Anti virus strategie op mailservers - Serversoftware en clouddiensten

woensdag 18 februari 2004 20:41

Acties:

Verwijderd

Topicstarter

Ik vroeg me af hoe jullie omgaan met virussen op de mailserver..

Vandaag is het nieuwe virus Netsky uitgekomen in Japan en Duitsland, binnen enkele minuten hadden enkele clients bij ons dit virus ontvangen. De anti-virus bedrijven hadden er nog geen antwoord op en pas na 2 tot 3 uur volgde een update van de virusscanner (Symantec). Tot die tijd was onze exchange server niet "veilig".

Verder is de live-update van onze exchange anti-virus software (symantec) niet echt snel, hij kan slechts 1 maal per dag checken of er nieuwe updates zijn. Verder moeten we nu na iedere nieuwe definitie alle folders opnieuw checken of er misschien toevallig al virussen in gezet zijn (dat doet hij automatisch dat wel)...

Dit probleem is moeilijk te fixen, ik zie eigenlijk maar een oplossing. Indien we een nieuw virus waarnemen, het externe mail verkeer bevriezen. Geen mail meer accepteren totdat het virus is overgewaaid en de scanners weer up to date zijn.

Welke ervaring/strategie hebben jullie? Hebben jullie een viruscanner op de mailserver die WEL sneller dan gemiddeld 12 uur erover doet om te updateen?

woensdag 18 februari 2004 20:47

Acties:

Verwijderd

eeeh symamtec kan net zovaak updates als je zelf wilt hoor.. alleen gaat dat niet zo makkelijk als bij andere omdat anders de updateservice traag wordt door mensen die elke minuut gaan updaten

Ik heb symantec corporate edition en die check elke 15 minuten of er een nieuwe virus definition is. Zo ja, dan staat deze binnen 15 minuten weer op alle clients..

En wat verwacht je als er een nieuw virus binnenkomt dan er automatisch al een update voor beschikbaar is? Symantec is altijd erg snel (in mijn ervaring) met updates. Antivirus producenten moeten het virus ook eerst onder handen nemen.

Misschien kun je naar Sophos kijken. Die is makkelijk up-to-date te houden. NFI maar lekker makkelijk up te daten via een vinkje etc dus als je er makkelijk vanaf wilt...

woensdag 18 februari 2004 20:50

Acties:

Maurits van Baerle

Wij gebruiken Trend ScanMail voor Exchange nu al een paar jaar en zijn er heel erg tevreden over. Hij staat nu ingesteld op ieder uur zoeken naar updates waardoor veel van dit soort outbreaks in de kiem gesmoord worden.

Toevallig is Netsky nu de eerste waar het toch niet helemaal lekker lijkt te lopen. De goede definities waar Netsky mee gedetecteerd kan worden zijn al uren binnen maar toch worden ze soms doorgelaten. Waarschijnlijk is de detectie nog niet waterdicht aangezien hij zo nieuw is.

[ Voor 6% gewijzigd door Maurits van Baerle op 18-02-2004 20:53 ]

Het grote: DAB+ digitale radio topic / IPv6 topic / OpenWRT topic

woensdag 18 februari 2004 21:09

Acties:

Verwijderd

Wij gebruiken McaFee Groupshield (Welke in mijn ogen niet snel genoeg is met updates) Ons mail verkeer is geregeld als volgende:

SMTP Gateway voor Uitgaande en inkomende emails. (SendMail)
SMTP Gateway voor interne verzending (Europees hoofdkantoor) - (Lotus Domino)
Lotus Domino Main server voor Clients.

Als we dan ook maar 1 virus ontvangen wat nog niet bekend is door de virusscanner kappen we gelijk het verkeer af tussen de SendMailserver en de Main Domino server.

De enige virusscanner die tot nu toe in mijn ogen de snelste updates uitbrengt is: Norman Virus Control (ThunderByte) Deze vangt ook virussen die nog niet bekend zijn. (SandBox Technologie) Maar ja daar betaal je dan ook wel wat voor.

woensdag 18 februari 2004 21:17

Acties:

Maarten @klet.st

Verwijderd schreef op 18 februari 2004 @ 20:41:
Vandaag is het nieuwe virus Netsky uitgekomen in Japan en Duitsland, binnen enkele minuten hadden enkele clients bij ons dit virus ontvangen. De anti-virus bedrijven hadden er nog geen antwoord op en pas na 2 tot 3 uur volgde een update van de virusscanner (Symantec). Tot die tijd was onze exchange server niet "veilig".

Ik weet niet hoe laat symantec met een update kwam, ik heb hier even gechecked, om kwart voor twee had ik een opdate van Sophos op onze mailserver. Grofweg een uur later kregen we het eerste virus dat als netsky-b werd herkend (van een gerenomeerd software leverancier..).

Welke ervaring/strategie hebben jullie? Hebben jullie een viruscanner op de mailserver die WEL sneller dan gemiddeld 12 uur erover doet om te updateen?

Hoewel we hier exchange draaien, heeft die geen direct contact met de buitenwereld. Inkomende en uitgaande mail gaat door een unix machine met daarop postfix die op virussen scant en spamfiltering doet. Op deze machine is momenteel 1 virusscanner actief, meer zou een optie zijn. Om het half uur wordt gekeken naar nieuwe virussignatures. Verder worden .scr/.bat/.cmd/.pif en andere onzinnige attachments (dubbele extensies enzo) geweigerd. Met deze filtering op 'executables' houdt je de meeste recente virussen tegen zonder signatures, maar uiteraard geen virussen die misbruik maken van een lek in e-mailsoftware (zoals in het verleden nog wel eens gebeurde met Outlook).

Op de planning staat om ook op de Exchangeserver een (andere) virusscanner te installeren, tot op heden is dit niet nodig geweest. Het is echter de laatste tijd meer en meer een kwestie van geluk dat jouw anti-virusleverancier bijtijds een update heeft. Gebruik van meer dan een anti-virusscanners is daarom een serieuze optie. Gelukkig is Sophos (gebruiken we nu voor de mail) meestal eerder met een update dan we virussen binnenkrijgen, maar dat is meer geluk dan wijsheid..

Sowiezo zou ik dus bepaalde extensies gaan weigeren, alhoewel dat afhankelijk is van je gebruikers en het beleid. Geheid dat mensen gaan zeuren dat ze hun .exe bestanden niet meer kunnen mailen, maar goed, alles heeft zijn prijs. Executables kunnen dan altijd nog in zipfiles, virussen doen dat helaas ook wel eens. Dan moet je dus maar vertrouwen op je virusscanner en je hopen dat je gebruikers niet al te doelloos klikken. Dat laatste is nog altijd het belangrijkste, in mijn ogen.

Als je anti-virus op je exchange server wilt doen kun je eens bij gfi.com kijken, die hebben een product (Mailsecurity genaamd) dat gebruik kan maken van meer dan een virusscanner en kan ook op basis van extensies mail blocken e.d.. Zelf geen ervaring mee, maar het lijkt wel serieus spul, GFI maakt wel meer nuttige tools.

Edit -> toevoeging:

Je kan ook eens bij Messagelabs kijken. Zij kunnen de mail voor je filteren en maken daarvoor gebruik van standaard virusscanners en hun eigen tools. Ze filteren voor veel grote organisaties over de hele wereld. Jouw mail komt dus bij hun aan, wordt gescanned en dan naar jouw server gestuurd. Voordeel is dat zij ook nieuwe virussen detecteren, doordat ze met hun eigen 'scanner' de complete code analyseren, niet alleen bekende code proberen te herkennen (signature scanning). Het feit dat ze dat voor VEEL mail doen heeft als voordeel dat ze razendsnel van virussen weten en daardoor samenwerken met anti-virusbedrijven in detectie van nieuwe virussen.

[ Voor 12% gewijzigd door Maarten @klet.st op 18-02-2004 21:21 . Reden: toevoeging: Messagelabs ]

woensdag 18 februari 2004 21:21

Acties:

elevator

Officieel moto fan :)

Ik denk dat je mail virussen eigenlijk heel goed kan blokkeren door simpelweg alle executable content via mail te weren

Wij gebruiken MailSweeper for SMTP (www.mimesweeper.com) hiervoor en gebruiken Sophos als de 'echte' virus scanning engine, maar hebben ondanks dat we de Sophos IDE files elk uur (of half uur?) updaten, al regelmatig attachments geblocked die later alsnog als virus gekwalificeerd werden.

Op onze Exchange servers zelf (MailSweeper for SMTP is onze SMTP gateway) draait op dit moment geen antivirus systemen maar ook wij zijn aan het overwegen om hier een alternatief product van een andere leverancier op te zetten.

[ Voor 22% gewijzigd door elevator op 18-02-2004 21:23 ]

woensdag 18 februari 2004 22:12

Acties:

Verwijderd

Wij gebruiken ook al jaren Mailsweeper for SMTP op onze mailgateway, en heeft de toko met ~ 1000 mailboxen al jaren gevrijwaard van virussen. Doordat we tot voor kort een verouderde versie gebruikten kregen we last van een bug in dat systeem waardoor er enkele dumaru-Y virussen binnen konden komen, maar verder zijn we door het blocken van executable code (niet alleen dom op extensie maar op inhoudelijke binaire kenmerken) van veel ellende en virussen bespaard gebleven, ook vele virussen die door de virusscanner (nog) niet herkend werd.
Slechts een handjevol users mogen wel exefiles etc ontvangen, en daarvan hoop ik dat ze enige mate van intelligentie bezitten en niet gelijk elke attachment gaan openen

p.s. no offence, maar uit eigen ervaring en statistieken is gebleken dat vooral (blonde?) dames dat soort mailtjes openen!!!

donderdag 19 februari 2004 08:06

Acties:

paulhekje

hier wordt TrendMicro ScanMail gebruikt op de Exchange en Symantec op de ISA-server. De laatste scant smtp en http. TrendMicro is vaak het snelst met updates. Bij de Blaster uitbraak waren ze ±10 uur sneller dan de concurrenten.

De beste methode tegen virussen is attachments blokkeren (.exe, pif, bat, scr, com, mpeg, avi, mp3, enz.) en alleen bepaalde formaten toegestaan. Het kost wat moeite management te overtuigen, maar bij elke uitbraak kun je je gelijk aantonen.
ScanMail is erg goed in attachments blokkeren, renamen van een file helpt niks

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

donderdag 19 februari 2004 08:22

Acties:

Entity

9000rpm

Wij werken met McAfee Webshield SMTP. Die controleert 4x per dag op updates, maar was gisteren te laat om een NetSky uitbraak te voorkomen Gelukkig hadden we het snel onder controle, maar er was toch even paniek in de tent.

Attachments blokkeren is een oplossing die deels werkt. We zouden namelijk geen ZIP files willen blokkeren (er wordt veel met klanten uitgewisseld via ZIP files) en de personen die geïnfecteerd waren bij ons hadden dus de ZIP file geopend...

Een goede opvoeding van de users helpt ook niet 100%, er zijn er altijd wel die tóch dat soort mailtjes opent. Een paar keer per jaar sturen we een korte waarschuwing rond aan iedereen dat ze alleen mailtjes openen die verwacht zijn en/of een duidelijke beschrijving en persoonlijke tekst in de body van de mail hebben.

donderdag 19 februari 2004 10:58

Acties:

rdoorn

Op de mail server een virusscanner van Kaspersky, controleerd elk uur op een nieuwe update, en om 14:00 uur had ik het eerste netsky virus te pakken. Daarnaast worden uitvoerbare attachments (exe, com bat, cmd, scr etc) geblocked.

Daarnaast CA-innoulan op server en clients.

Het probleem dat ik voorzie is dat het netsky virus zich ook als .zip file rondstuurd. Terwijl ik die route open wil houden om uitvoerbare attachments te kunnen ontvangen...

Als dat maar geen trend wordt onder virusschrijvers.

Ronald van Doorn

donderdag 19 februari 2004 11:50

Acties:

Verwijderd

Je moet gewoon een virusscanner vinden die zip en andere extensies scaned op raar strings in het zip of andere extensie programma's zelf, dan wordt hij zowie zo tegen gehouden omdat er een raare string instaat.

donderdag 19 februari 2004 12:05

Acties:

nwagenaar

God, root. What's the differen

Onze mailserver is voorzien van HP OpenMail 7 icm Redhat Linux 7.0. De backend van HP OpenMail maakt gebruik van de sendmail MTA en is enorm makkelijk uit te breiden met bepaalde filters. Om virussen tegen te houden maken wij gebruik van MailScanner (site) icm McAfee for Linux.

MailScanner is zodanig ingesteld dat het alle inkomende en uitgaande e-mail scant op virussen, in geval van een infectie stelt hij onze gebruikers op de hoogte dat er een bericht aan of van hun is verzonden. Overigens, standaard houdt MailScanner een aantal bijlage-extensies tegen (.scr, .exe, .pif, etc) en laat het geen dubbele bijlagen met extensies door (doc.pif, doc.scr, etc) dus mocht een update van de virusscanner niet gelukt zijn dan zal hij toch dit soort virussen tegenhouden. Verder wordt de McAfee update functie 2 keer per dag uitgevoerd zodat wij beschikken over de laatste versie van de DAT files.

Behalve virussen zorgt MailScanner er ook voor het tegenhouden van SPAM (icm SpamAssassin) en maakt gebruik van een aantal blacklist sites

Behalve wij, draaien de meeste klanten ook op deze combinatie en tot nu toe is er nog geen enkele virus door heen gekomen (tijdsbestek : ong. 2 jaar).

Bij klanten die gebruik maken van Microsoft Exchange (5.5 en 2000) icm Norton AntiVirus Corperate Edition wil er soms nog wel eens door heen komen (aangezien het scannen aan de client kant gebeurt) terwijl als je gebruik maakt van de Symantec Exchange Gateway (scannen gebeurt bij binnekomst en verzending) dit geen enkele keer is voor gekomen. Bij het gebruik van LiveUpdate controleren wij elke dag omstreeks 24:00 uur op nieuwe updates en dit gaat in de meeste gevallen gewoon goed, bij een mislukking probeert hij het na 12:00 uur nog eens (is gewoon in te stellen in de LiveUpdate settings).

Mijn Neo Geo MVS collectie

donderdag 19 februari 2004 12:08

Acties:

Verwijderd

Topicstarter

Waar kan je bij Symantec Corporate instellen dat hij meerdere malen per dag kan gaan checken op updates?

Wij hebben hier dus Symantec Antivirus for Exchange versie 3.05.10.105 en daar kan je alleen instellen hoe laat hij iedere dag moet gaan checken.

Wij hebben nu als schema hetvolgende opgesteld:
1. we worden via SMS door www.waarschuwingsdienst.nl op de hoogte gebracht
2. We sluiten mail van externe bronnen af
3. Updateén de mailscanner (live update)
4. checken of virus wordt herkent in signature DB
5. brengen indien virus kan worden herkent mail connector weer up.

donderdag 19 februari 2004 15:37

Acties:

nwagenaar

God, root. What's the differen

Het is even voor mij geleden (en aangezien wij hier alleen Linux draaien icm sendmail en MailScanner) dus moet ik het even uit mijn hoofd doen.

Je kan het op 2 punten instellen, namelijk vanuit de LiveUpdate! Administrator (mits je dit geinstalleerd hebt) of vanuit de Norton AntiVirus. Start Norton AntiVirus op (die op de server dus), login met het bijbehorende wachtwoord. Nu zou je ergens de optie LiveUpdate! Properties of Settings moeten hebben. Vanuit hier kun je instellen of hij elke dag moet controleren (nieuwere versies kun je geloof ik per xxx uur instellen) en wanneer dit niet lukt, hoeveel uur daarna.

Je moet even zoeken maar het is gewoon mogelijk

Mijn Neo Geo MVS collectie

donderdag 19 februari 2004 15:42

Acties:

jep

* jep checkt elke nacht automatisch op mailservers voor virus-definitie updates en update 'm indien noodzakelijk.

En mailen met Thunderbird helpt ook. Heb al jaren geen virus gehad.

Mijn virus scanner wel trouwens. Stats van eentje:

Afbeeldingslocatie: http://mrtg.servicez.org/img/virus-year.png

Afbeeldingslocatie: http://mrtg.servicez.org/img/virus-year.png

[ Voor 26% gewijzigd door jep op 19-02-2004 15:43 ]

donderdag 19 februari 2004 15:44

Acties:

Verwijderd

Verwijderd schreef op 19 februari 2004 @ 12:08:
Waar kan je bij Symantec Corporate instellen dat hij meerdere malen per dag kan gaan checken op updates?

Intelligent Updates gebruiken.

Staat op symante.com op hoe en wat

donderdag 19 februari 2004 16:17

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

jep schreef op 19 februari 2004 @ 15:42:
* jep checkt elke nacht automatisch op mailservers voor virus-definitie updates en update 'm indien noodzakelijk.

Stoer, maar dan heb je dus nog steeds het probleem dat je niets kunt doen tegen een virusuitbraak waarvoor om 10.00 uur een update voor beschikbaar is. Pas 's nachts zal je virusscanner zijn update vinden en binnenhalen. En zo komen we weer bij de startpost uit...

@TS: Ik liep gisteren tegen hetzelfde probleem aan, tot mijn verbazing kwam ik opeens een NetSky-mailtje tegen en de scanner stond keurig te scannen met zijn updates van 0.00 uur die ochtend.

Ik gebruik dus ook SAV CE 8.0 met op mijn Exchangeserver SAVFMSE (belachelijke afko's: Symantec AntiVirus Filtering for Microsoft Exchange 2000) en ik voel me niet echt veilig. Hoewel hij, afgezien van het updateprobleem, zijn werk prima doet heb ik niet het gevoel dat ik optimaal beveiligd ben.

Nu overweeg ik om een SMTP-gateway te gaan gebruiken en daar op te gaan scannen. Dan zou ik inderdaad ook Mailsweeper of dat pakket van GFI gaan gebruiken naast de virusscanner.

Exchange en Office 365 specialist. Mijn blog.

donderdag 19 februari 2004 16:21

Acties:

nwagenaar

God, root. What's the differen

jep schreef op 19 februari 2004 @ 15:42:
* jep checkt elke nacht automatisch op mailservers voor virus-definitie updates en update 'm indien noodzakelijk. En mailen met Thunderbird helpt ook. Heb al jaren geen virus gehad.

Mijn virus scanner wel trouwens. Stats van eentje:

Mooie stat

Onze stat is niet zo geavenceerd maar het laat wel mooi zien hoeveel virrussen wij te verwerken krijgen. Ook wanneer er een virusuitbraak aanwezig is gaat het enorm hard :

Afbeeldingslocatie: http://www.xs4all.nl/~shalafi/virus-month.png

Afbeeldingslocatie: http://www.xs4all.nl/~shalafi/virus-month.png

Afbeeldingslocatie: http://www.xs4all.nl/~shalafi/virus-year.png

code:

Max Infected Mail    650.0     Average Infected Mail    48.0 
Current  Infected Mail   11.0      
Max Viruses Detected 325.0     Average Viruses Detected 26.0 
Current  Viruses Detected 7.0

[ Voor 6% gewijzigd door nwagenaar op 19-02-2004 16:23 ]

Mijn Neo Geo MVS collectie

donderdag 19 februari 2004 16:32

Acties:

dreambofh

Wij gebruiken voor onze gateway MAILsweeper for SMTP met Sophos.
Scant echt razend snel.

Onze mailservers zijn GroupWise 6.5 servers. Sanning gebeurt met GWAVA in combinatie met McAfee.

We zitten dus redelijk safe.

Vooral omdat we GroupWise servers en clients gebruiken die niet echt vatbaar zijn voor virussen.

donderdag 19 februari 2004 17:03

Acties:

WHiZZi

Museumdirecteurtje

Gisteren kregen we van een klant inderdaad de melding dat er een virus was doorgebroken door onze mailserver (Qmail/vpopmail ism Qmailscanner, Spamassassin en F-prot voor Linux). Het rare is dat de helft van de mailtjes al wel was opgevangen ivm verkeerde MIME headers. Sinds de virusupdate van gisterenavond (rond 23:30 gedaan, automatisch) hebben wij geen virusmeldingen meer gehad en we hebben gelukkig ook nog niks van klanten gehoord (daar draait ook overal een virusscanner op de clients)

Sinds vanochtend 11:00 hebben we 112 Netsky's opgevangen

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

donderdag 19 februari 2004 17:16

Acties:

jep

Jazzy schreef op 19 februari 2004 @ 16:17:
[...]
Stoer, maar dan heb je dus nog steeds het probleem dat je niets kunt doen tegen een virusuitbraak waarvoor om 10.00 uur een update voor beschikbaar is. Pas 's nachts zal je virusscanner zijn update vinden en binnenhalen. En zo komen we weer bij de startpost uit...

Yep, klopt. Heeft bij ons alleen niet zo'n enorme haast. Geen windows servers in ons netwerk en het is een mailserver op een hosting server. Je bent er vrij waterdicht mee.

donderdag 19 februari 2004 17:28

Acties:

Arfman

Drome!

Guinevere voor GroupWise 6.5 bij ons. Checkt elk uur voor updates. Binnenkort gaan we GWAVA erbij gebruiken om het WebAccess mailverkeer en het verkeer tussen de POA's ook te kunnen scannen.

donderdag 19 februari 2004 17:32

Acties:

Verwijderd

Vandaag is het nieuwe virus Netsky uitgekomen in Japan en Duitsland, binnen enkele minuten hadden enkele clients bij ons dit virus ontvangen. De anti-virus bedrijven hadden er nog geen antwoord op en pas na 2 tot 3 uur volgde een update van de virusscanner (Symantec). Tot die tijd was onze exchange server niet "veilig".

Er waren een aantal vendors op tijd hoor.

Persoonlijk vind ik dat er zeker om de 15 minuten voor een update gecheckt moet worden.
Hoewel de mailscanner volgens mij uurlijks geupdate wordt.

Imo moeten mensen zich wat meer verdiepen in hoe snel een vendor gemiddeld is met het spotten en het detecteren van een virus.

TrendMicro is vaak het snelst met updates. Bij de Blaster uitbraak waren ze ±10 uur sneller dan de concurrenten.

Dacht het niet.

Het probleem dat ik voorzie is dat het netsky virus zich ook als .zip file rondstuurd. Terwijl ik die route open wil houden om uitvoerbare attachments te kunnen ontvangen...

Als dat maar geen trend wordt onder virusschrijvers.

Sobig.f to name one example.
De 'goede' lijken zich tegenwoordig via zip te verspreiden.

donderdag 19 februari 2004 19:44

Acties:

Predator

Suffers from split brain

Wij gebruiken AntiGen welke geen eigen scan engine gebruikt maar meerdere scan engines van een hoop andere fabrikanten. Zo heb je maximale detectie kans.
Alleen trekt AntiGen nogal heel veel bandbreedte.

Het lijkt wel of ie altijd alle definities download, ook al zijn ze niet nieuwer.

Er wordt uit voorzorgsmaatregel ook alle uitvoerbare bestanden geblockeerd, al dan niet in compressed format (intern kunnen compressed wel).

Symantec had toen de eerste virusmails binnen kwamen in ieder geval nog geen definities ervoor.

Ik heb ook nog een http/smtp gateway van Trend (viruswall) in test draaien en ik moet zeggen dat ze bij Trend wel netjes hun definities updaten. Tenminste elke dag komen er nieuwe definities uit.
Dat wil natuurlijk nog niets zegen over de eigenlijke detectie van nieuwe virussen.
Maar de Trend engine had wel snel een update voor W32.Netsky als ik me niet vergis.

Everybody lies | BFD rocks ! | PC-specs

donderdag 19 februari 2004 19:48

Acties:

Verwijderd

Schaamteloze crosspost:

Trend was zéker niet de snelste.
Ze hebben nu 11 uur lang detectie, waarschijnlijk zijn ze al aan het tellen vanaf de cpr file. 25:50-11 = 14:50

Dat maakt ze langzamer dan: KAV, Sophos, NVC, NOD32, FSAV.
Om er maar eens een paar te noemen.
KL was afaik het snelst, detectie @ 11:46.

vrijdag 20 februari 2004 08:02

Acties:

paulhekje

Verwijderd schreef op 19 februari 2004 @ 17:32:
[...]
Dacht het niet.
[...]

volgens Computable wel

ik neem aan dat zij de juiste bronnen hebben geraadpleegd?
(achtergrondartikelen zijn op de site niet direct te benaderen, dus moeilijk op te zoeken)

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

vrijdag 20 februari 2004 08:09

Acties:

P_de_B

Wij gebruiken een McAfeeE250 virusgateway, dit is een aparte (linux) server waarop onze mail wordt afgeleverd. Na het scannen stuurt deze machine de mail door naar de exchange server. Ook scant hij al het ftp, http en POP3 verkeer. We zijn hier zeer tevreden over. Zodra McAfee een update heeft, staat hij ook op onze server. Hij heeft ons (na 2 jaar) gelukkig nog nooit in de steek gelaten.

Oops! Google Chrome could not find www.rijks%20museum.nl

vrijdag 20 februari 2004 21:51

Acties:

Verwijderd

paulhekje schreef op 20 februari 2004 @ 08:02:
[...]

volgens Computable wel ik neem aan dat zij de juiste bronnen hebben geraadpleegd?
(achtergrondartikelen zijn op de site niet direct te benaderen, dus moeilijk op te zoeken)

Trend had een update ~10 uur eerder dan de rest, alleen lijkt die niet voor Lovesan/Blaster te zijn. Pattern #602
Later, toen(ook)andere vendors aan het updaten geslagen waren, kwam Trend met #604.
Jammergenoeg staan beide niet meer op de ftp van Trend, dus kan geen 100% zekerheid bieden, maar mijn inziens was Trend zeker niet 10 uur eerder dan de eerstvolgende.

Met zoiets als Lovesan kun je volgens mij alleen zoveel eerder zijn dan alle andere in je tijdzone als je de sample eerder toegespeeld hebt gekregen.
(Toen had nog geen enkele vendor 24hr support).

zaterdag 21 februari 2004 02:25

Acties:

Mr Magic

Predator schreef op 19 februari 2004 @ 19:44:
Wij gebruiken AntiGen welke geen eigen scan engine gebruikt maar meerdere scan engines van een hoop andere fabrikanten. Zo heb je maximale detectie kans.

Inderdaad. Alleen wel jammer dat Antigen de updates in een eigen formaat verspreid. Zo kan er toch wat meer tijd zitten tussen het moment waarop de fabrikant van de engine een update uitbrengt en de update van Antigen zelf.

Alleen trekt AntiGen nogal heel veel bandbreedte.
Het lijkt wel of ie altijd alle definities download, ook al zijn ze niet nieuwer.

Welke versie gebruiken jullie dan? Bij ons (inmiddels versie 7.5) kijkt Antigen naar de update.ini file en als die niet nieuwer is wordt de update niet gedownload.

Helaas werkt Antigen niet met incremental updates, dus als er een update is wordt 'ie wel n z'n geheel binnengehaald

dinsdag 24 februari 2004 00:49

Acties:

rammes

koekebakker 1e klas

ik block op de mailserver (exchange 5.5) alle bekende extenties die potentieel een virus kunnen zijn.. exe. com, pif. bat scr etc etc.. zodra er iets nieuws is block ik eventueel tijdelijk deze extentie. internet connector uitschakelen en updaten.. daarna mailbox scanuitvoeren en weer live gaan

Ik zou het doen!

dinsdag 24 februari 2004 01:15

Acties:

jeronimo

Op het werk gaat alle inkomende en uitgaande mail via messagelabs.
Langs die kant is er sindsdien geen virus meer binnengekomen.
De gebruikers hebben alle McAffee welke via een server geupdate wordt.

dinsdag 24 februari 2004 09:54

Acties:

Equator

Crew Council

#whisky #barista

Momenteel draaid er op alle file/app servers Inoculate IT 4.x (Dit wordt asap omgezet naar eTrust 7.0)
Op de Mailserver (Exchange 5.5) draaide voorheen INoculate IT 4.x maar vanwege grote vertragingen, zijn deze tijdelijk overgegaan naar Sybari Antigen.(Heeft iets te maken met scannen met meerdere threads)

Sybari draait prima, en er zijn geen problemen meer met vertragingen vanuit outlook.

Binnen afzienbare tijd worden deze overigens ook weer op eTrust AV 7.0 gezet.

Strategie is nu alsvolgt:
1 server trekt met grote regelmaat de nieuwste definities binnen.
Voor elk arrondissement is er een server gedefinieerd, welek via FTP elke 4 uur de definities ophaalt bij de centrale server
alle clients kijken elk uur op de lokale distributie server.

E-Mail die van buiten naar binnen komt zal vrijwel nooit een virus bevatten, daar onze mail ook nog eens door enkele hele strenge contentscanners komt.
De meeste virussen komen binnen via draagbare media (CD, Diskette, USBpen, etc..)
Het MT is dus ook steeds meer voor het dichtzetten van deze zaken.

Laatste virus wat we binnen hadden was binnengekomen via de laptop van een medewerker. (Dies had stiekum zijn laptop meegenomen op vakantie, en daar ingebeld op een ISP --> streng verboden..!!)
Daar besmet, en op de zaak gewoon weer aan het net gehangen.
Pas na een uur werd er gekeken naar een nieuwe definitiefile, en werd het virus direct gevonden.

Moraal van het verhaal:
Je kan IMO je mailservers heel goed beveiligen. (Is ook een must)
Maar wat van een groter belang is, is dat je de update's goed hebt lopen, zodat je een eventuele uitbraak snel in de kraag kan grijpen.
Daarnaast kan je natuurlijk met managers / MT besluiten om enkele media gerelateerde zaken dicht te zetten op de werkstations.

dinsdag 24 februari 2004 13:08

Acties:

Verwijderd

Wij gebruiken AntiGen welke geen eigen scan engine gebruikt maar meerdere scan engines van een hoop andere fabrikanten. Zo heb je maximale detectie kans.
Alleen trekt AntiGen nogal heel veel bandbreedte.
Het lijkt wel of ie altijd alle definities download, ook al zijn ze niet nieuwer.

Er wordt uit voorzorgsmaatregel ook alle uitvoerbare bestanden geblockeerd, al dan niet in compressed format (intern kunnen compressed wel).

Symantec had toen de eerste virusmails binnen kwamen in ieder geval nog geen definities ervoor.

Ik heb ook nog een http/smtp gateway van Trend (viruswall) in test draaien en ik moet zeggen dat ze bij Trend wel netjes hun definities updaten. Tenminste elke dag komen er nieuwe definities uit.
Dat wil natuurlijk nog niets zegen over de eigenlijke detectie van nieuwe virussen.
Maar de Trend engine had wel snel een update voor W32.Netsky als ik me niet vergis.

antigen veel bandbreedte? antigen download een update.ini waarin de nieuwste versies staan. komen deze niet overeen met de versies op de server dan pas worden de nieuwe updates gedowned. het zal wel meer bandbreedte pakken maar dat komt gewoon omdat je 5 engines ofzo kan hebben.

de rest is gewoon config... je kan op extensies blokken, op filenaam. je kan op alleen op binnenkomende mail scannen maar ook gewoon interne mail. in zipfiles kijken doet bijna elke scanner overigens, zo lang er maar geen pw opzit.

er zit zelfs een simpel spamfilter in.

sophos engine in antigen available (maar netsky werd toch al geblokt door m'n extensie filter)

dinsdag 24 februari 2004 13:54

Acties:

Verwijderd

Wij gebruiken hier ook Antigen, en het blokkeren van executables heeft ons deze keer gered.
Toen we waarschuwingen begonnen te krijgen van de gateway die nogal vaak aan het blokkeren was hebben we snel onderzoek gedaan, Netsky geidentificeerd en tijdelijk ook .zip bestanden geblokkeerd, totdat we de updates voor de engines binnen hadden.

dinsdag 24 februari 2004 14:46

Acties:

Verwijderd

zip bestanden blokken is nergens voor nodig. antigen haalt keurig executables (wat je specificeert natuurlijk) uit zipfiles. alleen passworded zips of spanned zips gaan nog door (kan antigen niet openen).

donderdag 26 februari 2004 11:49

Acties:

D2k

Verwijderd schreef op 18 februari 2004 @ 20:41:
Ik vroeg me af hoe jullie omgaan met virussen op de mailserver..

Vandaag is het nieuwe virus Netsky uitgekomen in Japan en Duitsland, binnen enkele minuten hadden enkele clients bij ons dit virus ontvangen. De anti-virus bedrijven hadden er nog geen antwoord op en pas na 2 tot 3 uur volgde een update van de virusscanner (Symantec). Tot die tijd was onze exchange server niet "veilig".

Verder is de live-update van onze exchange anti-virus software (symantec) niet echt snel, hij kan slechts 1 maal per dag checken of er nieuwe updates zijn. Verder moeten we nu na iedere nieuwe definitie alle folders opnieuw checken of er misschien toevallig al virussen in gezet zijn (dat doet hij automatisch dat wel)...

Dit probleem is moeilijk te fixen, ik zie eigenlijk maar een oplossing. Indien we een nieuw virus waarnemen, het externe mail verkeer bevriezen. Geen mail meer accepteren totdat het virus is overgewaaid en de scanners weer up to date zijn.

Welke ervaring/strategie hebben jullie? Hebben jullie een viruscanner op de mailserver die WEL sneller dan gemiddeld 12 uur erover doet om te updateen?

zoals ele(vator) ook al zei, executables stoppen (.com/.pif hoeft echt niemand te mailen ( wel checken op real filetype niet op extentie natuurlijk)) en een goeie AV doet de rest.

Doet iets met Cloud (MS/IBM)

zondag 29 februari 2004 00:43

Acties:

_JGC_

Qmail met qmail-scanner en sophie, sophos libsavi en de signatures van sophos zorgen voor de detectie.

Werkt allemaal redelijk flex, updaten deden we tot nu toe elke dag, maar aangezien ik vanmorgen de eerste Bagle.C in mn mailbox tegenkwam, heb ik maar even een cron.hourly aangemaakt.

Wat ik ook nog zeker ga doen is de virusnotificatieservice van sophos naar een account te laten sturen die het ding meteen door het updatescript heenstuurt. Elk mailtje naar dat adres triggert dan het updatescript, wel zo mooi als het virus om 10:01 bekend wordt en je om 10:05 je eerste exemplaar binnenkrijgt.

Bovenstaande server is ook mijn MX host omdat @home hier poortjes dichtgezet heeft, als die mail hier aankomt via SSL, gooit postfix spamassassin met een flinke bayes database er nog eens overheen en wordt de meeste spam weggefilterd.

zondag 29 februari 2004 13:47

Acties:

Verwijderd

Wij maken gebruik van Symantec Antivrus for SMTP Gateways. Dat werkt goed. Is tevens goed te gebruiken als spam filter (dmv zelf in te stellen blacklists of mbv koppelingen met de op internet te vinden blacklists).

Wat ik wel heb gedaan met dat Netsky virus is de bekende subjects van de mail welke dit virus genereerd in de "block list" gezet, dat werkt goed, mail met deze subjects wordt gelijk gedropped.

®ol@nd

zondag 29 februari 2004 22:05

Acties:

Maarten @klet.st

_JGC_ schreef op 29 februari 2004 @ 00:43:
Wat ik ook nog zeker ga doen is de virusnotificatieservice van sophos naar een account te laten sturen die het ding meteen door het updatescript heenstuurt. Elk mailtje naar dat adres triggert dan het updatescript, wel zo mooi als het virus om 10:01 bekend wordt en je om 10:05 je eerste exemplaar binnenkrijgt.

Op zich wel een slimme oplossing, had ik nog niet aan gedacht.
Probleem is alleen wel dat sophos relatief laat met de warning mails uitkomt.
Wij updaten elk half uur met een wget -N (Gigabit of niet, zo min mogelijk intrusive voor Sophos) en vaak staat een nieuwe .IDE file op de mailserver lang voordat ik de mail van Sophos binnenkrijg

maandag 1 maart 2004 12:00

Acties:

wielhelm

80/86 ST bladebladed

Ik gebruik voornamelijk norman is een goede scanner en ook niet echt duur, ik heb werkelijk geen enkele klant gehad die een probleem had met het netsky virus, en jaa hoor ze draaien allemaal norman.

Dit komt namelijk door de sandbox technologie van norman, de virusscanner simuleert in een afgeschermd gebied het bestand, en voert het uit. vertrouwt de scanner het niet, dan gooit hij het in quarantaine.

ik vraag me dan ook werkelijk af wat de consumenten bond aan te merken had op deze scanner van norman. Ik weet in ieder geval wel dat het netsky virus heel wat problemen heeft veroorzaakt bij mensen met een nortan pakketje.

Verder vind ik het grootste voordeel van deze scanner dat hij je processor niet zo zwaar belast.

Verder stel ik wel via de taskscheduler in dat de server om het uur geupdate wordt, de server verstuurd vervolgens de updates weer naar de clients.

Oh ja en voor ik het vergeet scant de provider ook nog op spam/virussen.

[ Voor 6% gewijzigd door wielhelm op 01-03-2004 12:09 ]

dinsdag 2 maart 2004 08:43

Acties:

Verwijderd

Heb voorheen Norman gebruikt, maar vind dat ze achter liggen qua distrubutie van de clients en het updaten, dat gaat met Symantec AV veel beter.

Roland

dinsdag 2 maart 2004 08:48

Acties:

wielhelm

80/86 ST bladebladed

Waarom vind je dat ze achter liggen? Bij werkt het update met ndesk perfect.

dinsdag 2 maart 2004 08:51

Acties:

Verwijderd

Symantec AntiVirus Corporate Edition

http://enterprisesecurity...s.cfm?ProductID=155&EID=0

+

Symantec Mail Security for Microsoft® Exchange
(formerly Symantec AntiVirus/Filtering for Microsoft Exchange)

http://enterprisesecurity...ts.cfm?ProductID=66&EID=0

Werkt super!

dinsdag 2 maart 2004 10:15

Acties:

_JGC_

Maarten.O schreef op 29 februari 2004 @ 22:05:
[...]

Op zich wel een slimme oplossing, had ik nog niet aan gedacht.
Probleem is alleen wel dat sophos relatief laat met de warning mails uitkomt.
Wij updaten elk half uur met een wget -N (Gigabit of niet, zo min mogelijk intrusive voor Sophos) en vaak staat een nieuwe .IDE file op de mailserver lang voordat ik de mail van Sophos binnenkrijg

Ik vind dat nogal meevallen. Ik gebruik elk uur het sophos-ide-update.pl script om op de linux server de IDE files op te halen. Ik heb het eens even bekeken:

Netsky-D: 11:51
Netsky-E: 17:25
Bagle-H: 17:59
Bagle-H: 19:57

Dan mn update scripts:
Netsky-D: 12:10
Bagle-H, Netsky-E: 18:10
Bagle-H: 20:10

met die update notificatie trigger zou me dat 19 minuten, 45 minuten, 11 minuten en 13 minuten per virus gescheeld hebben, net van die periodes waarin zulke krengen kunnen binnenglippen.

dinsdag 2 maart 2004 10:55

Acties:

Verwijderd

Wij hadden in ons netwerk veel problemen met Norman, heb er slechte ervaring mee. Er was altijd wel wat aan de hand.

Uitrollen naar NT clients gaf veel problemen.

Roland

dinsdag 2 maart 2004 20:26

Acties:

Maarten @klet.st

_JGC_ schreef op 02 maart 2004 @ 10:15:
[...]
Ik vind dat nogal meevallen. Ik gebruik elk uur het sophos-ide-update.pl script om op de linux server de IDE files op te halen. Ik heb het eens even bekeken:
Netsky-D: 11:51
Netsky-E: 17:25
Bagle-H: 17:59
Bagle-H: 19:57
Dan mn update scripts:
Netsky-D: 12:10
Bagle-H, Netsky-E: 18:10
Bagle-H: 20:10

Ik had het dus ook over de notificatiemailtjes

. Gelukkig zijn ze bij Sophos zo handig EERST de .IDE files neer te zetten, daarna pas de mail uit te sturen. Netsky-D had een creation time van 12:47, om 13:00 had ik heb binnen, maar pas om 13:11 kwam de mail binnen dat er een .IDE beschikbaar was (mailtje was volgens Sophos van 11:51, maar dan GMT, niet GMT+1).
Zo'n mailtje naar (honderd?)duizenden sturen kost even, dus dat kan altijd even duren.

Om het duidelijk te maken; ik ben dus zeer tevreden over het tempo waarmee Sophos over het algemeen updates uitstuurt, in sommige gevallen kan de alertmail alleen wat later komen. In het geval van Netsky-D kregen we al anderhalf uur voor de update mail binnen die zeer waarschijnlijk Netsky-D bevatte (.pif files zijn banned).

Helaas lijkt de trend meer en meer dat virusverspreiding een kwestie van minuten (maximaal uren) is, dus wordt het steeds belangrijker om zsm up-to-date te zijn. Dat half uurtje dat het kost om de alertmail bij jou te krijgen kan je kennelijk beter twee keer wget -n update.ide kunnen doen

dinsdag 2 maart 2004 22:42

Acties:

zwahiel

Eindbaas HK

Keihard de lekkerste!

Heej smsalert wist ik nog niet, meteen even opgegeven daarvoor dus

Hendige tool van de overheid! \o/

Bij onze eigen server gebruiken we geen specifieke mailscanner (I know! maar ik beheer het zaakje niet!) het is een IT bedrijf dus er wordt wel van uitgegaan dat de medewerkers < 15 weten hoe ze met virussen om moeten gaan.
Bij klanten werd er tot dat ik in dienst kwam uitsluitend met F-secure Antivirus voor servers gewerkt. Inmiddels hebben een aantal klanten F-secure Antivirus voor Exchange icm F-secure Content scanner, F-secure Antivirus for Servers en central management van F-secure. Wanneer een virusaanval bekend wordt via internet, wordt meteen (handmatig) F-secure management server geupdate (paar keer per dag vanuit F-secure zijn hier updates te vinden), het gehele netwerk wordt zo ook geupdate bij de volgende policy run welke elke 15 minuten plaats vindt. Ook alle servers worden meteen bij de volgende policyrun geupdate en de F-secure for Exchange wordt meteen handmatig mee genomen in de update. De meeste clients draaien op F-secure workstation antivirus, maar er zijn ook klanten die F-secure Client Security hebben draaien met extra mailscanning opties aan. Op die manier wordt er nogeens extra gescant.
Natuurlijk worden attachments geweerd, alleen office zaken mogen door. Daarvoor zorgt Contentscanner.

Bij andere klanten die geen Exchange hebben draaien maar Mdaemon van Alt-N zit de antivirus-optie van Alt-N er standaard bij, ook hier weer attachmentblocking. Daarnaast draait F-secure Antivirus ook de hele tijd. Deze scant continu zodat wanneer Mdaemon zijn mails opslaat en er zit een virus in een attachment F-secure deze eruit pikt en verwijderd.

Verder heb ik pas een bedrijf gedaan met de eerste config, zij hadden InoculateIT draaien (ja nog steeds) met verder geen antivirus...

Nu toch maar snel nieuwe antivirus.

Ik ben bezig met een Linuxmachine die mailfiltert en meteen ook scant via opensource antivirus methodes en/of F-secure for Linux.

Laten we weer 's bierbrouwen of gewoon gekke dingen bouwen en knutselen. YEAH!
RIP Lada 2105 "Igor" 31-12-1992 - † 21-02-2014. De nieuwe Igor: Tesla model 3 SR+ 21-08-2020

donderdag 4 maart 2004 21:16

Acties:

Verwijderd

Verwijderd schreef op 02 maart 2004 @ 10:55:
Wij hadden in ons netwerk veel problemen met Norman, heb er slechte ervaring mee. Er was altijd wel wat aan de hand.

Uitrollen naar NT clients gaf veel problemen.

Roland

Inmiddels Norman al op diverse plaatsen geinstalleerd, uitrollen naar NT clients moeilijk? NT4 weet ik niet maar naar 2000 en XP loopt als een trein hoor..
Verder word er met standaard intervallen gechecked voor updates van de server.

vrijdag 5 maart 2004 11:30

Acties:

Consequator

Ik heb hier mailscanner (www.mailscanner.info) te lopen op een p3 500 rh9 machine samen met sophos en spamassasin.
Hij houd 100% van de virussen tegen omdat hij zowiso geen opstartbare extensies doorlaat wat weer goed werkt tegen nieuwe virussen, en samen met spamassasin ongeveer 90% van de spam. (bij ons ongeveer een kwart van alle e-mails

)
Hij update zichzelf elk uur met nieuwe defenities en behandeld ongeveer 1200 mailtjes per dag.
Hij werkt gewoon als e-mail proxy tussen onze groupwise server en het inertnet.
Werkt super en het leukste is dat hij ook alle filmpjes er uit filtert waardoor de groupwise server niet vol loopt(het waren er nogal wat) en hij zet ze braaf in een quarantine dir waar ik ze wel kan bekijken

Leukste was dat het eigelijk niks koste, sophos hadden we al en de machine is een afgeschreven werkstation