Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 2415 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL V4 - Virus being allowed through SMTP proxy

steve_intuitive
We have a very intermittent error with the SMTP Proxy allowing the occational virus through.

Whilst it is for the most part doing a fantastic job, we are seeing the occational virus 'slip through'. We have approximately 20 domains running through the proxy and it handles a lot of traffic, in the last 20 days we have caught 11,742 emails that contain either viruses or have a SPAM score higher than 7.

The problem seems to be only restricted to the Netsky-d virus. The proxy has blocked emails infected with this virus but it has also let them through. Examining the headers it is not even a case of the emails not being scanned: - 

Example of infected email headers:

Message-ID: 
Content-Class: urn:content-classes:message
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1409
X-Spam-Score: 1.0 (+)
Importance: normal
Priority: normal
X-Spam-Report: 1.0/5.0Spamassassin report follows*  1.0 -- From: does not include a real name
X-Scan-Signature: 61b9471a4cb1b68959e2846a51b05644
Return-Path: 
X-OriginalArrivalTime: 07 May 2004 09:33:37.0343 (UTC) FILETIME=[5FBE04F0:01C43416]

And it would seem that ASL is catching 'some' netsky-d infected emails

Content Scanner: X-Infected: I-Worm.NetSky.d (virus, worm or other malware)

Very Odd.

ASL is running on a P4 2.4ghz machine with 512Mb of memory, Max CPU load is 24%. The Pattern up2date is checked every hour and the pattern installed is todays.

Any suggestions will be appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Are the emails going to the postmaster account?

    From what I remember, emails to the postmaster account are treated differently from others.
  • 0 in reply to Manctastic
    No the emails are going to 'normal' user accounts.

    Since posting I have changed the action on virus infected email from Quarantine to blackhole, but thats because I am forever clearing down the proxy content manager.
  • 0 in reply to steve_intuitive
    I do have a similar issue.
    Actually only recently.
    I am running vers 4.022

    Atleast once I had a virus comming through.
  • 0 in reply to LinuxVirgin
    please avoid such generic posts! Which virus slipped through and when? A setup description wouldn't be bad either. In case a virus passed through it would always be a good idea to contact your Astaro partner or support directly.

    Please note that encrypted e-mails as well as password protected attachements in e-mails cannot be scanned except those which appeared recently with passwords in the mail body - furthermore there is always a time gap between the release of a new a virus and the availability of a  anti virus pattern against it. With having Kaspersky on board we have the most reliable protection available on the market!

    read u
    o|iver
  • 0 in reply to oliver.desch
    /me pipes up about ClamAV again....

    2 virus engines = better protection for the same cost as the second is free....
  • 0 in reply to oliver.desch
    As far as I can tell my original post was far from generic, contained details about the virus including headers, was not a password protected attachement or encrypted and the virus was far from new, yet it still got through!!

    Yes having the vendor onboard is a great move but as it has missed several viruses, I feel that calling it the best is far from accurate. Virus protection is all about confidence, with these existing problems I cannot tell our customers that they have 100% protection and they must run a second virus engine such as sophos on either the internal mailserver and/or desktop clients to protect them from mallicous emails.

    It would of been more helpful to of had some form of response about the real issues here rather than just having a 'go' at another user who is experiencing similar problems just because their post did not contain more information.

    This is a real issue lets resolve it rather than just ignore it and hope it goes away!
Reply
  • 0 in reply to oliver.desch
    As far as I can tell my original post was far from generic, contained details about the virus including headers, was not a password protected attachement or encrypted and the virus was far from new, yet it still got through!!

    Yes having the vendor onboard is a great move but as it has missed several viruses, I feel that calling it the best is far from accurate. Virus protection is all about confidence, with these existing problems I cannot tell our customers that they have 100% protection and they must run a second virus engine such as sophos on either the internal mailserver and/or desktop clients to protect them from mallicous emails.

    It would of been more helpful to of had some form of response about the real issues here rather than just having a 'go' at another user who is experiencing similar problems just because their post did not contain more information.

    This is a real issue lets resolve it rather than just ignore it and hope it goes away!
Children
  • 0 in reply to steve_intuitive
    [ QUOTE ]
    Virus protection is all about confidence, with these existing problems I cannot tell our customers that they have 100% protection and they must run a second virus engine such as sophos on either the internal mailserver and/or desktop clients to protect them from mallicous emails.

    [/ QUOTE ]

    Virus protection on the network edge should never be a reason to leave any of the internal equipment individually unprotected.  Good protection against viruses and other malicious code involves a LAYERED approach -- with two layers usually being enough for most.  ASL adds a critical layer that most people don't have.
  • 0 in reply to OfficeDefender
    The issue we are dealing with here is email borne virus protection. Not symantecs about what is good virus protection policy. With 20 domains on one firewall alone being filtered, we need to ensure that the protection we claim to offer is actually happening. ASL does not claim to block only a percentage (however large) of infected emails. The issue we have is why, ASL will filter one infected email yet still let another through even with exactly the same virus.

    In an ideal world, end users would be clued and up not open emails that they do not know who sent them or are not expecting an attachment from. In a ideal world the desktop OS would not be so full of holes that the virus writers can attack us at will. But then I guess we will all be on Unix desktops running 'x'   [:)]
  • 0 in reply to steve_intuitive
    Hi Steve,

    You mentioned in your post that the problem appears to be limited to the Netsky-d virus.  Astaro uses the Kaspersky antivirus engine and they're going to be limited to what Kaspersky is doing.  I'm not making an excuse for them, just stating the obvious.  Anyway, because of this, I believe it's best to not assume Astaro (or any firewall) is going to get every virus all the time and to expect a small amount of leakage.  This is why I'm saying that you shouldn't think about canning your internal antivirus protection -- you need the second layer.

    The good news here is that this problem, as you've stated, is limited to one virus (Netsky-d).  Someone from Astaro will hopefully pick up on this thread and look into the matter.  However, this is probably a Kaspersky issue, not a firewall design problem.  Astaro may be able to address the problem, but I wouldn't think any less of their firewall because one type of virus got through the email a/v protection.  Your second layer of protection should pick it up and nail it.
  • 0 in reply to OfficeDefender
    Today's a/v techniques are reactive in nature that means virii will get released before the a/v companies can get their updates pushed out.  

    There is a way jsut kill all attachments..but that is not feasible(even for me and i run what would be considered a draconian attachment policy).  I have almost 35 attachment types filtered and that has effectivly killed any virii that get through.  HOwever for some, the attachments i have killed would make their lives(personal or buisiness) unworkable.  If you want the list i can send it....test it out and see if it interferes..this would be another layer in your a/v defense armour..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow