Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 5803 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Continuing to recieve Virus Emails

NugentS
Astaro Version - whatever the latest stable is.
With AV

I am continually getting W32.KLEZ.H@MM coming through the firewall. They are being stopped by Norton but I would have throught the firewall should be stopping them...

Sean


This thread was automatically locked due to age.
Parents
  • 0
    I agree with you. In my case it's the extention-blocker that does the trick but then I don't know if the blocked file contains a virus.

    So, for some reason, some virusses can pass the virusscanner.
  • 0 in reply to DanielC
    Is thisa common problem - and if it is - is it an Astaro or Kapersky problem....

    Dunno

    Sean
  • 0 in reply to NugentS
    The extension blocker does not work here. I put the extension pif in the blocker but I still get messages with pif files attached.
  • 0 in reply to Rick_01
    please keep in mind that the postmaster address (the one you enter in WebAdmin -> smtp relay) is NOT scanned!!! Maybe that's your problem.
  • 0 in reply to Andy_01
    Originally posted by Andy:
    please keep in mind that the postmaster address (the one you enter in WebAdmin -> smtp relay) is NOT scanned!!! Maybe that's your problem.
    I checked that and it was a potential problem so I adjusted the WebAdmin address and waited.

    I just got another virus through the firewall proxy.....

    Sean
  • 0 in reply to NugentS
    It is unbelivable, thousands of comments but noone
    mentions the ASL Version, a very useful information
    "whatever the latest stable is"   [:S]  

    Come on and have a look in the lower left corner
    of your browser and post your version!

    For further analysis we would need a complete e-mail
    with all headers and the attachement as a textfile
    in a password protected zip file - don't forget to
    tell us the password   [;)]

    read you
    o|iver
  • 0 in reply to oliver.desch
    I am running the latest version of Astaro, as of this post.  I have the SMTP Proxy turned on, it is routing mail properly, and antivirus filtering is on.  I am sending email security tests (including the ecars test virus) from the following site to an email address which is NOT the postmaster address.

    http://www.gfi.com/emailsecuritytest/

    Can someone please explain why it is that all these emails go right past my proxy and into the user's mailbox?  
  • 0 in reply to danielrm26
    Hi,
    have a look at the header of your eicar-mail. is there a:

    X-Infected:  EICAR-Test-File

    Did you set the virus-protection action to pass?

    Erik    
  • 0 in reply to jader_01
    My virus protection is set to quarantine, and I am not sending to the postmaster address.

    I am running version 4.00 (Just upgraded!) [:)]

    The email tests I am using are located at:
    http://www.gfi.com/emailsecuritytest/

    Can someone tell me why it is that these are coming through without any trouble?
     
  • 0 in reply to danielrm26
    There are several tests available. 

    I received :
    the ActiveX-mail, where ActiveX might be malware but in this case?
    Malformed file extension, it's not a Virus, duh? Exclude .hta ...
    CLSID extension, it's not a Virus in it...
    GFI's Access exploit, no Virus...
    eicar.com [5/5], splitted Virus, nice trick, we should tell it to Exim-developers and Kaspersky. Because AVP never scans the complete mail, it doesn't recognize the Eicar-String. 
    We should test this with a bigger Virus, so AVP has a chance to check pattern.

    Erik
      
  • 0 in reply to oliver.desch
    Hmmm - where is my version number - there is nothing in the lower left of thre browser. I think its 3.216 though.

    I am still getting regular virii through the firewall. If I send my self Eicar then ASL does block it - but not these virii.

    "Sender of the infected attachment:  Unknown Sender
    Recipient of the infected attachment:  Unknown
    Subject of the message:  Unknown
    One or more attachments were deleted.
      Attachment Done..scr was Deleted for the following reasons:
        Virus W32.Klez.H@mm was found."

    Which is one message I get after Norton on the Exchange Server has killed it.

    What I have left of the actual message is

    "Microsoft Mail Internet Headers Version 2.0
    Received: from firewall.sendarian.co.uk ([212.19.77.33]) by odin.sendarian.co.uk with Microsoft SMTPSVC(5.0.2195.5329); Wed, 26 Mar 2003 15:18:33 +0000
    Received: from [194.73.73.111] (helo=gadolinium.btinternet.com) by firewall.sendarian.co.uk with esmtp (Exim 6.66 #1) id 18yCfY-0004qL-00 for chaos@sendarian.co.uk; Wed, 26 Mar 2003 15:18:24 +0000
    Received: from host81-134-89-67.in-addr.btopenworld.com ([81.134.89.67] helo=Aclcc) by gadolinium.btinternet.com with smtp (Exim 3.22 #24) id 18yCfS-0003KG-00 for chaos@sendarian.co.uk; Wed, 26 Mar 2003 15:18:18 +0000
    From: "red" 
    To: 
    Subject: To all top level windows...
    X-MimeOLE: Produced By Microsoft Exchange V6.0.6249.0
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
    boundary="SHP3MB4cK2M682a7gl1q51gJ6n5No518Z"
    Message-ID: 
    Date: Wed, 26 Mar 2003 15:18:18 +0000
    Return-Path: 
    X-OriginalArrivalTime: 26 Mar 2003 15:18:33.0938 (UTC) FILETIME=[F755CB20:01C2F3AA]

    --SHP3MB4cK2M682a7gl1q51gJ6n5No518Z
    Content-Type: text/html;
    charset="iso-8859-1"
    Content-Transfer-Encoding: quoted-printable

    --SHP3MB4cK2M682a7gl1q51gJ6n5No518Z
    Content-Type: audio/x-wav;
    name="Deleted Attachment.txt"
    Content-Transfer-Encoding: 7bit
    Content-ID: 

    --SHP3MB4cK2M682a7gl1q51gJ6n5No518Z
    Content-Type: application/octet-stream;
    name="brndlog.txt"
    Content-Transfer-Encoding: base64
    Content-ID: 


    --SHP3MB4cK2M682a7gl1q51gJ6n5No518Z--
    "

    Sean
    Sorry its taken me so long to get back to you - I've been away.   
Reply
  • 0 in reply to oliver.desch
    Hmmm - where is my version number - there is nothing in the lower left of thre browser. I think its 3.216 though.

    I am still getting regular virii through the firewall. If I send my self Eicar then ASL does block it - but not these virii.

    "Sender of the infected attachment:  Unknown Sender
    Recipient of the infected attachment:  Unknown
    Subject of the message:  Unknown
    One or more attachments were deleted.
      Attachment Done..scr was Deleted for the following reasons:
        Virus W32.Klez.H@mm was found."

    Which is one message I get after Norton on the Exchange Server has killed it.

    What I have left of the actual message is

    "Microsoft Mail Internet Headers Version 2.0
    Received: from firewall.sendarian.co.uk ([212.19.77.33]) by odin.sendarian.co.uk with Microsoft SMTPSVC(5.0.2195.5329); Wed, 26 Mar 2003 15:18:33 +0000
    Received: from [194.73.73.111] (helo=gadolinium.btinternet.com) by firewall.sendarian.co.uk with esmtp (Exim 6.66 #1) id 18yCfY-0004qL-00 for chaos@sendarian.co.uk; Wed, 26 Mar 2003 15:18:24 +0000
    Received: from host81-134-89-67.in-addr.btopenworld.com ([81.134.89.67] helo=Aclcc) by gadolinium.btinternet.com with smtp (Exim 3.22 #24) id 18yCfS-0003KG-00 for chaos@sendarian.co.uk; Wed, 26 Mar 2003 15:18:18 +0000
    From: "red" 
    To: 
    Subject: To all top level windows...
    X-MimeOLE: Produced By Microsoft Exchange V6.0.6249.0
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
    boundary="SHP3MB4cK2M682a7gl1q51gJ6n5No518Z"
    Message-ID: 
    Date: Wed, 26 Mar 2003 15:18:18 +0000
    Return-Path: 
    X-OriginalArrivalTime: 26 Mar 2003 15:18:33.0938 (UTC) FILETIME=[F755CB20:01C2F3AA]

    --SHP3MB4cK2M682a7gl1q51gJ6n5No518Z
    Content-Type: text/html;
    charset="iso-8859-1"
    Content-Transfer-Encoding: quoted-printable

    --SHP3MB4cK2M682a7gl1q51gJ6n5No518Z
    Content-Type: audio/x-wav;
    name="Deleted Attachment.txt"
    Content-Transfer-Encoding: 7bit
    Content-ID: 

    --SHP3MB4cK2M682a7gl1q51gJ6n5No518Z
    Content-Type: application/octet-stream;
    name="brndlog.txt"
    Content-Transfer-Encoding: base64
    Content-ID: 


    --SHP3MB4cK2M682a7gl1q51gJ6n5No518Z--
    "

    Sean
    Sorry its taken me so long to get back to you - I've been away.   
Children
No Data