Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 886 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

feature request

Joe Zasada
with the smtp relay, the ability to have it send a notifier email to the system admin if it detects a virus coming from a host on your network

this way I would not have to manually scan through log files to see if I have any infected hosts. 


This thread was automatically locked due to age.
Parents
  • 0
    Joe,
        In configuring your outbound SMTP proxy, I would only allow the inside mail server to send through the ASL proxy not the entire inside network, and then make sure no packet filter rules are allowing outbound SMTP traffic and that all client machines are pointing to your inside mail server to relay. This would enable only your email server to send email from your network and any clients that get infected with a virus that try sending out e-mail will get dropped by the firewall. This all is assuming you have an internal e-mail server. If that is not the case, setup a rule that only allows SMTP traffic from your inside network to go to your ISP's SMTP server. This could possibly limit some bad stuff from happening, but no guarantee. This is where the transparent SMTP proxy would be a cool thing as VelvetFog talked about.   
Reply
  • 0
    Joe,
        In configuring your outbound SMTP proxy, I would only allow the inside mail server to send through the ASL proxy not the entire inside network, and then make sure no packet filter rules are allowing outbound SMTP traffic and that all client machines are pointing to your inside mail server to relay. This would enable only your email server to send email from your network and any clients that get infected with a virus that try sending out e-mail will get dropped by the firewall. This all is assuming you have an internal e-mail server. If that is not the case, setup a rule that only allows SMTP traffic from your inside network to go to your ISP's SMTP server. This could possibly limit some bad stuff from happening, but no guarantee. This is where the transparent SMTP proxy would be a cool thing as VelvetFog talked about.   
Children
  • 0 in reply to Brent_Gay
    Yes, double relaying the outbound mail, as you suggest, first through the in-house mail server's outbound SMTP spooler, and then through the ASL SMTP proxy, and blocking all other outbound SMTP traffic through the ASL box via filters, will work to prevent virus infected emails originating on the local network from reaching their destination. It is a very good idea, and well worth implementing.

    But it doesn't address the feature requested in the original message, which was to get email notifications from the ASL box when local machines were sending out virus infected email.

    Every LAN administrator need to know right away when there is a local machine infected with a virus, so that he can attend to the problem before it spreads.

    To address that aspect of the problem, it would be nessessary to have a transparent SMTP mail scanner in the ASL box, with an email based notification capability.

    This is not something we'll get in ASL v5. In ASL v6 perhaps?
      
  • 0 in reply to VelvetFog
    Here is an excerpt from my log file:

    the machine, 10.101.11.125, is on my internal network.  Now, the virus does have it's own smtp engine, but odds are that when one of your hosts is infected it will try to send mail to other users that are in your domain.  If I could tell ASL that 10.101.11.0 is one of my internal networks, then if it ever got an infected mail from a host on that network it could send me an email notification that the machine 10.101.11.125 is infected... that would allow me to react immediately to the threat, instead of waiting for a phone call a day or two later from someone...

    As much as I'de like to spend all day checking log files, I just don't have the time...

    with seven branch offices inside my network and dozens of machines, it is vital that I shut down infected machines ASAP.  It is always a case of a brand-new virus slipping through ASL's scanner before the updated pattern is available.

    If ASL supported SPF lookups, it could reject the message without even having to bother with a virus scan.  (http://spf.pobox.com)

    2004-Mar 12 08:38:50 (none) exim[7325]: [17/17] I Message-Id: 
    2004-Mar 12 08:38:50 (none) exim[7326]: 2004-03-12 08:38:50 1B1okM-0001uA-FP H=(stjohn.ab.ca) [10.101.11.125] F= rejected after DATA: X-Infected: I-Worm.NetSky.d (virus, worm or other malware)
    2004-Mar 12 08:38:50 (none) exim[7326]: [1\17] 2004-03-12 08:38:50 1B1okM-0001uA-FP H=(stjohn.ab.ca) [10.101.11.125] F= rejected after DATA: X-Infected: I-Worm.NetSky.d (virus, worm or other malware)
    2004-Mar 12 08:38:50 (none) exim[7326]: [2\17] Envelope-from: 
    2004-Mar 12 08:38:50 (none) exim[7326]: [3\17] Envelope-to: 
    2004-Mar 12 08:38:50 (none) exim[7326]: [4\17] P Received: from [10.101.11.125] (helo=stjohn.ab.ca)
    2004-Mar 12 08:38:50 (none) exim[7326]: [5\17] ^Iby sjaabhq0-asl.stjohn.ab.ca with esmtp (Exim 4.22)
    2004-Mar 12 08:38:50 (none) exim[7326]: [6\17] ^Iid 1B1okM-0001uA-FP
    2004-Mar 12 08:38:50 (none) exim[7326]: [7\17] ^Ifor joe.zasada@stjohn.ab.ca; Fri, 12 Mar 2004 08:38:50 -0700
    2004-Mar 12 08:38:50 (none) exim[7326]: [8\17] F From: tmaygard@stjohn.ab.ca
    2004-Mar 12 08:38:50 (none) exim[7326]: [9\17] T To: joe.zasada@stjohn.ab.ca
    2004-Mar 12 08:38:50 (none) exim[7326]: [10\17]   Subject: Re: Approved
    2004-Mar 12 08:38:50 (none) exim[7326]: [11\17]   Date: Fri, 12 Mar 2004 08:39:13 -0700
    2004-Mar 12 08:38:50 (none) exim[7326]: [12\17]   MIME-Version: 1.0
    2004-Mar 12 08:38:50 (none) exim[7326]: [13\17]   Content-Type: multipart/mixed;
    2004-Mar 12 08:38:50 (none) exim[7326]: [14\17] ^Iboundary="----=_NextPart_000_0002_00005428.00002C18"
    2004-Mar 12 08:38:50 (none) exim[7326]: [15\17]   X-Priority: 3
    2004-Mar 12 08:38:50 (none) exim[7326]: [16\17]   X-MSMail-Priority: Normal
    2004-Mar 12 08:38:50 (none) exim[7326]: [17/17] I Message-Id:    
  • 0 in reply to Joe Zasada
    What kind of outbound mail server are you using ? there are several patches for MTA's that you can use SPF with. I have looked into patching my sendmail for SPF. It looks as it will become (hopefully) a really nice solution to forged messaging.


    Cheers..  
  • 0 in reply to fxdsuperglide
    I use a SuSE OpenExchange server (postfix) through the web interface as our mail server.  it will forward all outgoing SMTP requests to the ASL firewall (exim) for scanning, then everything goes out from there.

    All incoming mail comes into the ASL box first, gets scanned, (virus + SPAM), then gets sent to the SuSE box.

    we do publish SPF records in our DNS.  We only have the ASL box listed in the MX records, as many of these new mass-mailing worms will send to all the MX records in a domain instead of just the first one (which will allow malware to bypass your ASL box and go directly to the mail server - unscanned!)...