named

Trend Micro заблокировал почту

В этой теме 13 сообщений

Приветствую, подскажите. Тренд микро нистого ниссего, заблокировал 70 % почты на Эксчэндж. при этом опнятно что это всё была нормальная почта. настроек не менял. подскажите как вернуть почту. вместосообщений надпись

The original message content contained a virus or was blocked due to blocking rules and has been removed.

даже на те сообщения которые были давно присланы.

при этом если есть вложения то они в порядке.

размер базы соответствует действительному.

помогите, иначе меня просто растреляют.

спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

named, а заблокировались письма с атачем только или все подряд?

Вообще какая-то логика наблюдается, какое заблокировано, а какое нет?

Судя по сообщению, письма содержат вирус и были заблокированы. Возможно это произошло после обновления антвииурсных баз. Может попробовать откатить базы, посмотреть не уйдет ли ошибка?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

named

Я так понимаю используете ScanMail for Exchange?

Какая версия?

Включен ли антиспам?

Данная надпись в логах?

Написано ли название вируса?

Не создавали новых контентных фильтров?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Блин ребята извнинте не видел сообщений.

:oops:

принцип какой. заблокированно тело писем, тоесть вместо "привет милый как дела.. и тд и тп"

The original message content contained a virus or was blocked due to blocking rules and has been removed.

но вложения остались, и нормально открываются. только нет тел писем.

НО !!! создается впечатление что тела заблокированны так как размер писем вроде тот же. база порядка 24 гигов писем много.

с такой базой трудно работать, просто даж делать бекап, тепболее хранить несколько копий. но отсавил бекап на следующее утро после катострофы.

ScanMail for Exchange (не мопню в голове уже пару книжек по МТА)

Exchange 2003 (6,5,777....)

как откатить обновления ??? очень жду.

если кто может отвечайцте пожалуста по раньше.

начну работы с 7 утра, так как ранее просто не дотянусь.

всем спасибо

Добавлено спустя 3 минуты 13 секунд:

Включен ли антиспам?

-- был включен

Данная надпись в логах?

Написано ли название вируса?

-- внятно ответить не смогу, ничгео адекватного своей логике не нашел :oops:

Не создавали новых контентных фильтров?

нет ничего не делал.

Добавлено спустя 26 минут 7 секунд:

правльно ли следующее ??

Rolling Back a Component Update

If ScanMail has downloaded the current components, but you want to use a previous

component, you can manually roll back the component update.

To manually roll back to a previous component:

1. Stop the following ScanMail services:

• ScanMail for Microsoft Exchange Remote Configuration Server

(scanmail_RemoteConfig)

• ScanMail for Microsoft Exchange Master Service

(scanmail_Master)

2. Delete all the files in:

• "<Install folder>AU_Cache"

• "<Install folder>AU_Temp"

• "<Install folder>webactiveupdate"

3. Roll back the Virus pattern file and the Additional Threats pattern file.

a. Remove the most recently downloaded pattern files from this location:

"<Install folder>enginevsapi"

b. Remove the following files. Verify that ScanMail has already downloaded

an older version of these files to which you can roll back.

• The Virus pattern file:

ex:lpt$vpn.xxx

• The Additional Threats pattern file:

tmaptn.xxx

Where "xxx" refers to the latest pattern file download.

For example: If you have recently downloaded Virus pattern file

ex:lpt$vpn.345 and you want to roll back to a previous download pattern,

ex:lpt$vpn.344, then delete ex:lpt$vpn.345 and ScanMail will begin to

use ex:lpt$vpn.344.

c. Delete all files in:

• "<Install folderenginevsapiprimarypattern"

• "<Install folderenginevsapisecondarypattern"

Trend Micro™ ScanMail™ for Microsoft™ Exchange Administrator’s Guide

3-12

4. To roll back Anti-spam pattern file:

a. Remove the latest pattern in:

• "<Install folder>engineTMASElatestrule"

• ex:tmxxxxxx.*

"xxxxxx" means the latest version.

b. Delete all files in:

• "<Install folder>engineTMASEprimaryrule"

• "<Install folder>engineTMASEsecondaryrule"

5. Start the following ScanMail services again:

• ScanMail for Microsoft Exchange Remote Configuration Server

(scanmail_RemoteConfig)

• ScanMail for Microsoft Exchange Master Service

(scanmail_Master)

и пропадёт ли почта ? которая была помеченна странным образом ?

если можно дайти ответ на русском )

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ребята, это похоже конец. всем пока

Так удалось решить проблему, если да, из-за чего возникла такая ситуация?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ничего не удалось, начальник точит нож, сказал в 19.00 часов или почта или вперёд ногами из офиса

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я в этом совсем незнающий.(Да и в остальном тоже).А если попробовать отключить АВ-защиту,раз она держит,и открыть письма?Безопаснее наверно будет перекопировать почту на другой комп и открыть её там,что бы всё не заражать.Пока не разберёшся так можно и делать.После тот комп переинсталлировать.Ещё можно почту перекопировать и прозвонить на чистой и актуальной системе,не запуская ничего из неё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

отключались все проверки. всё пробовалось. ничего не помогает щас базу перетягиваю на другой комп. может там что получится.

а тренд микро блин готов убить разработчиков.... ладнно.

всеравно я виноват что бекапов не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Кто знает,целевые атаки тоже бывают,смотря,кому надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А по моему Вы дествительно словили какую то почтовую гадость, а после обновления антивирусных баз она была обнаружена.

Интерестно ваши исходящие письма доходили до своих адресатов, как там местный антивирь реагировал, вот что хотелось бы узнать, а после этого можно сделать вывод "кто виноват ?".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

to named: Официальными путями за техподдержкой обращались? Срок действия техподдержки актуален? Напишите мне, постараемся решить все максимально быстро.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DisaGlass
      Хочу чтобы на открытых парковках сделали навесы для защиты от осадков. Кто за?    Конструкции из алюминия и стекла на заказ
    • Сергей Ильин
      Каждую минуту создается несколько десятков новых образцов малвари. Чтобы она попало в облачную базу репутации нужно: 1. Чтобы антивирусу они попались (обеспечить охват близкого к 100% парка машин) 2. Чтобы антивирус опознал их как вредосносные сразу.   п 1 нереален сразу. Поэтому шансы сильно снижаются изначально. п 2 тоже работает с определенной вероятностью. В большинстве случаев должна накопиться статистика по обнаружению конкретного файла в сети, что он делал, как распространялся и тп. Если статистики нет - репутации тоже нет. Файл попадает "в серую зону". Кроме этого сейчас тренд идет к тому, что вредонос рассылается только один раз конкретному человеку. Больше его ни у кого не будет в природе. Поэтому какая уж тут репутация ...
    • ViktorFazz
      Я с вами согласен, это еще нужно уметь, а еще нужно найти хорошую работу в сети. Но мне кажется лучше ходить на нормальную работу, а в интернете просто иметь дополнительный заработок. Я работаю админом в гостинице, при этом еще увлекаюсь ставками на спорт, так я имею в месяц еще несколько тысяч практически и ничего. Смотрю прогнозы на спорт тут - http://betrating.ru/
    • olejah
      В одной из прошлых статей мы обсуждали, как настроить собственный honeypot, теперь же попытаемся рассмотреть, как злоумышленники пытаются обойти эти ловушки, какие трюки они используют при серфинге и как вы можете стать жертвой honeypot в сети. Наконец, мы поговорим о том, как системные администраторы предприятий справляются с поддельными точками доступа, размещенными в сети предприятия, целью которых является кража конфиденциальных данных. https://www.anti-malware.ru/analytics/Threats_Analysis/How-Hackers-Avoid-Honeypots
    • AM_Bot
      Леонид Ухлинов, вице-президент и исполнительный директор компании «Информзащита», поделился своим экспертным мнением с читателями Anti-Malware.ru и рассказал, как компания из-за небольшой оплошности может потерять миллионы долларов, чего ожидать бизнесу в эпоху цифровизации и кто в первую очередь станет мишенью для киберпреступников. Это интервью продолжает цикл публикаций «Индустрия в лицах». Читать далее