Virus got through

You have to ascertain whether it is an old well-known form of NetSky, or one of a myriad of newer variants. They call something NetSky or Blaster because it wreaks the same type of havoc, but the propagating mechanism that gets it all started can be radically different from generation to generation (NetSky b, NetSky i -with some viruses they tear through the entire alphabet!)

I have had one brand of desktop AntiVirus miss one that another caught because it was a new incarnation of virus (just goes to show you how feeble checking for code signatures is; blocking all code, be it executable or script, is really the way to go...)

I am not discounting what you think as a possibility (that for some reason, Astaro missed one  that was in its code signature database). But we have to be sure as to what version of NetSky it is.

Did the Desktop antivirus leave it in a quarantine, so you can submit it to Astaro??

Symantec dubbed it the W32.Netsky.B@mm

Like I said before thats why I have both destop antivirus and astaro. But I would think that Astaro would have caught this one.

I also thought that the Kaspersky virus engine is one of the best around

Well, that appears to be an oldie, so it should have caught it. Is it Kaspersky, Astaro, or your configuration's fault?

I will stand back from this discussion now that you have related crucial info necessary to diagnose what is going on, and defer to Astaro's comments...

Well I know that the virus defs have been updated regularly. I have also never recieved an error from ASL stating the the engine has stopped. So I have now answers. I would be happy to produce logs for anyone out there that can find out what in the world is happening.

Hold on-

Your configuration. The "internal server" on your DMZ; the only way Astaro will detect virri will be if your are accessing that server you manage internally through the POP proxy from Outlook clients on the LAN (and they are using POP, not Exchange, right?); but it sounds like you are deploying the POP proxy between the internal server and the ISP?

How does the "internal server" get its mail from the ISP or 'net? SMTP or POP??

Where is the POP proxy deployed? Between the (presumably) POP clients on the LAN and the internal server? Or not??

If the internal server receives mail through SMTP, the SMTP proxy will have to do the scanning...

The Server gets email from isp mail server using pop3.

The POP3 Proxy on ASL is configured so:

DMZ -> Any

Mail Server is on DMZ

OK, then the configuration is all right; that's sort of an unusual way to do it; most people would just use the POP proxy directly from clients, or be doing SMTP proxy or mailbagging on port 25 with the internal server; but I understand you may be working under some ISP constraints...

What mail software are you using for your internal server on the DMZ?

OK, then the configuration is all right; that's sort of an unusual way to do it; most people would just use the POP proxy directly from clients, or be doing SMTP proxy or mailbagging on port 25 with the internal server; but I understand you may be working under some ISP constraints...

What mail software are you using for your internal server on the DMZ?

This is my home network. I am using the lite version of Desknow.
The full version of Desknow does virus scanning but not the lite.

Looking at the literature for it:

     "...retrieve emails from external POP3 accounts..."

So presuming that your software is configured that way, the only theory I can come up with is that the Desknow is retrieving the Emails in such a way that an Outlook client does not? (e.g., slightly different header passing or base encoding) And maybe that is not handled by Kaspersky or Astaro?

This could be tested (if you care to...) by retransmitting the virus (if you have it in quarantine, or can download it somewhere...) by resending the message to just one Outlook client that is temporarily configured to access an external POP box directly...

I don't think its the way desknow downloads the email. Astaro has caught exactly that same virus before while I was using desknow. The only explanation I have for it is there may have been a corrupt virus def. download and the system didn't warn me that the virus scanner had stopped. 

Today I have already had 3 viruses one of which is that very same virus. Astaro has caught it. My only explanation is the one above. I guess this is why we should all take a layered approach to security and make sure we have antivirus at all levels. I will be looking for another email server (maybe kerio w/ virus scanning).

Thank you SecApp for all the help.

something i do is i have 20 someodd file extensions blocked at the ataro box.  Very rarely has a virus gotten past the extension filters to the a/v scanner at all.  If anyone needs tos end me an attachment either executable or compressed i ahve renme the extension to something else..that way the system scans the attachment.

William,

The stranger thing is that I am using your file extension filters you gave me.

A foreign encoding?? (A filename with a Unicode spelling that Windows steps down to ANSI chars when it arrives at its destination)

I think your problem is an extraordianry one, and Astaro will have to look at it...

By the way, here's a good article explaining what can go wrong:

Bypassing Content Filtering Software

You can see how many regular expressions previously posted on this board will fail to make the grade (and, hey, I made some years ago that could have been end-runned -fortunately not many people were good at doing end-runs at that time...)

Just because your signatures are up to date, it may not save you. Kaspersky's responsibility is to check for a code signature in a file that gets passed to it; but how you parse out a MIME attachment as a file, and how that MIME parsing differs from what Outlook (or whatever mail client you are using) does, will determine whether something slips by. In fairness to Astaro, a mail client vendor can fall out of bed one day, scratch their elbow, and decide to parse MIME differently with the issuance of an update. Share your info with Astaro so everybody can benefit. I still have not fastidiously evaluated your POP proxy config to prove you are blameless (but it sounds like you are).

And don't count so much on Virus scanning defenses; disallow all script and executables (definitely if the attachments will end up in the hands of technical novices!!), unless they are from a known, trusted, and verified source...

You had the right idea to do both perimiter and desktop scanning! Desktop scanners get taken out easily (sometimes strategically by a virus, sometimes accidentally by a system upgrade, sometimes illegally -"but it's such a nuisance, so I had to turn it off..." -and I've found users come up with clever ways to disable AV!). Perimiter scanners usually are more failsafe in terms of uptime operation, but they can miss an unauthorized covert channel (such as can be introduced by "illegally" installed chat or P2P software, use of unauthorized hardware peripherals, or software whose assessed trustworthiness was mistakenly appraised...)

With the list i am using..at least on my home network, between the attachment filters and the a/v..nothing has gotten through.  For my home network here i do not run a/v on the workstations as non of the machine has a floppy drive and we only accept files from trusted srouces.  If i do get a suspicious file i do not open it or touch it until i go online to one of hte many high-quality free onlince a/v scans on the net.

For others, such as my father-in-law who runs v4 at his house for right now,  I use a less strict series of attachment filters and the Astaro a/v.  All machine there also run desktop a/v's as he routinly has to recieve files from untrusted external sources.  

I could turn the a/v proxy off here at my place and with my attachment filters still achieve a nearly 100% virus protection.  As viruses change so would I.  Of course YMMV so what works for me may not work for others.  I am only sharing my particular solution.

here is my currect list of attachment filters:
1 
ace

2 
ade

3 
adp

4 
bas

5 
bat

6 
chm

7 
cmd

8 
com

9 
cpl

10 
crt

11 
exe

12 
hlp

13 
hta

14 
inf

15 
ins

16 
js

17 
jsp

18 
jse

19 
msc

20 
msi

21 
pif

22 
reg

23 
scr

24 
vb

25 
vbe

26 
vbs

27 
mdb

28 
lha

29 
zip

30 
bz

31 
bz2

32 
tar

33 
gz

34 
z

35 
tgz

36 
rar

[ QUOTE ]
By the way, here's a good article explaining what can go wrong:

Bypassing Content Filtering Software

You can see how many regular expressions previously posted on this board will fail to make the grade (and, hey, I made some years ago that could have been end-runned -fortunately not many people were good at doing end-runs at that time...)

Just because your signatures are up to date, it may not save you. Kaspersky's responsibility is to check for a code signature in a file that gets passed to it; but how you parse out a MIME attachment as a file, and how that MIME parsing differs from what Outlook (or whatever mail client you are using) does, will determine whether something slips by. In fairness to Astaro, a mail client vendor can fall out of bed one day, scratch their elbow, and decide to parse MIME differently with the issuance of an update. Share your info with Astaro so everybody can benefit. I still have not fastidiously evaluated your POP proxy config to prove you are blameless (but it sounds like you are).

And don't count so much on Virus scanning defenses; disallow all script and executables (definitely if the attachments will end up in the hands of technical novices!!), unless they are from a known, trusted, and verified source...

You had the right idea to do both perimiter and desktop scanning! Desktop scanners get taken out easily (sometimes strategically by a virus, sometimes accidentally by a system upgrade, sometimes illegally -"but it's such a nuisance, so I had to turn it off..." -and I've found users come up with clever ways to disable AV!). Perimiter scanners usually are more failsafe in terms of uptime operation, but they can miss an unauthorized covert channel (such as can be introduced by "illegally" installed chat or P2P software, use of unauthorized hardware peripherals, or software whose assessed trustworthiness was mistakenly appraised...)
 

[/ QUOTE ]
Modern IPs systems can detect and stop most "illegally" installed applications.  Astaro by itself can kill chat apps and p2p apps(with one exception i have posted about earlier in another thread/forum).