Fiene <[hidden email]>:
>> Seit etwas mehr als zwei Wochen:
>>
>> /var/log/mail.log:835
>> /var/log/mail.log.1:2347
>> /var/log/mail.log.2:1792
>> /var/log/mail.log.3:22
>> /var/log/mail.log.4:27
>
> Mein Setup:
>
>   action = "reject";
>  
>   scan_mime_parts = true;
>   scan_text_mime = true;
>   scan_image_mime = true;
>   symbol = "SOPHOS_VIRUS";
>  
>   type = "sophos";
>  
>   log_clean = false;
>   timeout = 30.0;
>   retransmits = 4;
>
>   servers = "127.0.0.1:4010";
>
Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Frank Fiene
In reply to this post by Ralf Hildebrandt
Komplett:

 

 action = "reject";
  message = 'VEKA ${SCANNER}: virus found: "${VIRUS}"';
  savdi_report_oversize = true;
  savdi_report_encrypted = true;

  scan_mime_parts = true;
  scan_text_mime = true;
  scan_image_mime = true;
  #max_size = 8192000;                                                                                                                                                                                                            
  symbol = "SOPHOS_VIRUS";
  type = "sophos";
  servers = "/var/run/savdid/savdid.sock";
  
  patterns {
    # symbol_name = "pattern";                                                                                                                                                                                                    
    SOPHOS_FILE_ENCRYPTED = "^SAVDI_FILE_ENCRYPTED$";
    SOPHOS_FILE_OVERSIZED = "^SAVDI_FILE_OVERSIZED$";
  }

  ALLOW_ENCR_ATT {
    id = "allow_encr_att";
    priority = high;
    ip = "2a00:e50:f155:800::76"; # Behrmann und Partner                                                                                                                                                                          
    ip = "193.27.50.76";          # Behrmann und Partner                                                                                                                                                                          
    apply {
      symbols_disabled = [
        "SAVDI_FILE_ENCRYPTED",
        "SOPHOS_FILE_ENCRYPTED",
        "SOPHOS_VIRUS_ENCRYPTED",
      ];
    }
    # Always add these symbols when settings rule has matched                                                                                                                                                                     
    symbols [
      "ALLOW_ENCR_ATT"
    ]
  }

  whitelist = "/etc/rspamd/antivirus.wl";


Am 19.11.2019 um 12:39 schrieb Ralf Hildebrandt <[hidden email]>:

* Frank Fiene <[hidden email]>:
Seit etwas mehr als zwei Wochen:

/var/log/mail.log:835
/var/log/mail.log.1:2347
/var/log/mail.log.2:1792
/var/log/mail.log.3:22
/var/log/mail.log.4:27

Mein Setup:

 action = "reject";

 scan_mime_parts = true;
 scan_text_mime = true;
 scan_image_mime = true;
 symbol = "SOPHOS_VIRUS";

 type = "sophos";

 log_clean = false;
 timeout = 30.0;
 retransmits = 4;

 servers = "127.0.0.1:4010";

--
Ralf Hildebrandt
 Geschäftsbereich IT | Abteilung Netzwerk
 Charité - Universitätsmedizin Berlin
 Campus Benjamin Franklin
 Hindenburgdamm 30 | D-12203 Berlin
 Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
 [hidden email] | https://www.charite.de
   

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Frank Fiene
In reply to this post by Carsten Rosenberg
Du meinst hier?

Seitdem du mir das gezeigt hattest, lief es nur mit „SAVDI_FILE_ENCRYPTED“ korrekt


  ALLOW_ENCR_ATT {
    id = "allow_encr_att";
    priority = high;
    ip = "2a00:e50:f155:800::76"# Behrmann und Partner                                                                                                                                                                          
    ip = "193.27.50.76";          # Behrmann und Partner                                                                                                                                                                          
    apply {
      symbols_disabled = [
        "SAVDI_FILE_ENCRYPTED",
        "SOPHOS_FILE_ENCRYPTED",
        "SOPHOS_VIRUS_ENCRYPTED",
      ];
    }
    # Always add these symbols when settings rule has matched                                                                                                                                                                     
    symbols [
      "ALLOW_ENCR_ATT"
    ]
  }


Viele Grüße! 



Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg <[hidden email]>:

Hey,

es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob
das im 2.1 Release schon drin war.

Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und
schau mal ins savdi log.
Wegen der max Connections:
https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666
Vielleicht muss du da noch was drehen.

 scan_mime_parts = true;
 scan_text_mime = true;
 scan_image_mime = true;
 symbol = "SOPHOS_VIRUS";

Das erzeugt natürlich auch viele Requests.


SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted]

Das ist das neue generische Symbol für verschlüsselte Files. Da musst du
deine Settings anpassen.

Viele Grüße

Carsten


On 19.11.19 12:39, Ralf Hildebrandt wrote:
* Frank Fiene <[hidden email]>:
Seit etwas mehr als zwei Wochen:

/var/log/mail.log:835
/var/log/mail.log.1:2347
/var/log/mail.log.2:1792
/var/log/mail.log.3:22
/var/log/mail.log.4:27

Mein Setup:

 action = "reject";

 scan_mime_parts = true;
 scan_text_mime = true;
 scan_image_mime = true;
 symbol = "SOPHOS_VIRUS";

 type = "sophos";

 log_clean = false;
 timeout = 30.0;
 retransmits = 4;

 servers = "127.0.0.1:4010";


Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Frank Fiene
In reply to this post by Carsten Rosenberg


Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg <[hidden email]>:

Hey,

es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob
das im 2.1 Release schon drin war.

Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und
schau mal ins savdi log.

Wenn ich in debug_modules das antivirus einschalte, sehe ich , dass rspamd mit dem savdi korrekt kommuniziert. Der erkennt ja auch manchmal Viren.

Das savdi log selber sieht gut aus, wenn da manchmal steht, dass der Client die Verbindung „early“ beendet hat, heißt das wahrscheinlich, dass rspamd anderweitig schon die Entscheidung getroffen hat, die Mail abzuweisen, oder?


Wegen der max Connections:
https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666
Vielleicht muss du da noch was drehen.

Da stand vorher 

threadcount = 30
maxquedsessions=20

Ich habe den Wert der maxquedsessions auf 2 gesetzt.


Kann ich den ersten Wert hochstehen, wenn das System das Ressourcentechnisch erlaubt?


 scan_mime_parts = true;
 scan_text_mime = true;
 scan_image_mime = true;
 symbol = "SOPHOS_VIRUS";

Das erzeugt natürlich auch viele Requests.

Was ist deine Empfehlung?


SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted]

Das ist das neue generische Symbol für verschlüsselte Files. Da musst du
deine Settings anpassen.

Viele Grüße

Carsten


On 19.11.19 12:39, Ralf Hildebrandt wrote:
* Frank Fiene <[hidden email]>:
Seit etwas mehr als zwei Wochen:

/var/log/mail.log:835
/var/log/mail.log.1:2347
/var/log/mail.log.2:1792
/var/log/mail.log.3:22
/var/log/mail.log.4:27

Mein Setup:

 action = "reject";

 scan_mime_parts = true;
 scan_text_mime = true;
 scan_image_mime = true;
 symbol = "SOPHOS_VIRUS";

 type = "sophos";

 log_clean = false;
 timeout = 30.0;
 retransmits = 4;

 servers = "127.0.0.1:4010";


Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Frank Fiene
Jetzt habe ich sogar

  savdi_report_encrypted = false;

Gesetzt, und es erscheint immer noch im Log:


Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; sophos.lua:143: Message is encrypted (FAIL 0212): FAIL 0212 \0d\0a
Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; common.lua:108: sophos: result - FAILED with error: "SAVDI: Message is encrypted (FAIL 0212) - score: 0"
Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; lua; common.lua:108: sophos: result - Scan has returned that input was encrypted: "File is encrypted - score: 1"
Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; proxy; rspamd_add_passthrough_result: <[hidden email]>: set pre-result to 'reject' (no score): 'VEKA sophos: virus found: "File is encrypted"' from sophos(1)
Nov 19 13:56:17 smtp1 postfix/cleanup[6470]: 6157A8C1D: milter-reject: END-OF-MESSAGE from idvmailout01.datevnet.de[193.27.50.76]: 5.7.1 VEKA sophos: virus found: "File is encrypted"; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<idvmailout01.datevnet.de>



WTF?


Am 19.11.2019 um 13:33 schrieb Frank Fiene <[hidden email]>:



Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg <[hidden email]>:

Hey,

es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob
das im 2.1 Release schon drin war.

Pack mal antivirus in die debug_modules, ob Rspamd da mehr sagt. Und
schau mal ins savdi log.

Wenn ich in debug_modules das antivirus einschalte, sehe ich , dass rspamd mit dem savdi korrekt kommuniziert. Der erkennt ja auch manchmal Viren.

Das savdi log selber sieht gut aus, wenn da manchmal steht, dass der Client die Verbindung „early“ beendet hat, heißt das wahrscheinlich, dass rspamd anderweitig schon die Entscheidung getroffen hat, die Mail abzuweisen, oder?


Wegen der max Connections:
https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666
Vielleicht muss du da noch was drehen.

Da stand vorher 

threadcount = 30
maxquedsessions=20

Ich habe den Wert der maxquedsessions auf 2 gesetzt.


Kann ich den ersten Wert hochstehen, wenn das System das Ressourcentechnisch erlaubt?


 scan_mime_parts = true;
 scan_text_mime = true;
 scan_image_mime = true;
 symbol = "SOPHOS_VIRUS";

Das erzeugt natürlich auch viele Requests.

Was ist deine Empfehlung?


SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted]

Das ist das neue generische Symbol für verschlüsselte Files. Da musst du
deine Settings anpassen.

Viele Grüße

Carsten


On 19.11.19 12:39, Ralf Hildebrandt wrote:
* Frank Fiene <[hidden email]>:
Seit etwas mehr als zwei Wochen:

/var/log/mail.log:835
/var/log/mail.log.1:2347
/var/log/mail.log.2:1792
/var/log/mail.log.3:22
/var/log/mail.log.4:27

Mein Setup:

 action = "reject";

 scan_mime_parts = true;
 scan_text_mime = true;
 scan_image_mime = true;
 symbol = "SOPHOS_VIRUS";

 type = "sophos";

 log_clean = false;
 timeout = 30.0;
 retransmits = 4;

 servers = "127.0.0.1:4010";


Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Carsten Rosenberg
In reply to this post by Frank Fiene
On 19.11.19 13:33, Frank Fiene wrote:

>
>
>> Am 19.11.2019 um 12:46 schrieb Carsten Rosenberg <[hidden email]
>> <mailto:[hidden email]>>:
>>
>> Hey,
>>
>> es gab noch nen fix wegen der Upstreams. Ich weiß grad leider nicht ob
>> das im 2.1 Release schon drin war.
>>

https://rspamd.com/blog/

War erst in der gestern releasten 2.2 ;)

>
>
>> Wegen der max Connections:
>> https://gist.github.com/c-rosenberg/671b0a5d8b1b5a937e3e161f8515c666
>> Vielleicht muss du da noch was drehen.
>
> Da stand vorher 
>
> threadcount = 30
> maxquedsessions=20
>
> Ich habe den Wert der maxquedsessions auf 2 gesetzt.
>
>
> Kann ich den ersten Wert hochstehen, wenn das System das
> Ressourcentechnisch erlaubt?

Klar das sollte kein Problem sein.

>
>
>>>  scan_mime_parts = true;
>>>  scan_text_mime = true;
>>>  scan_image_mime = true;
>>>  symbol = "SOPHOS_VIRUS";
>>
>> Das erzeugt natürlich auch viele Requests.
>
> Was ist deine Empfehlung?

Ich würde scan_image_mime weg lassen.

>
>
>>> SOPHOS_VIRUS_ENCRYPTED (0) [File is encrypted]


Viele Grüße

Carsten
Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Carsten Rosenberg
In reply to this post by Frank Fiene


On 19.11.19 14:00, Frank Fiene wrote:
> Jetzt habe ich sogar
>
>   savdi_report_encrypted= false;

Diese Schalter sind seit der 1.9.0 raus:
https://rspamd.com/doc/modules/antivirus.html#sophos-savdi-specific-details

>
> Gesetzt, und es erscheint immer noch im Log:
>
>
> Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; *sophos*.lua:143:
> Message is encrypted (FAIL 0212): FAIL 0212 \0d\0a
> Nov 19 13:55:41 smtp1 rspamd[16640]: <92fd52>; lua; common.lua:108:
> *sophos*: result - FAILED with error: "SAVDI: Message is encrypted (FAIL
> 0212) - score: 0"
> Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; lua; common.lua:108:
> *sophos*: result - Scan has returned that input was encrypted: "File is
> encrypted - score: 1"
> Nov 19 13:56:13 smtp1 rspamd[16642]: <0a5ed6>; proxy;
> rspamd_add_passthrough_result:
> <[hidden email]
> <mailto:[hidden email]>>: set
> pre-result to 'reject' (no score): 'VEKA *sophos*: virus found: "File is
> encrypted"' from *sophos*(1)
> Nov 19 13:56:17 smtp1 postfix/cleanup[6470]: 6157A8C1D: milter-reject:
> END-OF-MESSAGE from idvmailout01.datevnet.de
> <http://idvmailout01.datevnet.de>[193.27.50.76]: 5.7.1 VEKA *sophos*:
> virus found: "File is encrypted"; from=<[hidden email]
> <mailto:[hidden email]>> to=<[hidden email]
> <mailto:[hidden email]>> proto=ESMTP helo=<idvmailout01.datevnet.de
> <http://idvmailout01.datevnet.de>>
>
>
>
> WTF
Da Gibts einen Fehler in dem Sophos Plugin. Bei der ersten Erkennung
gibts ein SOPHOS_VIRUS_FAIL und dann aus dem Cache ein
SOPHOS_VIRUS_ENCRYPTED

https://github.com/rspamd/rspamd/pull/3154

Du könntest das per Hand patchen oder via patterns auf "SAVDI: Message
is encrypted (FAIL 0212)" matchen. Dann umgehst du _ENCRYPTED, _FAIL etc

Viele Grüße

Carsten


Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Frank Fiene

Jetzt habe ich sogar

  savdi_report_encrypted= false;

Diese Schalter sind seit der 1.9.0 raus:
https://rspamd.com/doc/modules/antivirus.html#sophos-savdi-specific-details

OK, werde ich dann mal löschen.


Da Gibts einen Fehler in dem Sophos Plugin. Bei der ersten Erkennung
gibts ein SOPHOS_VIRUS_FAIL und dann aus dem Cache ein
SOPHOS_VIRUS_ENCRYPTED

https://github.com/rspamd/rspamd/pull/3154

Haha, das erklärt, warum die erste Mail immer durchkommt und dieselbe später nochmal verschickt, als Encrypted erkannt wird, obwohl da gar nichts verschlüsselt ist.


Du könntest das per Hand patchen oder via patterns auf "SAVDI: Message
is encrypted (FAIL 0212)" matchen. Dann umgehst du _ENCRYPTED, _FAIL etc

Danke für den Bugfix! Ich habe es erstmal per Hand gepatcht.

Funktioniert denn die Ausnahme ALLOW_ENCR_ATT immer noch wie in der Doku?



Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: [ext] SOPHOS_VIRUS_FAIL

Carsten Rosenberg
On 20.11.19 13:56, Frank Fiene wrote:
>
> Haha, das erklärt, warum die erste Mail immer durchkommt und dieselbe
> später nochmal verschickt, als Encrypted erkannt wird, obwohl da gar
> nichts verschlüsselt ist.

Sophos meint halt zu den Dateien, dass sie verschlüsselt währen Fehler
FAIL 212. Muss ja nicht stimmen ;)

>
>
>> Du könntest das per Hand patchen oder via patterns auf "SAVDI: Message
>> is encrypted (FAIL 0212)" matchen. Dann umgehst du _ENCRYPTED, _FAIL etc
>
> Danke für den Bugfix! Ich habe es erstmal per Hand gepatcht.
>
> Funktioniert denn die Ausnahme ALLOW_ENCR_ATT immer noch wie in der Doku?


Das musst du mal ausprobieren. Würdest du SOPHOS_VIRUS disablen, würde
ja das ganze Plugin nicht mehr laufen. Das läuft aber und du hast reject
aktiviert und nur wenn SOPHOS_VIRUS_ENCRYPTED vom Plugin gesetzt wird,
soll es nun nicht ausgeführt werden. Da SOPHOS_VIRUS_ENCRYPTED ein
virtuelles Symbol (ohne angehängte Funktion) ist, könnte das schief gehen.

Beim Reject über Force Actions klappt die Deaktivierung über die
Settings aber auf jeden Fall.


--
Carsten