Перейти к содержанию
alexIrish

Symantec не ловит emails с вложеными в архив троянами

Recommended Posts

alexIrish

Одит из наших сотрудников начал получать emails с вложеными в архив троянами. В оффисе стоит Symantec EPP v.11, управляется централизовано с сервера, все обновления сделаны. Outlook protection & Email Protection включены. Вся почта идущая к нам из вне проходит через провайдера, где сканируется на спам и вирусы. Но ети майлы у них не регестрируются, т.е. по всей видимости генерируются гдето внутри нашей сети. Отправитель меняется каждый день:amazon.com; twitter.com and so on. Емаил приходит раз в день, ~ в 8 утра. На клиентском компе в соответсвии с серверными настройками Outlook protection включен по дефалту. Скан делал во всей сети. Ничего не нашел. помогите отловить. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

alexIrish Вы используете MS Exchange? Если Да, то Вы же понимаете, что письмо не может просто попадать в Outlook минуя Exchange. Смотрели x-headrы в письме, откуда оно приходит? Вложенный файл не детектится SEP? Отправляли его в Symantec Security Response?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexIrish

Да, используем MS Exchange 2003. Вложеный file (zip архив) не детектится SEP когда приходит в Outlook, но если сохранить на диск и проверить, не распаковывая, то сразу же определяет два трояна внутри архива. B политике для Outlook protection определено проверять архивы до 3 уровня вложенности. A x-header vot:

Microsoft Mail Internet Headers Version 2.0

Received: from twitter.com ([109.78.49.151]) by companydomain.com with Microsoft SMTPSVC(6.0.3790.3959);

Thu, 11 Mar 2010 08:22:23 +0000

From: [email protected]

To: [email protected]

Subject: Your friend invited you to twitter!

Date: Thu, 11 Mar 2010 08:22:29 +0000

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0006_73DD3907.5056AE5D"

X-Priority: 3

X-MSMail-Priority: Normal

Return-Path: [email protected]

Message-ID: <[email protected]>

X-OriginalArrivalTime: 11 Mar 2010 08:22:23.0513 (UTC) FILETIME=[F9DDD090:01CAC0F3]

------=_NextPart_000_0006_73DD3907.5056AE5D

Content-Type: text/html;

charset="Windows-1252"

Content-Transfer-Encoding: 8bit

------=_NextPart_000_0006_73DD3907.5056AE5D

Content-Type: application/octet-stream;

name="Invitation Card.zip"

Content-Transfer-Encoding: base64

Content-Disposition: attachment;

filename="Invitation Card.zip"

------=_NextPart_000_0006_73DD3907.5056AE5D--

Как мне найти откуда он пришел? Thanks.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexIrish

По всем данным получается что мы имеем бот который может посылать почту прямо ан IP адрес нашего mail сервера, так что они проходят мимо email провaидера. Я установил Symantec MF for Exchange na почтовом сервере, он справляется со своей задачей. Вирус обнаруживается, email в карантине. Но по хорошему надо настрооить firewall так что бы весь email трафик приходил толко с IP адреса email провайдера. У нас стоит Symantec Gateway 360 роутер. Ну и Symantec Enterprise Protection 11. Посоветуйте как закрыть SMTP порт 25 так чтобы трафик пропускался толко с определенного IP адреса. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy
По всем данным получается что мы имеем бот который может посылать почту прямо ан IP адрес нашего mail сервера, так что они проходят мимо email провaидера. Я установил Symantec MF for Exchange na почтовом сервере, он справляется со своей задачей. Вирус обнаруживается, email в карантине. Но по хорошему надо настрооить firewall так что бы весь email трафик приходил толко с IP адреса email провайдера. У нас стоит Symantec Gateway 360 роутер. Ну и Symantec Enterprise Protection 11. Посоветуйте как закрыть SMTP порт 25 так чтобы трафик пропускался толко с определенного IP адреса. Спасибо.

Честно говоря, не слышал про продукт Symanteс Gateway 360...как я понимаю, вам нужно установить клиента SEP на тот же Exchange и в политиках Firewall прописать конкрентный IP-адрес провайдера, с которого будет идти почта на 25-ый порт Exchange'а. Со всех других IP-адресов, включая все сегменты корпоративной сети, - следует отрубить трафик по SMTP.

А вообще есть отдельный продукт Symantec Brightmail Gateway - как шлюзовое решение он содержит весь необходимый Вам функционал, а также много другого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Pavel Polyanskiy

Хотя если не ошибаюсь, в том же SMS for Exchange есть списки отправителей, можно создавать whitelist и blacklist'ы, но по доменному имени...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Tuki
      Я только в одной букмекерской конторе делаю ставки. А есть смысл в двух делать? Если все условия, предлагаемые букмекером, устраивают, тогда зачем пользоваться услугами другого? Или тут дело в бонусах и промокодах от разных БК?))) Если так, то понятно. Бонусы у топовых контор очень заманчивые. Я делаю ставки только в 1хбет. О бонусах, промокодах и об остальном можно почитать на сайте 1xbet.in.net. Теперь подумаю, может стоит еще в одной БК зарегистрироваться?
    • Tuki
      Мясо по-французски - беспроигрышный вариант. Какой вы молодец.
    • Tuki
    • aleks87
      Форум Казино http://igrokicasino.forum.cool
      Форум игроков казино http://igrokicasino.forum.cool/
      Форум бездепозитных бонусов казино http://igrokicasino.forum.cool/
      Топ Форум онлайн казино http://igrokicasino.forum.cool/
    • Dilyaako
      можно вообще сделать ход конём - подарить самогонный аппарат начального уровня . будет чем заняться в декрете. даже можно будет продавать, хотя бы местным) качественные напитки всегда спрос иметь будут. ну и в целом хобби найти было бы неплохо, чтобы не заскучала)
×