Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 3433 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS blocks E-Mail Attachements

Der_Stift
Hi all,

I do have a nooby question [[:)]]  I recently installed an exchange and put that server behind the Sophos UTM 9. For some old (historical) reasons there is a Postfix reverse proxy between the Exchange and the UTM.

To the UTM config:
- SMTP Proxy is disabled (due to those Postfix reasons)
- The Exchange server (internal IP) is listed in the SMTP-Server List (IPS -> Tab Advanced)
- The Exchange Server is protected by Web Server Protection and there are some NAT Rules für IMAP etc.

The Point is, that I had to disable the IPS for the Exchange Server because the IPS blocked every E-Mail with an attachement. 

Did I missconfigured anything? 

Best Regards and many thanks [[:)]]


This thread was automatically locked due to age.
  • 0
    I'm confused.  Is the Postfix reverse proxy on a device that is bridged in front of Exchange?

    Are you DNATting SMTP traffic to Postfix or to Exchange?  If to Postfix, did you add that to the list of 'SMTP Servers'?

    Cheers - Bob
  • 0
    To add to Bobs comment add the ip address of the postfix relay under intrusion prevention --> advanced --> smtp servers. While your at it add any other servers here that may apply. Should take care of the issue.
  • 0
    Hi, instead of disabling the IPS, you could look at the log and disable the rules (using the SID#) causing the false positives.

    Barry
  • 0
    Yea you could do that too Barry. Of course the advanced option will fully exempt the server from ips.  This is also good for keeping ips from choking your cpu. Snort should really be called cpu hogger. [:)]
  • 0 in reply to zaxon
    Of course the advanced option will fully exempt the server from ips.


    You could, but then you lose most protection of your mailserver, unless you're also using the SMTP proxy.

    Barry
  • 0
    My bad on that one. Putting the ip of the postfix server under advanced wont exempt the server. The performance tuning section is to limit the scope of ips for servers. So you can check the live log while testing. Id the rule that's triggering and disable it as Barry Noted. We are assuming the postfix server is a relay between the utm and the exchange server. You can also tell support about he false positive if it is in fact that.
  • 0
    Hi all,

    thanks for these many answers [:)] I'll test it after the main business time and give you response than 

    Thanks
  • 0
    Hi Bob,

    yes I DNAT SMTP to the Postfix and to Exchange (depends on Port). I added the Postfix to the SMTP List, now. But some E-Mail attachements are still blocked. There are only 2 Rules envolved so I just put up an exception for those rules. I'll keep an eye on it!

    Thanks and regards
  • 0
    Now that I see this again, I recall having to disable some IPS rules after upgrading a site to V9 as Excel and other email attachments were being blocked.

    Cheers - Bob