Virus got through

something i do is i have 20 someodd file extensions blocked at the ataro box.  Very rarely has a virus gotten past the extension filters to the a/v scanner at all.  If anyone needs tos end me an attachment either executable or compressed i ahve renme the extension to something else..that way the system scans the attachment.

William,

The stranger thing is that I am using your file extension filters you gave me.

A foreign encoding?? (A filename with a Unicode spelling that Windows steps down to ANSI chars when it arrives at its destination)

I think your problem is an extraordianry one, and Astaro will have to look at it...

By the way, here's a good article explaining what can go wrong:

Bypassing Content Filtering Software

You can see how many regular expressions previously posted on this board will fail to make the grade (and, hey, I made some years ago that could have been end-runned -fortunately not many people were good at doing end-runs at that time...)

Just because your signatures are up to date, it may not save you. Kaspersky's responsibility is to check for a code signature in a file that gets passed to it; but how you parse out a MIME attachment as a file, and how that MIME parsing differs from what Outlook (or whatever mail client you are using) does, will determine whether something slips by. In fairness to Astaro, a mail client vendor can fall out of bed one day, scratch their elbow, and decide to parse MIME differently with the issuance of an update. Share your info with Astaro so everybody can benefit. I still have not fastidiously evaluated your POP proxy config to prove you are blameless (but it sounds like you are).

And don't count so much on Virus scanning defenses; disallow all script and executables (definitely if the attachments will end up in the hands of technical novices!!), unless they are from a known, trusted, and verified source...

You had the right idea to do both perimiter and desktop scanning! Desktop scanners get taken out easily (sometimes strategically by a virus, sometimes accidentally by a system upgrade, sometimes illegally -"but it's such a nuisance, so I had to turn it off..." -and I've found users come up with clever ways to disable AV!). Perimiter scanners usually are more failsafe in terms of uptime operation, but they can miss an unauthorized covert channel (such as can be introduced by "illegally" installed chat or P2P software, use of unauthorized hardware peripherals, or software whose assessed trustworthiness was mistakenly appraised...)

With the list i am using..at least on my home network, between the attachment filters and the a/v..nothing has gotten through.  For my home network here i do not run a/v on the workstations as non of the machine has a floppy drive and we only accept files from trusted srouces.  If i do get a suspicious file i do not open it or touch it until i go online to one of hte many high-quality free onlince a/v scans on the net.

For others, such as my father-in-law who runs v4 at his house for right now,  I use a less strict series of attachment filters and the Astaro a/v.  All machine there also run desktop a/v's as he routinly has to recieve files from untrusted external sources.  

I could turn the a/v proxy off here at my place and with my attachment filters still achieve a nearly 100% virus protection.  As viruses change so would I.  Of course YMMV so what works for me may not work for others.  I am only sharing my particular solution.

here is my currect list of attachment filters:
1 
ace

2 
ade

3 
adp

4 
bas

5 
bat

6 
chm

7 
cmd

8 
com

9 
cpl

10 
crt

11 
exe

12 
hlp

13 
hta

14 
inf

15 
ins

16 
js

17 
jsp

18 
jse

19 
msc

20 
msi

21 
pif

22 
reg

23 
scr

24 
vb

25 
vbe

26 
vbs

27 
mdb

28 
lha

29 
zip

30 
bz

31 
bz2

32 
tar

33 
gz

34 
z

35 
tgz

36 
rar

[ QUOTE ]
By the way, here's a good article explaining what can go wrong:

Bypassing Content Filtering Software

You can see how many regular expressions previously posted on this board will fail to make the grade (and, hey, I made some years ago that could have been end-runned -fortunately not many people were good at doing end-runs at that time...)

Just because your signatures are up to date, it may not save you. Kaspersky's responsibility is to check for a code signature in a file that gets passed to it; but how you parse out a MIME attachment as a file, and how that MIME parsing differs from what Outlook (or whatever mail client you are using) does, will determine whether something slips by. In fairness to Astaro, a mail client vendor can fall out of bed one day, scratch their elbow, and decide to parse MIME differently with the issuance of an update. Share your info with Astaro so everybody can benefit. I still have not fastidiously evaluated your POP proxy config to prove you are blameless (but it sounds like you are).

And don't count so much on Virus scanning defenses; disallow all script and executables (definitely if the attachments will end up in the hands of technical novices!!), unless they are from a known, trusted, and verified source...

You had the right idea to do both perimiter and desktop scanning! Desktop scanners get taken out easily (sometimes strategically by a virus, sometimes accidentally by a system upgrade, sometimes illegally -"but it's such a nuisance, so I had to turn it off..." -and I've found users come up with clever ways to disable AV!). Perimiter scanners usually are more failsafe in terms of uptime operation, but they can miss an unauthorized covert channel (such as can be introduced by "illegally" installed chat or P2P software, use of unauthorized hardware peripherals, or software whose assessed trustworthiness was mistakenly appraised...)
 

[/ QUOTE ]
Modern IPs systems can detect and stop most "illegally" installed applications.  Astaro by itself can kill chat apps and p2p apps(with one exception i have posted about earlier in another thread/forum).