If using POP3 proxy/AV is a HTTP proxy necessary?

We also started with POP3 virus protection, but we found out  that a lot of users went to webmail services via HTTP. The HTTP virus protection (scanning downloaded files) slows down the Internet connection, but there is always a balance between security and usability. You have to decide what is more important in your environment: speed or protection. Normally the clients also have Desktop Virus Protection installed. This should detect known viruses. Unfortunately this anti virus engine was not always up to date and “overlooked” especially new viruses. 
From my point of view it is always better to have a layered anti virus architecture with a centralized protection on the firewall.

We also started with POP3 virus protection, but we found out  that a lot of users went to webmail services via HTTP. The HTTP virus protection (scanning downloaded files) slows down the Internet connection, but there is always a balance between security and usability. You have to decide what is more important in your environment: speed or protection. Normally the clients also have Desktop Virus Protection installed. This should detect known viruses. Unfortunately this anti virus engine was not always up to date and “overlooked” especially new viruses. 
From my point of view it is always better to have a layered anti virus architecture with a centralized protection on the firewall.

Fn-Eagle,

Yes, I thought about HTTP webmail services, we do have a few people that do access personal accounts this way. I'm actually going away from Anti-Virus applications on our local machines. So I guess I should just "bite the bullet" and tell users the connection will be slower for security purposes.
 [ QUOTE ]
Unfortunately this anti virus engine was not always up to date and “overlooked” especially new viruses

[/ QUOTE ] 
Are you referring to the anti-virus on ASL? If so do you think they are working on it to be more up to date? If it helps I have it set to update the signature files every hour.

Thanks,
Patrick

The Anti virus solution ASL uses is excellent. Yes, downloading the signature every hour is clever decision. 

You should have Anti-Virus application on your client machines as well. What if somebody is using a Floppy or CD-ROM. You never know…

There has a big drop-off in email borne malware over the past year or so. A lot of it is coming through HTTP, IM, P2P, and such. Kaspersky puts out a report every 6 months on the subject, which you can see here:
http://www.viruslist.com/en/analysis?pubid=198968167
Although it's a vendor report, it's pretty technical and relevant. It's not like Webroot's yearly scare-a-thon.

The unfortunate thing is that some of the sites distributing malware even use HTTPS, which your gateway antivirus cannot scan, and files can be crypted and/or packed to evade scanning as well, so it is indeed essential to have a security solution at the endpoint as well as the gateway.

There's three main ways that they come through HTTP traffic:

1) Browser and browser plugin exploits. These can be on purely malicious sites (a site with no other purpose than to spread malware), trusted sites that have been hacked (remember download.ject), or advertising networks (malware distributor gets an account and puts in a banner/popup containing a cross-site scripting exploit, a javascript exploit, CSS exploit, media file exploit, or similar). Although it's not always feasible, switching to Firefox or Opera is the easiest way to get around this, at least for now. Otherwise you can harden Internet Explorer's settings, filter scripting, use a third party solution, etc.

2) User downloads. These often advertising free wallpaper, screensavers, ringtones, or other popular items. You should have a policy on downloads, and enforce them. If you don't want to block downloads by filetype you could use software restriction policies available in XP SP2, or a third party solution. These could help the first case as well, as long as the malware isn't one that injects the payload directly to memory, which is not common.

3) Other software, some media players and maybe instant messengers, or other malware such as trojan droppers, that downloads web content to "enhance" the user experience (with malware! yay!). Also don't forget that spammers like to send HTML mail that loads web content, which uses browser exploit. This could fit in both above catagories.

Third party solutions do not need to just be antivirus or antispyware. There are solutions that filter specific exploit scripts from http traffic (SocketShield, which will have a gateway version at some point), virtualization specifically for internet software (BufferZone, GreenBorder, and a slew of consumer products), execution blockers (Prevx1, which is also a general anti-malware, WebSense, you can also just create software restriction policies), or any number of other things. 

This list is by no means complete, but hopefully it can give you an idea of what to consider while figuring out what you want to do. If you want to see how common some of this stuff is, get SiteAdvisor (siteadvisor.com) and do some searches for "free wallpaper" "free ringtones" "free screensavers" and other such popular downloads.