Sophos AV mit Amavisd-new und SAVDI

classic Classic list List threaded Threaded
14 messages Options
Reply | Threaded
Open this post in threaded view
|

Sophos AV mit Amavisd-new und SAVDI

Frank Fiene
Moin,

Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.


1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?

2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?

3.) Gibt es Testversionen ohne Einschränkungen?

4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?



Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: [ext] Sophos AV mit Amavisd-new und SAVDI

Ralf Hildebrandt
* Frank Fiene <[hidden email]>:
> Moin,
>
> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.
>
>
> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?

Das reicht.

> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?

Ich habe auf jedem Gateway installiert.

> 3.) Gibt es Testversionen ohne Einschränkungen?

IMHO ja:
-rw-r--r--  1 root     root      315091 May 19  2018 savdi-linux-64bit.tar.gz

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Sophos AV mit Amavisd-new und SAVDI

Frank Fiene
Danke Ralf,

rspamd scheint auch über SAVDI mit dem AV scanner zu reden.
Ich wollte die alten amavisd-new/Spamassassin Instanzen eh durch rspamd ersetzen, dann fange ich mal mit dem System an.


Viele Grüße! Frank


Am 04.12.2018 um 09:58 schrieb Ralf Hildebrandt <[hidden email]>:

* Frank Fiene <[hidden email]>:
Moin,

Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.


1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?

Das reicht.

2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?

Ich habe auf jedem Gateway installiert.

3.) Gibt es Testversionen ohne Einschränkungen?

IMHO ja:
-rw-r--r--  1 root     root      315091 May 19  2018 savdi-linux-64bit.tar.gz

--
Ralf Hildebrandt
 Geschäftsbereich IT | Abteilung Netzwerk
 Charité - Universitätsmedizin Berlin
 Campus Benjamin Franklin
 Hindenburgdamm 30 | D-12203 Berlin
 Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
 [hidden email] | https://www.charite.de
   

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: Sophos AV mit Amavisd-new und SAVDI

Michael Wuttke
In reply to this post by Frank Fiene
Hallo,

sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
folgende Einstellung hinzuzufügen, die zum einen aus der
DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
Executive von sophos bestätigt wurde:

/ /
/CXMail is our context based detection/
/ /

/This particular detection is fired on Microsoft office
attachments(often compressed) that have macros inside. These macros
work as a file dropper/downloader and access the internet to download
a malware payload. The URL's accessed by these attachments change on a
regular basis and will automatically switch to a new one if the
existing one is blocked.  /

scanner {

...
  contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
...
}

Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
oben gegangen. ;-)

Danke & Gruß,
Michael

Am 04.12.18 um 08:32 schrieb Frank Fiene:

> Moin,
>
> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.
>
>
> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?
>
> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?
>
> 3.) Gibt es Testversionen ohne Einschränkungen?
>
> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?
>
>
>
> Viele Grüße!
> Frank
>


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Sophos AV mit Amavisd-new und SAVDI

Frank Fiene
Ich habe das blöde Gefühl, dass rspamd nicht richtig mit SAVDI will.

Ich habe jetzt drei Installationen. Zwei mit amavisd-new und eine mit rspamd.

Im SAVDI Log erscheint:
181204:144538 [5C067F4F] 00038402 New session
181204:144538 [5C067F4F] 00038403 Session ended
181204:144538 [5C067F4F] 00038401 Connection ended
    To: /var/run/savdid/savdid.sock From User (112, 117), process 20693


Alles auf einmal, auf den Amavisd-new Instanzen vergehen ein paar Sekunden zwischen „New session“ und „Session ended“.

Es sieht irgendwie so aus, als wenn rspamd zwar mit dem Socket redet, aber SAVDI nicht den Scan Daemon benutzt.

Der läuft natürlich.

Kann ich das irgendwie testen?



Viele Grüße! Frank



Am 04.12.2018 um 10:19 schrieb Michael Wuttke <[hidden email]>:

Hallo,

sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
folgende Einstellung hinzuzufügen, die zum einen aus der
DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
Executive von sophos bestätigt wurde:

/ /
/CXMail is our context based detection/
/ /

/This particular detection is fired on Microsoft office
attachments(often compressed) that have macros inside. These macros
work as a file dropper/downloader and access the internet to download
a malware payload. The URL's accessed by these attachments change on a
regular basis and will automatically switch to a new one if the
existing one is blocked.  /

scanner {

...
 contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
...
}

Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
oben gegangen. ;-)

Danke & Gruß,
Michael

Am 04.12.18 um 08:32 schrieb Frank Fiene:
Moin,

Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.


1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?

2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?

3.) Gibt es Testversionen ohne Einschränkungen?

4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?



Viele Grüße!
Frank



Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: Sophos AV mit Amavisd-new und SAVDI

Frank Fiene
Wenn ich clamav auf dem System ausschalte, kommt der EICAR durch. :-(

Also irgendwas funktioniert nicht.

Google hilft auch nicht.





Am 04.12.2018 um 14:52 schrieb Frank Fiene <[hidden email]>:

Ich habe das blöde Gefühl, dass rspamd nicht richtig mit SAVDI will.

Ich habe jetzt drei Installationen. Zwei mit amavisd-new und eine mit rspamd.

Im SAVDI Log erscheint:
181204:144538 [5C067F4F] 00038402 New session
181204:144538 [5C067F4F] 00038403 Session ended
181204:144538 [5C067F4F] 00038401 Connection ended
    To: /var/run/savdid/savdid.sock From User (112, 117), process 20693


Alles auf einmal, auf den Amavisd-new Instanzen vergehen ein paar Sekunden zwischen „New session“ und „Session ended“.

Es sieht irgendwie so aus, als wenn rspamd zwar mit dem Socket redet, aber SAVDI nicht den Scan Daemon benutzt.

Der läuft natürlich.

Kann ich das irgendwie testen?



Viele Grüße! Frank



Am 04.12.2018 um 10:19 schrieb Michael Wuttke <[hidden email]>:

Hallo,

sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
folgende Einstellung hinzuzufügen, die zum einen aus der
DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
Executive von sophos bestätigt wurde:

/ /
/CXMail is our context based detection/
/ /

/This particular detection is fired on Microsoft office
attachments(often compressed) that have macros inside. These macros
work as a file dropper/downloader and access the internet to download
a malware payload. The URL's accessed by these attachments change on a
regular basis and will automatically switch to a new one if the
existing one is blocked.  /

scanner {

...
 contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
...
}

Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
oben gegangen. ;-)

Danke & Gruß,
Michael

Am 04.12.18 um 08:32 schrieb Frank Fiene:
Moin,

Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.


1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?

2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?

3.) Gibt es Testversionen ohne Einschränkungen?

4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?



Viele Grüße!
Frank



Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster


Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: Sophos AV mit Amavisd-new und SAVDI

Michael Wuttke
In reply to this post by Michael Wuttke
Hallo,

noch mal als Nachtrag, da es Nachfragen gab:

Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
channel for SSSP konfiguriert.

Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
channel for SSSP hinzufügen.

Danke & Gruß,
Michael Wuttke

Am 04.12.18 um 10:19 schrieb Michael Wuttke:

> Hallo,
>
> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
> folgende Einstellung hinzuzufügen, die zum einen aus der
> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
> Executive von sophos bestätigt wurde:
>
> / /
> /CXMail is our context based detection/
> / /
>
> /This particular detection is fired on Microsoft office
> attachments(often compressed) that have macros inside. These macros
> work as a file dropper/downloader and access the internet to download
> a malware payload. The URL's accessed by these attachments change on a
> regular basis and will automatically switch to a new one if the
> existing one is blocked.  /
>
> scanner {
>
> ...
>   contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
> ...
> }
>
> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
> oben gegangen. ;-)
>
> Danke & Gruß,
> Michael
>
> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>> Moin,
>>
>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.
>>
>>
>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?
>>
>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?
>>
>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>
>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?
>>
>>
>>
>> Viele Grüße!
>> Frank
>>
>


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Sophos AV mit Amavisd-new und SAVDI

Frank Fiene
Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.

Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.

--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

> Am 04.12.2018 um 16:17 schrieb Michael Wuttke <[hidden email]>:
>
> Hallo,
>
> noch mal als Nachtrag, da es Nachfragen gab:
>
> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
> channel for SSSP konfiguriert.
>
> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
> einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
> channel for SSSP hinzufügen.
>
> Danke & Gruß,
> Michael Wuttke
>
>> Am 04.12.18 um 10:19 schrieb Michael Wuttke:
>> Hallo,
>>
>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
>> folgende Einstellung hinzuzufügen, die zum einen aus der
>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
>> Executive von sophos bestätigt wurde:
>>
>> / /
>> /CXMail is our context based detection/
>> / /
>>
>> /This particular detection is fired on Microsoft office
>> attachments(often compressed) that have macros inside. These macros
>> work as a file dropper/downloader and access the internet to download
>> a malware payload. The URL's accessed by these attachments change on a
>> regular basis and will automatically switch to a new one if the
>> existing one is blocked.  /
>>
>> scanner {
>>
>> ...
>>  contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
>> ...
>> }
>>
>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
>> oben gegangen. ;-)
>>
>> Danke & Gruß,
>> Michael
>>
>>> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>>> Moin,
>>>
>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.
>>>
>>>
>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?
>>>
>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?
>>>
>>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>>
>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?
>>>
>>>
>>>
>>> Viele Grüße!
>>> Frank
>>>
>>
>

Reply | Threaded
Open this post in threaded view
|

Re: Sophos AV mit Amavisd-new und SAVDI

Frank Fiene
Ich meinte natürlich SSSP. 

Ich habe mal die Requests mitgelogt.

181204:192035 [5C06A00C] 00038402 New session
181204:192035 [5C06A00C/1] 00030406 Client request
    SSSP/1.0
181204:192035 [5C06A00C/2] 00030406 Client request
    SCANDATA 9585
181204:192035 [5C06A00C/3] 00030406 Client request
    BYE
181204:192035 [5C06A00C] 00038403 Session ended
181204:192035 [5C06A00C] 00038401 Connection ended


Das sieht doch eigentlich gut aus, oder?

Muss nochmal den EICAR durchjagen.


Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Am 04.12.2018 um 17:52 schrieb Frank Fiene <[hidden email]>:

Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.

Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.

--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Am 04.12.2018 um 16:17 schrieb Michael Wuttke <[hidden email]>:

Hallo,

noch mal als Nachtrag, da es Nachfragen gab:

Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
channel for SSSP konfiguriert.

Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
channel for SSSP hinzufügen.

Danke & Gruß,
Michael Wuttke

Am 04.12.18 um 10:19 schrieb Michael Wuttke:
Hallo,

sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
folgende Einstellung hinzuzufügen, die zum einen aus der
DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
Executive von sophos bestätigt wurde:

/ /
/CXMail is our context based detection/
/ /

/This particular detection is fired on Microsoft office
attachments(often compressed) that have macros inside. These macros
work as a file dropper/downloader and access the internet to download
a malware payload. The URL's accessed by these attachments change on a
regular basis and will automatically switch to a new one if the
existing one is blocked.  /

scanner {

...
contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
...
}

Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
oben gegangen. ;-)

Danke & Gruß,
Michael

Am 04.12.18 um 08:32 schrieb Frank Fiene:
Moin,

Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.


1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?

2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?

3.) Gibt es Testversionen ohne Einschränkungen?

4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?



Viele Grüße!
Frank





Reply | Threaded
Open this post in threaded view
|

Re: Sophos AV mit Amavisd-new und SAVDI

Frank Fiene
Na also:

554 5.7.1 sophos: virus found: "EICAR-AV-Test"



Also vielen Dank an alle!

Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod Stakhov mal an.


Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Am 04.12.2018 um 19:22 schrieb Frank Fiene <[hidden email]>:

Ich meinte natürlich SSSP. 

Ich habe mal die Requests mitgelogt.

181204:192035 [5C06A00C] 00038402 New session
181204:192035 [5C06A00C/1] 00030406 Client request
    SSSP/1.0
181204:192035 [5C06A00C/2] 00030406 Client request
    SCANDATA 9585
181204:192035 [5C06A00C/3] 00030406 Client request
    BYE
181204:192035 [5C06A00C] 00038403 Session ended
181204:192035 [5C06A00C] 00038401 Connection ended


Das sieht doch eigentlich gut aus, oder?

Muss nochmal den EICAR durchjagen.


Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Am 04.12.2018 um 17:52 schrieb Frank Fiene <[hidden email]>:

Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.

Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.

--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Am 04.12.2018 um 16:17 schrieb Michael Wuttke <[hidden email]>:

Hallo,

noch mal als Nachtrag, da es Nachfragen gab:

Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
channel for SSSP konfiguriert.

Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
channel for SSSP hinzufügen.

Danke & Gruß,
Michael Wuttke

Am 04.12.18 um 10:19 schrieb Michael Wuttke:
Hallo,

sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
folgende Einstellung hinzuzufügen, die zum einen aus der
DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
Executive von sophos bestätigt wurde:

/ /
/CXMail is our context based detection/
/ /

/This particular detection is fired on Microsoft office
attachments(often compressed) that have macros inside. These macros
work as a file dropper/downloader and access the internet to download
a malware payload. The URL's accessed by these attachments change on a
regular basis and will automatically switch to a new one if the
existing one is blocked.  /

scanner {

...
contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
...
}

Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
oben gegangen. ;-)

Danke & Gruß,
Michael

Am 04.12.18 um 08:32 schrieb Frank Fiene:
Moin,

Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen Virenscanner testen neben Clamav und da ist mir Sophos in dein Sinn gekommen.
Grund ist, dass immer mehr Viren durchkommen, die weder Clamav noch Trendmicro (im Backend) erkennen, selbst ältere.


1.) Was benötige ich alles, auf den Gateways läuft Postfix und amavisd-new?

2.) Installiere ich den Sophos Virenscanner auf einer eigenen Maschine oder auf jedem Gateway?

3.) Gibt es Testversionen ohne Einschränkungen?

4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag gescannt werden müssen, also durch die anderen Abwehrmaßnahmen durchgekommen sind?



Viele Grüße!
Frank






Reply | Threaded
Open this post in threaded view
|

AW: Sophos AV mit Amavisd-new und SAVDI

Stellwagen Daniel
In reply to this post by Michael Wuttke
> Am 04.12.18 um 10:19 schrieb Michael Wuttke:

>
> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
> folgende Einstellung hinzuzufügen, die zum einen aus der
> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
> Executive von sophos bestätigt wurde:
>
> / /
> /CXMail is our context based detection/
> / /
>
> /This particular detection is fired on Microsoft office
> attachments(often compressed) that have macros inside. These macros
> work as a file dropper/downloader and access the internet to download
> a malware payload. The URL's accessed by these attachments change on a
> regular basis and will automatically switch to a new one if the
> existing one is blocked.  /
>
> scanner {
>
> ...
>   contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
> ...
> }
Hallo,

sehr vielen Dank für diesen Hinweis!!!
Habe die Zeile eingebunden und die Erkennungsrate steigerte sich beachtlich.


Mit freundlichen Grüßen
Daniel Stellwagen

smime.p7s (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Sophos AV mit Amavisd-new und SAVDI

Carsten Rosenberg
In reply to this post by Frank Fiene
https://github.com/rspamd/rspamd.com/pull/369

Ich hab die SAVDI Doku für den Rspamd mal präzisiert.

Viele Grüße

Carsten

On 04.12.18 19:28, Frank Fiene wrote:

> Na also:
>
> 554 5.7.1 sophos: virus found: "EICAR-AV-Test"
>
>
>
> Also vielen Dank an alle!
>
> Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod
> Stakhov mal an.
>
>
> Viele Grüße!
> Frank
> -- 
> Frank Fiene
> IT-Security Manager VEKA Group
>
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: [hidden email] <mailto:[hidden email]>
> http://www.veka.com
>
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
>
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
>
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
> Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster
>
>> Am 04.12.2018 um 19:22 schrieb Frank Fiene <[hidden email]
>> <mailto:[hidden email]>>:
>>
>> Ich meinte natürlich SSSP. 
>>
>> Ich habe mal die Requests mitgelogt.
>>
>> 181204:192035 [5C06A00C] 00038402 New session
>> 181204:192035 [5C06A00C/1] 00030406 Client request
>>     SSSP/1.0
>> 181204:192035 [5C06A00C/2] 00030406 Client request
>>     SCANDATA 9585
>> 181204:192035 [5C06A00C/3] 00030406 Client request
>>     BYE
>> 181204:192035 [5C06A00C] 00038403 Session ended
>> 181204:192035 [5C06A00C] 00038401 Connection ended
>>
>>
>> Das sieht doch eigentlich gut aus, oder?
>>
>> Muss nochmal den EICAR durchjagen.
>>
>>
>> Viele Grüße!
>> Frank
>> -- 
>> Frank Fiene
>> IT-Security Manager VEKA Group
>>
>> Fon: +49 2526 29-6200
>> Fax: +49 2526 29-16-6200
>> mailto: [hidden email] <mailto:[hidden email]>
>> http://www.veka.com <http://www.veka.com/>
>>
>> PGP-ID: 62112A51
>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>> Threema: VZK5NDWW
>>
>> VEKA AG
>> Dieselstr. 8
>> 48324 Sendenhorst
>> Deutschland/Germany
>>
>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>> Werner Schuler,
>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>> Weimer
>> HRB 8282 AG Münster/District Court of Münster
>>
>>> Am 04.12.2018 um 17:52 schrieb Frank Fiene <[hidden email]
>>> <mailto:[hidden email]>>:
>>>
>>> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.
>>>
>>> Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.
>>>
>>> --
>>> Frank Fiene
>>> IT-Security Manager VEKA Group
>>>
>>> Fon: +49 2526 29-6200
>>> Fax: +49 2526 29-16-6200
>>> mailto: [hidden email] <mailto:[hidden email]>
>>> http://www.veka.com <http://www.veka.com/>
>>>
>>> PGP-ID: 62112A51
>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>>
>>> VEKA AG
>>> Dieselstr. 8
>>> 48324 Sendenhorst
>>> Deutschland/Germany
>>>
>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>>> Werner Schuler,
>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>>> Weimer
>>> HRB 8282 AG Münster/District Court of Münster
>>>
>>>> Am 04.12.2018 um 16:17 schrieb Michael Wuttke
>>>> <[hidden email] <mailto:[hidden email]>>:
>>>>
>>>> Hallo,
>>>>
>>>> noch mal als Nachtrag, da es Nachfragen gab:
>>>>
>>>> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
>>>> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
>>>> channel for SSSP konfiguriert.
>>>>
>>>> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
>>>> einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
>>>> channel for SSSP hinzufügen.
>>>>
>>>> Danke & Gruß,
>>>> Michael Wuttke
>>>>
>>>>> Am 04.12.18 um 10:19 schrieb Michael Wuttke:
>>>>> Hallo,
>>>>>
>>>>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
>>>>> folgende Einstellung hinzuzufügen, die zum einen aus der
>>>>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
>>>>> Executive von sophos bestätigt wurde:
>>>>>
>>>>> / /
>>>>> /CXMail is our context based detection/
>>>>> / /
>>>>>
>>>>> /This particular detection is fired on Microsoft office
>>>>> attachments(often compressed) that have macros inside. These macros
>>>>> work as a file dropper/downloader and access the internet to download
>>>>> a malware payload. The URL's accessed by these attachments change on a
>>>>> regular basis and will automatically switch to a new one if the
>>>>> existing one is blocked.  /
>>>>>
>>>>> scanner {
>>>>>
>>>>> ...
>>>>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
>>>>> ...
>>>>> }
>>>>>
>>>>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
>>>>> oben gegangen. ;-)
>>>>>
>>>>> Danke & Gruß,
>>>>> Michael
>>>>>
>>>>>> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>>>>>> Moin,
>>>>>>
>>>>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen
>>>>>> Virenscanner testen neben Clamav und da ist mir Sophos in dein
>>>>>> Sinn gekommen.
>>>>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav
>>>>>> noch Trendmicro (im Backend) erkennen, selbst ältere.
>>>>>>
>>>>>>
>>>>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und
>>>>>> amavisd-new?
>>>>>>
>>>>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen
>>>>>> Maschine oder auf jedem Gateway?
>>>>>>
>>>>>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>>>>>
>>>>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag
>>>>>> gescannt werden müssen, also durch die anderen Abwehrmaßnahmen
>>>>>> durchgekommen sind?
>>>>>>
>>>>>>
>>>>>>
>>>>>> Viele Grüße!
>>>>>> Frank
>>>>>>
>>>>>
>>>>
>>>
>>
>
Reply | Threaded
Open this post in threaded view
|

Re: Sophos AV mit Amavisd-new und SAVDI

Frank Fiene
Sehr schön, da fallen mir die ganzen Optionen am Ende auf!

Sind das die Default, oder sollte man die so setzen?



BTW: @Carsten, in deinem Kurs geht es mehr um rspamd, oder? 


Viele Grüße! Frank


Am 05.12.2018 um 11:28 schrieb Carsten Rosenberg <[hidden email]>:

https://github.com/rspamd/rspamd.com/pull/369

Ich hab die SAVDI Doku für den Rspamd mal präzisiert.

Viele Grüße

Carsten

On 04.12.18 19:28, Frank Fiene wrote:
Na also:

554 5.7.1 sophos: virus found: "EICAR-AV-Test"



Also vielen Dank an alle!

Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod
Stakhov mal an.


Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email] <[hidden email]>
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Am 04.12.2018 um 19:22 schrieb Frank Fiene <[hidden email]
<[hidden email]>>:

Ich meinte natürlich SSSP. 

Ich habe mal die Requests mitgelogt.

181204:192035 [5C06A00C] 00038402 New session
181204:192035 [5C06A00C/1] 00030406 Client request
    SSSP/1.0
181204:192035 [5C06A00C/2] 00030406 Client request
    SCANDATA 9585
181204:192035 [5C06A00C/3] 00030406 Client request
    BYE
181204:192035 [5C06A00C] 00038403 Session ended
181204:192035 [5C06A00C] 00038401 Connection ended


Das sieht doch eigentlich gut aus, oder?

Muss nochmal den EICAR durchjagen.


Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: <a href="tel:+49%202526%2029-6200" class="">+49 2526 29-6200
Fax: <a href="tel:+49%202526%2029-16-6200" class="">+49 2526 29-16-6200
mailto: [hidden email] <[hidden email]>
http://www.veka.com <http://www.veka.com/>

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
Weimer
HRB 8282 AG Münster/District Court of Münster

Am 04.12.2018 um 17:52 schrieb Frank Fiene <[hidden email]
<[hidden email]>>:

Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.

Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.

-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: <a href="tel:+49%202526%2029-6200" class="">+49 2526 29-6200
Fax: <a href="tel:+49%202526%2029-16-6200" class="">+49 2526 29-16-6200
mailto: [hidden email] <[hidden email]>
http://www.veka.com <http://www.veka.com/>

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
Weimer
HRB 8282 AG Münster/District Court of Münster

Am 04.12.2018 um 16:17 schrieb Michael Wuttke
<[hidden email] <[hidden email]>>:

Hallo,

noch mal als Nachtrag, da es Nachfragen gab:

Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
channel for SSSP konfiguriert.

Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
einfach den unten stehenden contextstr-Schnipsel im scanner-Block vom IP
channel for SSSP hinzufügen.

Danke & Gruß,
Michael Wuttke

Am 04.12.18 um 10:19 schrieb Michael Wuttke:
Hallo,

sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
folgende Einstellung hinzuzufügen, die zum einen aus der
DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise Account
Executive von sophos bestätigt wurde:

/ /
/CXMail is our context based detection/
/ /

/This particular detection is fired on Microsoft office
attachments(often compressed) that have macros inside. These macros
work as a file dropper/downloader and access the internet to download
a malware payload. The URL's accessed by these attachments change on a
regular basis and will automatically switch to a new one if the
existing one is blocked.  /

scanner {

...
contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
...
}

Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
oben gegangen. ;-)

Danke & Gruß,
Michael

Am 04.12.18 um 08:32 schrieb Frank Fiene:
Moin,

Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen
Virenscanner testen neben Clamav und da ist mir Sophos in dein
Sinn gekommen.
Grund ist, dass immer mehr Viren durchkommen, die weder Clamav
noch Trendmicro (im Backend) erkennen, selbst ältere.


1.) Was benötige ich alles, auf den Gateways läuft Postfix und
amavisd-new?

2.) Installiere ich den Sophos Virenscanner auf einer eigenen
Maschine oder auf jedem Gateway?

3.) Gibt es Testversionen ohne Einschränkungen?

4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag
gescannt werden müssen, also durch die anderen Abwehrmaßnahmen
durchgekommen sind?



Viele Grüße!
Frank

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: Sophos AV mit Amavisd-new und SAVDI

Carsten Rosenberg
Hey,

per default sind viele von denen ausgeschaltet. Ich habe leider keinen
Vergleich ob es hilft diese explizit zu aktivieren. Ich suche bei
Gelegenheit die Dokus dazu mal raus. Von dem Cxmail war da leider keine
Rede.

> BTW: @Carsten, in deinem Kurs geht es mehr um rspamd, oder?

So 80/20 oder 70/30 + den allgemein gültigen Teil. Beim Rspamd gibts
halt viel mehr zu bestaunen und auch zu erklären.


Viele Grüße

Carsten



On 05.12.18 13:06, Frank Fiene wrote:

> Sehr schön, da fallen mir die ganzen Optionen am Ende auf!
>
> Sind das die Default, oder sollte man die so setzen?
>
>
>
> BTW: @Carsten, in deinem Kurs geht es mehr um rspamd, oder? 
>
>
> Viele Grüße! Frank
>
>
>> Am 05.12.2018 um 11:28 schrieb Carsten Rosenberg <[hidden email]
>> <mailto:[hidden email]>>:
>>
>> https://github.com/rspamd/rspamd.com/pull/369
>>
>> Ich hab die SAVDI Doku für den Rspamd mal präzisiert.
>>
>> Viele Grüße
>>
>> Carsten
>>
>> On 04.12.18 19:28, Frank Fiene wrote:
>>> Na also:
>>>
>>> 554 5.7.1 sophos: virus found: "EICAR-AV-Test"
>>>
>>>
>>>
>>> Also vielen Dank an alle!
>>>
>>> Das sollte vl. mal dokumentiert werden, ich schreibe den Vsevolod
>>> Stakhov mal an.
>>>
>>>
>>> Viele Grüße!
>>> Frank
>>> -- 
>>> Frank Fiene
>>> IT-Security Manager VEKA Group
>>>
>>> Fon: +49 2526 29-6200
>>> Fax: +49 2526 29-16-6200
>>> mailto: [hidden email] <mailto:[hidden email]> <mailto:[hidden email]>
>>> http://www.veka.com <http://www.veka.com/>
>>>
>>> PGP-ID: 62112A51
>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>> Threema: VZK5NDWW
>>>
>>> VEKA AG
>>> Dieselstr. 8
>>> 48324 Sendenhorst
>>> Deutschland/Germany
>>>
>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>>> Werner Schuler,
>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>>> Weimer
>>> HRB 8282 AG Münster/District Court of Münster
>>>
>>>> Am 04.12.2018 um 19:22 schrieb Frank Fiene <[hidden email]
>>>> <mailto:[hidden email]>
>>>> <mailto:[hidden email]>>:
>>>>
>>>> Ich meinte natürlich SSSP. 
>>>>
>>>> Ich habe mal die Requests mitgelogt.
>>>>
>>>> 181204:192035 [5C06A00C] 00038402 New session
>>>> 181204:192035 [5C06A00C/1] 00030406 Client request
>>>>     SSSP/1.0
>>>> 181204:192035 [5C06A00C/2] 00030406 Client request
>>>>     SCANDATA 9585
>>>> 181204:192035 [5C06A00C/3] 00030406 Client request
>>>>     BYE
>>>> 181204:192035 [5C06A00C] 00038403 Session ended
>>>> 181204:192035 [5C06A00C] 00038401 Connection ended
>>>>
>>>>
>>>> Das sieht doch eigentlich gut aus, oder?
>>>>
>>>> Muss nochmal den EICAR durchjagen.
>>>>
>>>>
>>>> Viele Grüße!
>>>> Frank
>>>> -- 
>>>> Frank Fiene
>>>> IT-Security Manager VEKA Group
>>>>
>>>> Fon: +49 2526 29-6200 <tel:+49%202526%2029-6200>
>>>> Fax: +49 2526 29-16-6200 <tel:+49%202526%2029-16-6200>
>>>> mailto: [hidden email]
>>>> <mailto:[hidden email]> <mailto:[hidden email]>
>>>> http://www.veka.com <http://www.veka.com/> <http://www.veka.com/>
>>>>
>>>> PGP-ID: 62112A51
>>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>>> Threema: VZK5NDWW
>>>>
>>>> VEKA AG
>>>> Dieselstr. 8
>>>> 48324 Sendenhorst
>>>> Deutschland/Germany
>>>>
>>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>>>> Werner Schuler,
>>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>>>> Weimer
>>>> HRB 8282 AG Münster/District Court of Münster
>>>>
>>>>> Am 04.12.2018 um 17:52 schrieb Frank Fiene <[hidden email]
>>>>> <mailto:[hidden email]>
>>>>> <mailto:[hidden email]>>:
>>>>>
>>>>> Ja, ich habe auch gerade das Scanner Protocol auf SSCP umgestellt.
>>>>>
>>>>> Ich habe bei rspamd nicht gefunden, ob Sophie oder SSCP benutzt wird.
>>>>>
>>>>> -- 
>>>>> Frank Fiene
>>>>> IT-Security Manager VEKA Group
>>>>>
>>>>> Fon: +49 2526 29-6200 <tel:+49%202526%2029-6200>
>>>>> Fax: +49 2526 29-16-6200 <tel:+49%202526%2029-16-6200>
>>>>> mailto: [hidden email]
>>>>> <mailto:[hidden email]> <mailto:[hidden email]>
>>>>> http://www.veka.com <http://www.veka.com/> <http://www.veka.com/>
>>>>>
>>>>> PGP-ID: 62112A51
>>>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>>>>
>>>>> VEKA AG
>>>>> Dieselstr. 8
>>>>> 48324 Sendenhorst
>>>>> Deutschland/Germany
>>>>>
>>>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>>>>> Werner Schuler,
>>>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>>>>> Weimer
>>>>> HRB 8282 AG Münster/District Court of Münster
>>>>>
>>>>>> Am 04.12.2018 um 16:17 schrieb Michael Wuttke
>>>>>> <[hidden email]
>>>>>> <mailto:[hidden email]> <mailto:[hidden email]>>:
>>>>>>
>>>>>> Hallo,
>>>>>>
>>>>>> noch mal als Nachtrag, da es Nachfragen gab:
>>>>>>
>>>>>> Wir haben bei uns das SSSP-Protokoll von Sophos in Amavis auf dem Port
>>>>>> 4010 eingebunden. Daher haben wir den unten genannten Schaltet für den
>>>>>> channel for SSSP konfiguriert.
>>>>>>
>>>>>> Und da dieser Schalter für SAVDI bislang undokumentiert ist, bitte
>>>>>> einfach den unten stehenden contextstr-Schnipsel im scanner-Block
>>>>>> vom IP
>>>>>> channel for SSSP hinzufügen.
>>>>>>
>>>>>> Danke & Gruß,
>>>>>> Michael Wuttke
>>>>>>
>>>>>>> Am 04.12.18 um 10:19 schrieb Michael Wuttke:
>>>>>>> Hallo,
>>>>>>>
>>>>>>> sehr hilfreich ist noch in der SAVDI Konfigurationsdatei savdid.conf
>>>>>>> folgende Einstellung hinzuzufügen, die zum einen aus der
>>>>>>> DFN-Mail-AK-Liste stammt und mir aber auch von einem Enterprise
>>>>>>> Account
>>>>>>> Executive von sophos bestätigt wurde:
>>>>>>>
>>>>>>> / /
>>>>>>> /CXMail is our context based detection/
>>>>>>> / /
>>>>>>>
>>>>>>> /This particular detection is fired on Microsoft office
>>>>>>> attachments(often compressed) that have macros inside. These macros
>>>>>>> work as a file dropper/downloader and access the internet to download
>>>>>>> a malware payload. The URL's accessed by these attachments change
>>>>>>> on a
>>>>>>> regular basis and will automatically switch to a new one if the
>>>>>>> existing one is blocked.  /
>>>>>>>
>>>>>>> scanner {
>>>>>>>
>>>>>>> ...
>>>>>>> contextstr: Genes/Extn/ProdVer OEM:Email:1.0.0
>>>>>>> ...
>>>>>>> }
>>>>>>>
>>>>>>> Die Erkennungsrate von Macro-Viren ist bei uns seit dem deutlich nach
>>>>>>> oben gegangen. ;-)
>>>>>>>
>>>>>>> Danke & Gruß,
>>>>>>> Michael
>>>>>>>
>>>>>>>> Am 04.12.18 um 08:32 schrieb Frank Fiene:
>>>>>>>> Moin,
>>>>>>>>
>>>>>>>> Ich habe ein paar Fragen, ich möchte gerne einen zusätzlichen
>>>>>>>> Virenscanner testen neben Clamav und da ist mir Sophos in dein
>>>>>>>> Sinn gekommen.
>>>>>>>> Grund ist, dass immer mehr Viren durchkommen, die weder Clamav
>>>>>>>> noch Trendmicro (im Backend) erkennen, selbst ältere.
>>>>>>>>
>>>>>>>>
>>>>>>>> 1.) Was benötige ich alles, auf den Gateways läuft Postfix und
>>>>>>>> amavisd-new?
>>>>>>>>
>>>>>>>> 2.) Installiere ich den Sophos Virenscanner auf einer eigenen
>>>>>>>> Maschine oder auf jedem Gateway?
>>>>>>>>
>>>>>>>> 3.) Gibt es Testversionen ohne Einschränkungen?
>>>>>>>>
>>>>>>>> 4.) Was kostet das, wenn sagen wir mal 10.000 Mails pro Tag
>>>>>>>> gescannt werden müssen, also durch die anderen Abwehrmaßnahmen
>>>>>>>> durchgekommen sind?
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>> Viele Grüße!
>>>>>>>> Frank
>
> Viele Grüße!
> i.A. Frank Fiene
> -- 
> Frank Fiene
> IT-Security Manager VEKA Group
>
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: [hidden email] <mailto:[hidden email]>
> http://www.veka.com
>
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
>
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
>
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
> Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster
>