alexIrish

Symantec не ловит emails с вложеными в архив троянами

В этой теме 6 сообщений

Одит из наших сотрудников начал получать emails с вложеными в архив троянами. В оффисе стоит Symantec EPP v.11, управляется централизовано с сервера, все обновления сделаны. Outlook protection & Email Protection включены. Вся почта идущая к нам из вне проходит через провайдера, где сканируется на спам и вирусы. Но ети майлы у них не регестрируются, т.е. по всей видимости генерируются гдето внутри нашей сети. Отправитель меняется каждый день:amazon.com; twitter.com and so on. Емаил приходит раз в день, ~ в 8 утра. На клиентском компе в соответсвии с серверными настройками Outlook protection включен по дефалту. Скан делал во всей сети. Ничего не нашел. помогите отловить. Спасибо.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

alexIrish Вы используете MS Exchange? Если Да, то Вы же понимаете, что письмо не может просто попадать в Outlook минуя Exchange. Смотрели x-headrы в письме, откуда оно приходит? Вложенный файл не детектится SEP? Отправляли его в Symantec Security Response?

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да, используем MS Exchange 2003. Вложеный file (zip архив) не детектится SEP когда приходит в Outlook, но если сохранить на диск и проверить, не распаковывая, то сразу же определяет два трояна внутри архива. B политике для Outlook protection определено проверять архивы до 3 уровня вложенности. A x-header vot:

Microsoft Mail Internet Headers Version 2.0

Received: from twitter.com ([109.78.49.151]) by companydomain.com with Microsoft SMTPSVC(6.0.3790.3959);

Thu, 11 Mar 2010 08:22:23 +0000

From: [email protected]

To: [email protected]

Subject: Your friend invited you to twitter!

Date: Thu, 11 Mar 2010 08:22:29 +0000

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0006_73DD3907.5056AE5D"

X-Priority: 3

X-MSMail-Priority: Normal

Return-Path: [email protected]

Message-ID: <[email protected]>

X-OriginalArrivalTime: 11 Mar 2010 08:22:23.0513 (UTC) FILETIME=[F9DDD090:01CAC0F3]

------=_NextPart_000_0006_73DD3907.5056AE5D

Content-Type: text/html;

charset="Windows-1252"

Content-Transfer-Encoding: 8bit

------=_NextPart_000_0006_73DD3907.5056AE5D

Content-Type: application/octet-stream;

name="Invitation Card.zip"

Content-Transfer-Encoding: base64

Content-Disposition: attachment;

filename="Invitation Card.zip"

------=_NextPart_000_0006_73DD3907.5056AE5D--

Как мне найти откуда он пришел? Thanks.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

По всем данным получается что мы имеем бот который может посылать почту прямо ан IP адрес нашего mail сервера, так что они проходят мимо email провaидера. Я установил Symantec MF for Exchange na почтовом сервере, он справляется со своей задачей. Вирус обнаруживается, email в карантине. Но по хорошему надо настрооить firewall так что бы весь email трафик приходил толко с IP адреса email провайдера. У нас стоит Symantec Gateway 360 роутер. Ну и Symantec Enterprise Protection 11. Посоветуйте как закрыть SMTP порт 25 так чтобы трафик пропускался толко с определенного IP адреса. Спасибо.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
По всем данным получается что мы имеем бот который может посылать почту прямо ан IP адрес нашего mail сервера, так что они проходят мимо email провaидера. Я установил Symantec MF for Exchange na почтовом сервере, он справляется со своей задачей. Вирус обнаруживается, email в карантине. Но по хорошему надо настрооить firewall так что бы весь email трафик приходил толко с IP адреса email провайдера. У нас стоит Symantec Gateway 360 роутер. Ну и Symantec Enterprise Protection 11. Посоветуйте как закрыть SMTP порт 25 так чтобы трафик пропускался толко с определенного IP адреса. Спасибо.

Честно говоря, не слышал про продукт Symanteс Gateway 360...как я понимаю, вам нужно установить клиента SEP на тот же Exchange и в политиках Firewall прописать конкрентный IP-адрес провайдера, с которого будет идти почта на 25-ый порт Exchange'а. Со всех других IP-адресов, включая все сегменты корпоративной сети, - следует отрубить трафик по SMTP.

А вообще есть отдельный продукт Symantec Brightmail Gateway - как шлюзовое решение он содержит весь необходимый Вам функционал, а также много другого.

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хотя если не ошибаюсь, в том же SMS for Exchange есть списки отправителей, можно создавать whitelist и blacklist'ы, но по доменному имени...

0

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS