Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1129 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro 3.221: MyDoom.a partially got through

dombl
Is there an existing issue with an older Astaro 3.221 with Virusscanner ?
A customer, who hasn't upgraded yet (!) told me that he got 10 virus' over the Astaro-box from the internet onto his Exchange-server. Symatec-scanner on exchange reported MyDoom.a  found.

Klaus [:S]  


This thread was automatically locked due to age.
  • 0
    Make sure your DNS-MX-Record points to the firewall's external IP. Do you have a DNAT for SMTP? If yes, you are going to bypass the SMTP-Proxy. What does your smtp-log and daemon-log outputs?

    Xeno 
  • 0
    Do you know if the "virus" messages gone thru were only the text part of mydoom? I have noticed that sometimes "text only" virus messages get thru, even though they normally get caught.
    Otherwise I would say that version 3 has worked very steadily for us, we have used ver3 since initial release (for about 500 days now), with only few reboots (just due to Up2Date or internal administrative reasons).   
  • 0 in reply to Xeno
    Hi,
    MX is ok. There's no bypass of SMTP. I saw 417 MyDooms as INTERCEPTED.
    So i wonder.
    I try to get a quarantined virus as password-protected-zip-file. If it works, i could try to analyse it.
    But may be it a problem of this old Astaro and an  old scan-engine ?
    ( i already tried to push this customer to upgrade )

    Klaus  
  • 0 in reply to dombl
    Any news on that? 
  • 0 in reply to 2x4x
    No, sorry,

    The admin was'nt able to send a virus-file to me.  
  • 0 in reply to dombl
    I could image two scenarios. First is that those attachments were encoded in a way that the demime engine couldn't detect it as a valid file attachement and your mail client is either Outlook or its express variant. Outlook has an incredible 'clever' mime encoder engine buildin -> makes files from dirt. In this case it might be a good idea to enable 'MIME error checking' on Astaro.  Second is that  the assumed virus are only partially included in a bounce messages. It depends on the virus pattern if a partial virus can be detected. In this case the reported virus cannot harm the system anymore.

    Greetings
    cyclops