Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 20 replies
  • Answers 2 answers
  • Subscribers 7 subscribers
  • Views 26607 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sandstorm enttäuscht

JonasE

Hallo liebes Forum,

hatten letzte Woche ein Locky-Angriff etliche E-Mails mit Absenderadresse *@icloud.com (und ZIP Anhänge) sind durch unsere Firewall gewandert.

Nun haben wir uns dazu entschlossen Sandstorm zu aktivieren mit der Hoffnung, dass uns Locky nicht mehr heimsuchen wird.

Leider hat unsere Firewall mit Aktiviertem Sandstorm (in der Web Protection und Email Protection) gestern erneut diese E-Mail Problemlos durchgelassen.[:@]

Wie kann das sein??? Sophos verlangt eine stolze Summe für das Sandstorm-Modul ohne dass es wirklich funktioniert?! [:(] Habt ihr hierzu ähnliche Erfahrungen gemacht?



This thread was automatically locked due to age.
Parents
  • 0

    Meine Erfahrung damit ist, das es das Geld nicht wert ist. Wenn es DIE eine Lösung gäbe, würde sich längst ein Hersteller eine goldene Nase verdienen. 

    Das einzige was hilft ist Dateianhänge erstmal blockieren und nach 12-24 Stunden selektiv manuell freigeben. Es gibt keinen Automatismus der zuverlässig schützt. 

    Das Marketing der Hersteller versucht etwas Anderes zu suggerieren. Angeblich gehen mit bestimmten Waschmitteln ja auch alle Flecken rückstandslos weg ...

    ---

    Sophos UTM 9.3 Certified Engineer

  • 0 in reply to Ben

    Hallo zusammen,

    Ich habe bis jetzt bei allen Kunden nur positive Erfahrung gemacht. Eventuell liegt hier ein Konfigurations Problem vor. Ist der Sophos Scanner als Defaultscanner konfiguriert?

    Was sagt der Log?

    Vg

    Mod

  • 0 in reply to zaphod

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I recently saw an excellent, brief description in the Email Protection forum written by a Sophos employee.  Before querying Sandstorm, the other AntiSpam and AntiVirus tests are applied.  Few emails are sent to Sandstorm for analysis because the Proxy then calculates a "signature" that it sends to Sandstorm.  If Sandstorm already has seen a similar email and recognizes the signature, it returns the pass/block result immediately and does not request to see the email.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    "If Sandstorm already has seen a similar email and recognizes the signature, it returns the pass/block result immediately and does not request to see the email."

     

    sadly not. One Email with attachments was very long time in the sandbox (about 3 hours), after that the E-Mail with the same attachments was sent again. After about 1 - 2 hours it was in the qurantine "Sandstorm Scan failed" :(

     

    Greetz

  • 0 in reply to Alphatec

    Wir haben ähnlich schlechte Erfahrungen

    30.11. email wurde an Sandstorm übergeben, letzte Meldung im log:

    2016:11:30-14:43:40 astaro-2 smtpd[8186]: SCANNER[8186]: id="1004" severity="info" sys="SecureMail" sub="smtp" name="email pending" srcip="xxx.xxx.xxx.xxx" from="xyz@hugo.xx" to="xyzf@empfaenger.de" subject="Versandbestätigung zu Beleg 4" queueid="1cC5Ai-000282-1F" size="105133" reason="sandbox" extra="Analyzing message content"
    2016:11:30-14:43:40 astaro-2 smtpd[8186]: SCANNER[8186]: 1cC5AX-00027P-33 => work R=SCANNER T=SCANNER
    2016:11:30-14:43:40 astaro-2 smtpd[8186]: SCANNER[8186]: 1cC5AX-00027P-33 Completed

    heute, 14.12. nach 14 Tagen schlägt die eMail plötzlich im Postfach auf

    smtp-log:

    2016:12:14-16:11:06 astaro-2 smtpd[10463]: SANDSTORM[10463]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="xxx.xxx.xxx.xxx" from="xyz@hugo.xx" to="xyzf@empfaenger.de" subject="Versandbestätigung zu Beleg 4" queueid="1cC5Ai-000282-1F" size="105133"

    2016:12:14-16:11:11 astaro-2 exim-out[15338]: 2016-12-14 16:11:11 1cC5Ai-000282-1F => xyzf@empfaenger.de P=<xyz@hugo.xx> R=static_route_hostlist T=static_smtp H=172.16.0.25 [172.16.0.25]:25 C="250 Message accepted for delivery"
    2016:12:14-16:11:11 astaro-2 exim-out[15338]: 2016-12-14 16:11:11 1cC5Ai-000282-1F Completed

     

    Dann haben wir unter email protection / smtp / exceptions eine Regel angelegt:

    skipping Sandstorm scanning

    For Reciepient Adress Pattern:

    @empfaenger.de

     

    Und die Regel wird einfach ignoriert! Im smtp-Log kann man sehen wie eingehende eMails per Sandstorm gecheckt werden (und dann erst mal "versanden" - böses Wortspiel)

     

    Ich denke ich werde unseren Lieferanten mal kontaktieren und ihm ankündigen das ich ihm die Lizenz wieder vor die Füsse werfe. Grund: Nichterfüllung der Leistung

    Gruss

     

  • 0 in reply to Thomas Knauff

    Hi,

    ich habe mittlerweile zig Kunden die Sandstorm nutzen. Kein einziger hat solche Probleme schon mal gehabt.

    Ich vermute hier ein Konfigiratons- oder Überlastungsproblem. Eventuell spielt auch noch ein zwischengeschaltetes Mail Gateway eine Rolle.

    Bitte eröffnet ein Ticket über euren Partner. Der Sophos Support wird herausfinden woran es liegt.

    Nur rum meckern hilft hier keinem weiter. Das ist ein User 2 User Forum. Hier gibt es nur in ganz seltenen Fällen mal einen Kommentar eines Sophos Mitarbeiters.

    Solche Foren leben von Rückmeldungen. Es wäre wirklich hilfreich wenn Aussagen des Sophos Supports hier gepostet würden.

    vg

    mod

  • +1 in reply to Thomas Knauff

    Schau mal hier.

    MfG - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Aktuell nach meinen Erfahrungen die sich fast zu 100 % hier decken, werden wir Sandstorm erst mal nicht einführen.

    Guter Ansatz, aber noch nicht ausgereift bzw. nicht sauber implementiert. Das Logging ist quasi nicht vorhanden und solange Mails teilweise

    Stunden festhängen, ist es keine Option. Bleibt zu hoffen das Sophos diese Probleme in den Griff bekommt, dann kann man noch mal drüber nachdenken

  • +1 in reply to Alphatec

    Also nochmal kurzes Feedback:

     

    Das Ticket im PREMIUM SUPPORT läuft immer noch. (Sind ja jetzt schon paar Woche)

     

    Wir hatten seither aber keine Zwischenfälle mehr bzw. Sandstorm konnte einige gefährliche E-Mails abblocken und die Scannzeiten liegen bei ca. 2-3min.

     

    Wir sind trotz den anfänglichen Problemen froh, das Tool gekauft zu haben.

     

    Ich halte euch auf dem laufenden.

     

     

     

     

  • 0 in reply to JonasE

    Hallo Jonas,

    Danke für das Feedback. Da das Problem ja scheinbar nur auftritt wenn deutsche Umlaute in einem Mailanhang verwendet werden, ist das wohl eher nicht so kritisch. Deine Erfahrung deckt sich mit meiner. Freut mich das auch mal positives Feedback hier gegeben wird.

    Wer deutsche Umlaute in Dateinamen verwendet hat nicht nur mit Sandstorm Probleme ;)

    vg

    mod

  • 0 in reply to BAlfson

    BAlfson said:

    Schau mal hier.

    MfG - Bob

     

     

    Ich weiß gar nicht was Du immer hast - Dein german speaking brain funktioniert doch prima ;-)

    Viele Grüße

    Jörg

  • 0 in reply to mod2402

    Moin,

    freut mich das das Ding auch ohne Rumzicken laufen kann.

    Konfigurations- oder Überlastungsproblem wurde durch den Partner ausgeschlossen. Die sg330 ist normalerweise so mit 10-15% CPU-Last unterwegs.

    Ticket ist eröffnet - warten.....

    Wir haben Sandstorm komplett deaktiviert und nach ca 24 Std wieder Eingeschaltet damit das Ding zumindest beim Webbrowsen greift - jetzt funktioniert erstaunlicherweise die eMail-Filterregel die Sandstorm bei den eMails abschaltet.

    Wir haben jetzt auch gefunden wo man die eMails findet die im im Sandstorm hängen: Mailmanager/SMTP Spool (ok - keine glanzleistung)

    Umlaute: Das Problem wird ja wohl durch Umlautdateien ausgelöst. Nicht sehr beruhigend. Wir bekommen hier regelmässig eMails mit Anhängen die in Arabischen, Chinesischen, Japanischen etc. Zeichensätzen codiert sind. Mal schauen ob da auch noch was hochkommt.

    Ich habe das Gefühl das das Schätzchen letztendlich noch in der Betaphase auf den Markt geworfen wurde. Ca 3 Wochen nachdem wir es in Betrieb genommen haben habe ich einen simplen Test durchgeführt. Ein Word-Datei mit einem Autostart-Makro. Diese Makro hat ohne Rückfrage bei öffnen damit begonnen Drive C: zu löschen. Das ding lief problemlosdurch. Sandstorm sagt: Ist nicht böse! (war vermulich zu doof für die High-Sophisticated-Checkprozesse) Haben dann über unseren Partner bei Sophos angeklopft.  Sophos hat sich von mir das Makro schicken lassen und dafür gesorgt das das nicht mehr passiert. An der Stelle habe ich mich das erste mal gefragt wie die testen.

    Dann warten wir nochmal ein bisschen...

    gruss

Reply
  • 0 in reply to mod2402

    Moin,

    freut mich das das Ding auch ohne Rumzicken laufen kann.

    Konfigurations- oder Überlastungsproblem wurde durch den Partner ausgeschlossen. Die sg330 ist normalerweise so mit 10-15% CPU-Last unterwegs.

    Ticket ist eröffnet - warten.....

    Wir haben Sandstorm komplett deaktiviert und nach ca 24 Std wieder Eingeschaltet damit das Ding zumindest beim Webbrowsen greift - jetzt funktioniert erstaunlicherweise die eMail-Filterregel die Sandstorm bei den eMails abschaltet.

    Wir haben jetzt auch gefunden wo man die eMails findet die im im Sandstorm hängen: Mailmanager/SMTP Spool (ok - keine glanzleistung)

    Umlaute: Das Problem wird ja wohl durch Umlautdateien ausgelöst. Nicht sehr beruhigend. Wir bekommen hier regelmässig eMails mit Anhängen die in Arabischen, Chinesischen, Japanischen etc. Zeichensätzen codiert sind. Mal schauen ob da auch noch was hochkommt.

    Ich habe das Gefühl das das Schätzchen letztendlich noch in der Betaphase auf den Markt geworfen wurde. Ca 3 Wochen nachdem wir es in Betrieb genommen haben habe ich einen simplen Test durchgeführt. Ein Word-Datei mit einem Autostart-Makro. Diese Makro hat ohne Rückfrage bei öffnen damit begonnen Drive C: zu löschen. Das ding lief problemlosdurch. Sandstorm sagt: Ist nicht böse! (war vermulich zu doof für die High-Sophisticated-Checkprozesse) Haben dann über unseren Partner bei Sophos angeklopft.  Sophos hat sich von mir das Makro schicken lassen und dafür gesorgt das das nicht mehr passiert. An der Stelle habe ich mich das erste mal gefragt wie die testen.

    Dann warten wir nochmal ein bisschen...

    gruss

Children
No Data