Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 2188 views
  • Users 0 members are here
Options
Suggested

[9.000] lots of unscannable mails in POP3 proxy quarantine

Alex76
Hi, 

and i heared from the customer, that we have a lot of unscannable Mails ... here is a screenshot. Every Mail over 1MB will be unscannable, this can not be true?

fallback.log
2012:07:26-06:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  flushing old values
2012:07:26-06:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  rotating journals
2012:07:26-06:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  started new journal /var/log/reporting/rrd/rrd.journal.1343272416.642935
2012:07:26-06:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  removing old journal /var/log/reporting/rrd/rrd.journal.1343265216.642903
2012:07:26-07:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  flushing old values
2012:07:26-07:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  rotating journals
2012:07:26-07:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  started new journal /var/log/reporting/rrd/rrd.journal.1343276016.642959
2012:07:26-07:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  removing old journal /var/log/reporting/rrd/rrd.journal.1343268816.642950
2012:07:26-07:46:31 firewall [daemon:warning] admin-reporter[14606]:  Failed SSH login
2012:07:26-08:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  flushing old values
2012:07:26-08:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  rotating journals
2012:07:26-08:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  started new journal /var/log/reporting/rrd/rrd.journal.1343279616.642926
2012:07:26-08:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  removing old journal /var/log/reporting/rrd/rrd.journal.1343272416.642935
2012:07:26-09:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  flushing old values
2012:07:26-09:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  rotating journals
2012:07:26-09:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  started new journal /var/log/reporting/rrd/rrd.journal.1343283216.643541
2012:07:26-09:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  removing old journal /var/log/reporting/rrd/rrd.journal.1343276016.642959
2012:07:26-09:20:51 firewall [daemon:info] cssd[10770]:  [     (nil)] saviscanner_log (saviscanner.c:25) Reloading SAVI threat data
2012:07:26-09:21:09 firewall [daemon:info] cssd[10770]:  [     (nil)] saviscanner_log (saviscanner.c:25) Reloading SAVI threat data finished, engine 3.33.2, threat data 4.79 from 2/7/2012 (3763732 detected threats)
2012:07:26-09:28:54 firewall [daemon:warning] admin-reporter[14606]:  Failed SSH login
2012:07:26-09:50:43 firewall [daemon:info] cssd[10770]:  [     (nil)] epoll_loop (epoll.c:358) starting exit cleanup
2012:07:26-09:50:43 firewall [daemon:info] cssd[10770]:  [     (nil)] epoll_exit (epoll.c:139) epoll subsystem shutting down
2012:07:26-09:50:43 firewall [daemon:info] cssd[10770]:  [     (nil)] epoll_exit (epoll.c:152) epoll subsystem shut down
2012:07:26-09:50:44 firewall [daemon:info] cssd[25188]:  [     (nil)] main (cssd.c:298) starting up...
2012:07:26-09:50:44 firewall [daemon:info] cssd[25188]:  [     (nil)] read_config (cssd.c:115) reading config
2012:07:26-09:50:44 firewall [daemon:info] cssd[25188]:  [     (nil)] main (cssd.c:308) initializing Avira virus scanner engine
2012:07:26-09:51:08 firewall [daemon:info] cssd[25188]:  [     (nil)] main (cssd.c:315) initializing Sophos virus scanner engine
2012:07:26-09:51:21 firewall [daemon:info] cssd[25188]:  [     (nil)] saviscanner_init (saviscanner.c:41) SAVI threat data successfully loaded, engine 3.33.2, threat data 4.79 from 2/7/2012 (3763732 detected threats)
2012:07:26-09:51:21 firewall [daemon:info] cssd[25188]:  [     (nil)] main (cssd.c:321) virus scanner initialization finished
2012:07:26-10:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  flushing old values
2012:07:26-10:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  rotating journals
2012:07:26-10:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  started new journal /var/log/reporting/rrd/rrd.journal.1343286816.642932
2012:07:26-10:13:36 firewall [daemon[:D]ebug] rrdcached[3453]:  removing old journal /var/log/reporting/rrd/rrd.journal.1343279616.642926
2012:07:26-10:23:54 firewall [daemon:info] cssd[25188]:  [ 0xff9ee38] epoll_check_timeout (epoll.c:68) client disconnected, aborting scan
2012:07:26-10:24:11 firewall [daemon:info] cssd[27229]:  [     (nil)] main (cssd.c:298) starting up...
2012:07:26-10:24:11 firewall [daemon:info] cssd[27229]:  [     (nil)] read_config (cssd.c:115) reading config
2012:07:26-10:24:11 firewall [daemon:info] cssd[27229]:  [     (nil)] main (cssd.c:308) initializing Avira virus scanner engine
2012:07:26-10:24:33 firewall [daemon:info] cssd[27229]:  [     (nil)] main (cssd.c:315) initializing Sophos virus scanner engine
2012:07:26-10:24:48 firewall [daemon:info] cssd[27229]:  [     (nil)] saviscanner_init (saviscanner.c:41) SAVI threat data successfully loaded, engine 3.33.2, threat data 4.79 from 2/7/2012 (3763732 detected threats)
2012:07:26-10:24:48 firewall [daemon:info] cssd[27229]:  [     (nil)] main (cssd.c:321) virus scanner initialization finished
2012:07:26-10:25:31 firewall [daemon:info] cssd[27229]:  [ 0xa994d98] epoll_check_timeout (epoll.c:68) client disconnected, aborting scan
2012:07:26-10:25:46 firewall [daemon:info] cssd[27328]:  [     (nil)] main (cssd.c:298) starting up...
2012:07:26-10:25:46 firewall [daemon:info] cssd[27328]:  [     (nil)] read_config (cssd.c:115) reading config
2012:07:26-10:25:46 firewall [daemon:info] cssd[27328]:  [     (nil)] main (cssd.c:308) initializing Avira virus scanner engine
2012:07:26-10:26:07 firewall [daemon:info] cssd[27328]:  [     (nil)] main (cssd.c:315) initializing Sophos virus scanner engine
2012:07:26-10:26:25 firewall [daemon:info] cssd[27328]:  [     (nil)] saviscanner_init (saviscanner.c:41) SAVI threat data successfully loaded, engine 3.33.2, threat data 4.79 from 2/7/2012 (3763732 detected threats)
2012:07:26-10:26:25 firewall [daemon:info] cssd[27328]:  [     (nil)] main (cssd.c:321) virus scanner initialization finished
2012:07:26-10:27:11 firewall [daemon:info] cssd[27328]:  [ 0xb432398] epoll_check_timeout (epoll.c:68) client disconnected, aborting scan
2012:07:26-10:27:27 firewall [daemon:info] cssd[27385]:  [     (nil)] main (cssd.c:298) starting up...
2012:07:26-10:27:27 firewall [daemon:info] cssd[27385]:  [     (nil)] read_config (cssd.c:115) reading config
2012:07:26-10:27:27 firewall [daemon:info] cssd[27385]:  [     (nil)] main (cssd.c:308) initializing Avira virus scanner engine
2012:07:26-10:27:45 firewall [daemon:info] cssd[27385]:  [     (nil)] main (cssd.c:315) initializing Sophos virus scanner engine
2012:07:26-10:28:02 firewall [daemon:info] cssd[27385]:  [     (nil)] saviscanner_init (saviscanner.c:41) SAVI threat data successfully loaded, engine 3.33.2, threat data 4.79 from 2/7/2012 (3763732 detected threats)
2012:07:26-10:28:02 firewall [daemon:info] cssd[27385]:  [     (nil)] main (cssd.c:321) virus scanner initialization finished
2012:07:26-10:28:47 firewall [daemon:info] cssd[27385]:  [ 0xa584d90] epoll_check_timeout (epoll.c:68) client disconnected, aborting scan
2012:07:26-10:29:02 firewall [daemon:info] cssd[27449]:  [     (nil)] main (cssd.c:298) starting up...
2012:07:26-10:29:02 firewall [daemon:info] cssd[27449]:  [     (nil)] read_config (cssd.c:115) reading config
2012:07:26-10:29:02 firewall [daemon:info] cssd[27449]:  [     (nil)] main (cssd.c:308) initializing Avira virus scanner engine
2012:07:26-10:29:20 firewall [daemon:info] cssd[27449]:  [     (nil)] main (cssd.c:315) initializing Sophos virus scanner engine
2012:07:26-10:29:37 firewall [daemon:info] cssd[27449]:  [     (nil)] saviscanner_init (saviscanner.c:41) SAVI threat data successfully loaded, engine 3.33.2, threat data 4.79 from 2/7/2012 (3763732 detected threats)
2012:07:26-10:29:37 firewall [daemon:info] cssd[27449]:  [     (nil)] main (cssd.c:321) virus scanner initialization finished
2012:07:26-10:36:22 firewall [daemon:info] admin-reporter[14606]:  Successful WebAdmin login

kind regards
  • 0
    pop3.log
    2012:07:26-10:23:50 firewall-1 pop3proxy[27111]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="***x@***.xx" to="***.***@***.xx" subject="[Maillinglist - name] Productie MBI Non Life Astra Partea 6" size="12783411" srcip="0.0.0.0" dstip="***.***.***.***" uid="1343287175.M239693P24558V0000000000000811I287D8509.mail.***.***," ident="0/27111-6-1343287367" reason="unscannable" extra="timeout in AV scan"
    2012:07:26-10:23:51 firewall-1 pop3proxy[27113]: id="1100" severity="info" sys="SecureMail" sub="pop3" name="email passed" from="***x@***.xx" to="***.***@***.xx" subject="[Maillinglist - name] RE: Productie MBI Non Life Astra Partea 3" size="10738210" srcip="0.0.0.0" dstip="***.***.***.***" uid="1343287013.21552.mail.***.***,S=10738210"
    2012:07:26-10:23:51 firewall-1 pop3proxy[27111]: id="1100" severity="info" sys="SecureMail" sub="pop3" name="email passed" from="***x@***.xx" to="'name' " subject="[Maillinglist - name] RE: PASSPORT" size="20326" srcip="0.0.0.0" dstip="***.***.***.***" uid="1343287210.M147898P25307V0000000000000811I287D851D.mail.***.***,"
    2012:07:26-10:23:56 firewall-1 pop3proxy[27021]: cssd 127.0.0.1 has closed the connection
    2012:07:26-10:23:56 firewall-1 pop3proxy[27121]: cssd 127.0.0.1 has closed the connection
    2012:07:26-10:23:57 firewall-1 pop3proxy[27199]: cssd 127.0.0.1 has closed the connection
    2012:07:26-10:23:57 firewall-1 pop3proxy[27157]: cssd 127.0.0.1 has closed the connection
    2012:07:26-10:23:57 firewall-1 pop3proxy[27111]: Client ***.***.***.73 logged out (account=0, deleted=0)
    2012:07:26-10:23:58 firewall-1 pop3proxy[27209]: Accepted client connection from ***.***.***.73 for ***.***.***.***
    2012:07:26-10:23:58 firewall-1 pop3proxy[27209]: ***x@***.xx logged in
    2012:07:26-10:24:03 firewall-1 pop3proxy[27121]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:03 firewall-1 pop3proxy[27021]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:04 firewall-1 pop3proxy[27157]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:04 firewall-1 pop3proxy[27199]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:10 firewall-1 pop3proxy[27021]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:10 firewall-1 pop3proxy[27121]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:11 firewall-1 pop3proxy[27199]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:11 firewall-1 pop3proxy[27157]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:14 firewall-1 pop3proxy[27113]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:17 firewall-1 pop3proxy[27021]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="***x@***.xx" to="***.***@***.xx" subject="[Maillinglist - name] RE: Productie MBI Non Life Astra Partea 2" size="8046908" srcip="0.0.0.0" dstip="***.***.***.***" uid="1343286823.M990219P18896V0000000000000811I08283F1F.mail.***.***," ident="0/27021-13-1343287411" reason="unscannable" extra="av scan failure"
    2012:07:26-10:24:18 firewall-1 pop3proxy[27121]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="***x@***.xx" to="***.***@***.xx" subject="[Maillinglist - name] RE: Productie MBI Non Life Astra Partea 3" size="10738256" srcip="0.0.0.0" dstip="***.***.***.***" uid="1343287013.M573961P21650V0000000000000811IF8173119.mail.***.***," ident="0/27121-8-1343287419" reason="unscannable" extra="av scan failure"
    2012:07:26-10:24:18 firewall-1 pop3proxy[27199]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="***x@***.xx" to="***.***@***.xx" subject="[Maillinglist - name] Productie MBI Non Life Astra Partea 11" size="3513796" srcip="0.0.0.0" dstip="***.***.***.***" uid="1343287345.M961936P27898V0000000000000811IC89B095E.mail.***.***," ident="0/27199-1-1343287423" reason="unscannable" extra="av scan failure"
    2012:07:26-10:24:18 firewall-1 pop3proxy[27157]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="***x@***.xx" to="***.***@***.xx" subject="[Maillinglist - name] Productie MBI Non Life Astra Partea 8" size="9796123" srcip="0.0.0.0" dstip="***.***.***.***" uid="1343287253.M828266P26269V0000000000000811I306C4E0D.mail.***.***," ident="0/27157-2-1343287386" reason="unscannable" extra="av scan failure"
    2012:07:26-10:24:20 firewall-1 pop3proxy[27209]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:20 firewall-1 pop3proxy[27121]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:21 firewall-1 pop3proxy[27113]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:22 firewall-1 pop3proxy[27021]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:27 firewall-1 pop3proxy[27209]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:27 firewall-1 pop3proxy[27121]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:28 firewall-1 pop3proxy[27113]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:29 firewall-1 pop3proxy[27199]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:29 firewall-1 pop3proxy[27021]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:34 firewall-1 pop3proxy[27209]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:34 firewall-1 pop3proxy[27121]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:35 firewall-1 pop3proxy[27113]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="***x@***.xx" to="***.***@***.xx" subject="[Maillinglist - name] Productie MBI Non Life Astra Partea 4" size="8531952" srcip="0.0.0.0" dstip="***.***.***.***" uid="1343287045.22163.mail.***.***,S=8531952" ident="0/27113-7-1343287444" reason="unscannable" extra="av scan failure"
    2012:07:26-10:24:36 firewall-1 pop3proxy[27113]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:36 firewall-1 pop3proxy[27199]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:36 firewall-1 pop3proxy[27021]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:36 firewall-1 pop3proxy[27157]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:41 firewall-1 pop3proxy[27209]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="***x@***.xx" to="***.***@***.xx" subject="[Maillinglist - name] Productie MBI Non Life Astra Partea 7" size="13595246" srcip="0.0.0.0" dstip="***.***.***.***" uid="1343287219.M148149P25589V0000000000000811I287D851E.mail.***.***," ident="0/27209-1-1343287439" reason="unscannable" extra="av scan failure"
    2012:07:26-10:24:41 firewall-1 pop3proxy[27121]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="***.***@***.xx" to="'constantin lungu' " subject="FW: [Maillinglist - name] Informatii importante!!!" size="1064300" srcip="0.0.0.0" dstip="***.***.***.***" uid="1343286877.M500651P19748V0000000000000811IF82A931E.mail.***.***," ident="0/27121-9-1343287458" reason="unscannable" extra="av scan failure"
    2012:07:26-10:24:43 firewall-1 pop3proxy[27113]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:43 firewall-1 pop3proxy[27199]: Connect to cssd failed: Connection refused
    2012:07:26-10:24:43 firewall-1 pop3proxy[27021]: id="1101" severity="info" sys="SecureMail" sub="pop3" name="email quarantined" from="xx@***.xx" to="xx@***.xx" subject="[Maillinglist - name] FW: fotografii plan spatiu Piata Engles" size="1680546" srcip="0.0.0.0" dstip="***.***.***.***" uid="1343286819.M866695P18716V0000000000000811I08287614.mail.***.***," ident="0/27021-14-1343287458" reason="unscannable" extra="av scan failure"


    Firmware version: 9.000-8
  • 0
    Hi Alex76,

    How does the CPU load at that time look like?
    How does the disk usage look like?

    regards,
    mlenk
Unfiltered HTML