Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 1455 views
  • Users 0 members are here
Options
Suggested

Proxy Content/Virus handling concerns, etc

Joe Little
I sent this in a reply to the latest beta announcement, but it probably should be its own thread. Original message follows:

This may be late, but here are some issues I have with the beta and with our expected improvements in the product.

First, the push-pins are no longer in the interface. We use these to keep the Proxy Content Manager available on the first page since we are always going directly to that. Can these be put back in? Why do we always access the PCM, you may ask? It because of issues with the SMTP proxy. 

1) SMTP proxy doesn't allow exim configuration on when frozen messages are removed, etc. Every day or so we have around 10K messages in the frozen state, and we have yet to reach the default of 7 days to see if the stmp proxy ever removes undeliverable messages/bounces/etc. We are always forced to delete regularly throughout the day to have a usuable interface to inspect messages. This leads to 2...

2) We need to inspect messages since virus quarantine places all such messages in the SMTP_ERR queue with all other frozen messages. Its not reasonable to search for viruses in such a queue to see if we need to forward/reject. We cannot reject off hand since on many occassions a virus reject from one client serviced by ASL caused a loop when it was sent to another client under the protection of the same ASL server. Load would spike heavily on the machine for quite some time and we need to switch back to quarantine to solve the problem

The real answer is to have a new target for anti-virus smtp proxying. That would be to strip the virus and still forward the message. Right now, pass is not useful since the virus stays intact in the message. Preferably, a special reject message should be sent with the original headers to the to: and from: headers so that both sides are aware of the original message containing a virus. Maintaining the virus in the message serves neither party in practical use, as most of these messages are caught or looped back again and again without the parties being aware of it. 
  
  • 0
    notifying the virus sender is a bad idea, as most worms are forging the sender address.

    also, in the case of worms, there's no point in notifying the recipient. 
  • 0 in reply to BarryG
    I disagree with you barrygould. I know the latest viruses are forging the sender's email but not all viruses are doing this. I think it's a good thing to notify the sender that he has (proberly) a virus. I also get e-mails with viruses from people I don't know or get a warning that I did send a e-mail with a virus while I'm sure that I'm virus-free but you can't be too safe on this issue.   
  • 0 in reply to PabloDiablo
    I dunno, the majority of virii I receive these days have faked senders. 
  • 0 in reply to PabloDiablo
    95-99% of the headers now are faked..i have had to send more of the bogus noticed to my spam folders duyring mydoom, netsky..jsut to name the worst offenders than actual spam..leave hte notifications off..i am now down ot a 25% faked message notifications 75% actual spam..finally..instead of the other way around.. 

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Our main complaint, a very valid one, comes from faculty. I had a faculty member that did not know he had a virus. Various proposals or what not are sent out, and no bounce back message is received by them if they send a virus (because the mail also gets rejected on the way back to them). The intended recipient never receives it either. Some may not wish to have this option, but I absolutely need to have a strip option to maintain the integrity of a mail system, since at least one party  must be notified when a message would otherwise be dropped.  I have had various influential people here adament that the anti-virus software be disabled because of this apparent breakage of the mail delivery "contract".  
  • 0 in reply to Joe Little
    Nothing more has been said, and no comment from ASL folk  [:(]
    Well, I'd also like to add that if nothing else, I'd like more EXIM configuration rule availability, like how long to wait until a message is frozen, as well as when to auto-delete frozen messages. I don't even know if ASL ever gets around to deleting the old messages since I regularly have to clear out the frozen messages just to understand what's really going on in the active smtp_error and smtp_queue selections (usually see around 10-15K of frozen messages).
      
  • 0 in reply to Joe Little
    I know what you're meaning by the notification but sending notifications out to users that didn't send out the email is annoying to all parties that get notified... probably a better way of virus notification would be a daily report to the administrator(s) with the following data...

    IP it was sent from and/or header
    Date Stamp
    Virus Sent
    Number of Specific Viruses Sent from each IP address

    *Cough* Rant Alert
    I don't know about you but when SoBig came out I was intercepting over 100K a day from what was going to school mail servers.  That's not including outgoing emails from school districts.  Sending out a responce to every virus would be murder to the systems & i-net pipes to send out an extra 100-300K of emails a day, not to meantion the sheer number of emails that could possibly bounce back to the servers. 
  • 0 in reply to Simon Shaw
    I agree with your number 2 statement.  I have asked for this kind of feature, and have been told that it's not possilbe, as the SMTP engine hasn't changed from v4 to v5.  I disagree that it shouldn't be added.  Not only would it make the administrators life a LOT easier (instead of sifting through messages to get an email passed or rejected manually), but it just makes better sense.  I mean, you are holding the message, you are already consuming disk space.  Why not just strip the message and delete it, while still passing the message through?  Why does this NOT make sense to the developers?

    Also, what about those larger clients that are using the SMTP gateway feature and have lots of messages.  How are they supposed to go through the web admin page to find actual messages that are lagitimate, and release them?  One of the selling features of ASL is the WebAdmin page.  You can manage the ASL device from the web page.  Why are you forcing clients to use GREP or some other search tool to sift through log files to search for this criteria?

    I also think that if the administrator wants the ability of someone getting notified of a virus message, or a message indicating a violation of the attachment rules.  But, I would prefer that one of the modules strips the attachment instead and continues the message through.

    Just my $0.05 
     
  • 0 in reply to Chris Lynch
    Responding to having too many emails already: this is an option. Just like the reject option currently available, this is an improved approach, better guarenteeing that delivery or a failure notice will occur. Currently, this cardinal rule of mail delivery is failing... rejects bounce back and forth because the virus payload is maintained. I'm simply requesting that an option to strip the suspect payload is best. 

    To Lynch, I'm happy you agree. You hope for the other approach, but alas, something must be provided for such sites like mine, where the mail load is too great to have such coarse controls that neither permit us to effectively examine suspect mail (too much to inspect) nor meet the requirements expected of a enterprise class mail gateway by my employers. 
Cookie Information Banner