Connect. Communicate. Collaborate. Securely.

Domů » Česky » Kerio Connect » Nefunkcne filtrovanie priloh v Zipoch
  •  
MarkEye je nyní offline MarkEye

Příspěvky: 72
Odeslat poštu tomuto uživateli
Chcel by som upozornit vsetkych ktory o tom este nevedia, ale
filtrovanie priloh nefunguje v zip, rar etc suboroch, teda ak Vam niekto posle virus *.exe v zip subore, uzivatel ho v pohode dostane!!!! Dnes mi totiz presiel virus cez sito - ASA(Trend Micro) -> KMS (McAfee) -> Desktop (Symantec) a test Microsoft...
Samozrejme Kerio na to pip keby aspon dorisili zakladnu bezpecnost - filter priloh pre skupiny a zakazanie povolenie webmailu v nastaveni uzivatela, niee mi dorobime dalsie zlepsenie pre Iphone ze...

(pre flame users - je mi jasne ze za to ze Antivirusy nieco nechytia Kerio nemoze, ale za to ze kasle na zlepsovanie bezpecnosti ano, naco su tam skupiny ked nic na nich nemozem naviazat a casy? a preco nemozem zakazat povolit webmail? prilohy, pripadne aj ostatne sluzby skupine.. Preco nemozem nastavit preposielanie napr. len po 16.00 ked su tam casove intervaly?

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.10.02 Trojan.Win32.FakeAV!IK
AhnLab-V3 5.0.0.2 2009.10.01 -
AntiVir 7.9.1.27 2009.10.01 -
Antiy-AVL 2.0.3.7 2009.10.01 -
Authentium 5.1.2.4 2009.10.02 W32/Bravix.A!Generic
Avast 4.8.1351.0 2009.10.02 Win32:Agent-AGZR
AVG 8.5.0.412 2009.10.01 SHeur2.BIEP
BitDefender 7.2 2009.10.02 Win32.KME.Based.1.Gen
CAT-QuickHeal 10.00 2009.10.01 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.10.02 -
Comodo 2488 2009.10.02 -
DrWeb 5.0.0.12182 2009.10.02 -
eSafe 7.0.17.0 2009.10.01 Suspicious File
eTrust-Vet 31.6.6773 2009.10.02 Win32/Krypnek!packed
F-Prot 4.5.1.85 2009.10.01 W32/Bravix.A!Generic
F-Secure 8.0.14470.0 2009.10.02 Trojan:W32/Agent.LYH
Fortinet 3.120.0.0 2009.10.02 PossibleThreat
GData 19 2009.10.02 Win32.KME.Based.1.Gen
Ikarus T3.1.1.72.0 2009.10.02 Trojan.Win32.FakeAV
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.858 2009.10.01 -
Kaspersky 7.0.0.125 2009.10.02 Trojan-Downloader.Win32.FraudLoad.wsvr
McAfee 5758 2009.10.01 -
McAfee+Artemis 5758 2009.10.01 Artemis!19DAF4EF68DD
McAfee-GW-Edition 6.8.5 2009.10.02 Win32.NewMalware.DC
Microsoft 1.5101 2009.10.02 -
NOD32 4474 2009.10.01 Win32/TrojanDownloader.FakeAlert.GU
Norman 6.01.09 2009.10.01 W32/FakeAV.P!genr
nProtect 2009.1.8.0 2009.10.02 -
Panda 10.0.2.2 2009.10.01 -
PCTools 4.4.2.0 2009.10.01 -
Prevx 3.0 2009.10.02 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.02 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.01 Trojan-Downloader.Win32.FraudLoad.wsut
Symantec 1.4.4.12 2009.10.02 -
TheHacker 6.5.0.2.026 2009.10.02 -
TrendMicro 8.950.0.1094 2009.10.02 -
VBA32 3.12.10.11 2009.09.30 -
ViRobot 2009.10.1.1967 2009.10.01 -
VirusBuster 4.6.5.0 2009.10.01 Trojan.Fraudload.Gen!Pac.6

A toto pocujem prilis casto...
ale v současné době nelze říci kdy a zda vůbec dojde k realizaci tohoto návrhu
  •  
oggo je nyní offline oggo

Příspěvky: 574

Odeslat poštu tomuto uživateli
Pokud necháte doručovat *.exe soubory tak jste trouba a zasloužíte si to... Very Happy
Nic osobního, tedy - Každý, kdo nechává doručit exe soubory je trouba a nemá si na co stěžovat.

A sorry, exe v zip souboru. Sem trouba já a blbě jsem četl. Tak nic, beru zpět.

[Aktualizováno: Út, 06 říjen 2009 09:22]

  •  
zichovsky je nyní offline zichovsky

Příspěvky: 60
Odeslat poštu tomuto uživateli
To, ze filtr priloh (nikoliv antivir) nerozbaluje archivy a nefiltruje jejich obsah je podle me naprosto v poradku.
Obcas je potreba skrz mail dorucit i jinak standardne blokovany soubor (treba aktualizaci programu), a archivy jsou na to nejvhodnejsi.

Naopak antivir by mel jednoznacne rozbalit i archivy a zkontrolvoat vsechny soubory v nich. Ovsem antivir je zas "mimo Kerio", to mu jen preda mail a ceka na vysledek.

Pokud vam prosel zavirovany soubor v archivu, mohlo to byt treba tim, ze slo o novou variantu viru, ktera ve chvili, kdy sla systemy, jeste nebyla detekovana. Ve chvili kdy jste to kontrolval pres web uz aktualizace byly. Anebo byl archiv nejaky "vadny" takze antivir si s nim neporadil/nerozbalil, ale desktop program uz jo. Tezko rici.

Zkuste si poslat v zipu eicar, jestli to antivir zachyti nebo ne.

Tak doplnění, vyzkoušel jsem eicar jak v zipu tak ve dvojitem zipu, a oba pripady korektne zachytil antivir na KMS (McAffee).
Takze pokud vam prosel, tak to opravdu bud byla nova varianta, anebo poskozeny archiv.

[Aktualizováno: Út, 06 říjen 2009 11:18]


P. Zichovsky
  •  
MarkEye je nyní offline MarkEye

Příspěvky: 72
Odeslat poštu tomuto uživateli
S nazorom p.Zichovskeho nemozem uplne suhlasit, subor bol v poriadku aj zip, ano bola to nova varianta virusu, ked kerio nema dosah na integrovany antivirus ako je napr. McAfee tak je to bohuzial tragedia, nic ine k tomu nemozem povedat a bol by som rad keby sa kompetentni nad tym zamysleli, tento mesiac je to uz 4ta verzia virusu, ktory presiel cez vacsinu znamych antivirusov, antivirusove programy, ktore sa pouzivaju na testovanie maju aktualnu databazu vzoriek, je to jasne z datumov, ktore su pri jednotlivych anitivirusoch napisane!!
Je jasne ze to zachyti eicar, ale ja chcem aby mi "integrovany"
antivirus reflektoval na nastavenie filtrovania priloh aj v komprimovanych prilohach.

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.41 2009.10.15 -
AhnLab-V3 5.0.0.2 2009.10.14 -
AntiVir 7.9.1.35 2009.10.14 -
Antiy-AVL 2.0.3.7 2009.10.15 -
Authentium 5.1.2.4 2009.10.15 W32/Injector.AF
Avast 4.8.1351.0 2009.10.14 -
AVG 8.5.0.420 2009.10.15 -
BitDefender 7.2 2009.10.15 -
CAT-QuickHeal 10.00 2009.10.14 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.10.15 -
Comodo 2601 2009.10.15 -
DrWeb 5.0.0.12182 2009.10.14 -
eSafe 7.0.17.0 2009.10.14 -
eTrust-Vet 35.1.7068 2009.10.14 -
F-Prot 4.5.1.85 2009.10.14 -
F-Secure 8.0.14470.0 2009.10.15 Trojan.Win32.Inject.akjn
Fortinet 3.120.0.0 2009.10.15 -
GData 19 2009.10.15 -
Ikarus T3.1.1.72.0 2009.10.15 -
Jiangmin 11.0.800 2009.10.08 -
K7AntiVirus 7.10.870 2009.10.14 -
Kaspersky 7.0.0.125 2009.10.15 Trojan.Win32.Inject.akjn
McAfee 5771 2009.10.14 -
McAfee+Artemis 5771 2009.10.14 -
McAfee-GW-Edition 6.8.5 2009.10.15 -
Microsoft 1.5101 2009.10.15 -
NOD32 4508 2009.10.14 -
Norman 6.01.09 2009.10.14 -
nProtect 2009.1.8.0 2009.10.15 -
Panda 10.0.2.2 2009.10.15 Suspicious file
PCTools 4.4.2.0 2009.10.14 -
Prevx 3.0 2009.10.15 -
Rising 21.51.30.00 2009.10.15 -
Sophos 4.46.0 2009.10.15 -
Sunbelt 3.2.1858.2 2009.10.15 -
Symantec 1.4.4.12 2009.10.15 -
TheHacker 6.5.0.2.042 2009.10.14 -
TrendMicro 8.950.0.1094 2009.10.15 -
VBA32 3.12.10.11 2009.10.14 -
ViRobot 2009.10.15.1985 2009.10.15 -
VirusBuster 4.6.5.0 2009.10.14 -
Rozšiřující informace
File size: 28672 bytes
MD5...: 48f1919d467973964222c85dc8101e1f
SHA1..: c414395bfa07db3ea05b5ebe7811db300652cfea
SHA256: 72ff4c69b2c31ad331980842a63a830c30b81c6fd024f00c77fea2d16cbe 8eed
ssdeep: 768:WaoftdBi21D3E1111QNqy111111111111111111111UnUZ1111111111 1111
1113:WFdQ2hMSX1lUoXsS

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1659
timedatestamp.....: 0x43d2a505 (Sat Jan 21 21:17:57 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xa2e 0xc00 5.09 c2d48796b721617cec3e768d9a8b6c02
.rdata 0x2000 0x14ad 0x1600 6.99 fd327cd6df807d1841681e4fea999b7f
.data 0x4000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.tls 0x11000 0x250 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.edata 0x12000 0x46da 0x4800 7.72 c4a751abd83caa0daa8a60b499733c32

( 3 imports )
> KERNEL32.dll: ExitProcess, GetModuleHandleA, GetACP, LockResource, EnumResourceTypesA, FindResourceA, VirtualAlloc
> OLEAUT32.dll: VariantInit, SysAllocStringLen, SysAllocString, VariantClear, GetActiveObject, CreateStdDispatch, SafeArrayAccessData, SysReAllocString, VarNumFromParseNum
> MSVCRT.dll: _cgets, _atoi64, _chdir, _beep, _assert, _chgsign, _c_exit, _access

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (38.3%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Tak skusim virus dat do prilohy aby ste mohli testovat na nieco realnejsom ako eicar.. Smile
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!
Pozor priloha obsahuje realny virus, ak nemate potrebne vedomosti, uvedenu prilohu nestahujte!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!

[Aktualizováno: Čt, 15 říjen 2009 09:02]

  •  
MarkEye je nyní offline MarkEye

Příspěvky: 72
Odeslat poštu tomuto uživateli
Zistoval som v okoli tak tu je jedna z odopovedi..
"Ja pouzivam Brightmail, resp. HW branu. Jasne ze to vie filtrovat akukolvek koncovku, ved to vie hadam kazda smtp brana co ma v sebe aj content filtering. A v ZIP/RAR a inych do nastavenej hlbky.
http://www.scmagazineus.com/Symantec-Mail-Security-8300-Seri es/Review/2418/"

Este ma napadlo ze by to mozno islo s inym antivirusom ako s McAfee, ktory je vnutri a tak sa da nastavovat h..
Externy antivirus, ktory sa zaintegruje do KMS by mohol reflektovat aj nastavenie, ktore sa prevedie cez GUI antivirusu?
To by mohli zodpovedat z Keria.. hadam. Konkretne ma zaujima Kaspersky.. mozno skusim demo, len akosi now nestiham..
  •  
zichovsky je nyní offline zichovsky

Příspěvky: 60
Odeslat poštu tomuto uživateli
Priloha install.zip nejde stahnout, kdyztak ji dejte nekam jinam. Nicmene v podstate je to uplne jedno, jestli jde o eicar nebo o nejaky skutecny vir.

Mam totiz pocit, ze motate dohromady antivirovou kontrolu, a filtrovani priloh. To jsou totiz dve ruzne veci, a i v nastaveni to mate jako dve ruzne "vetve".
Pozadovat tim padem, aby "Antivirus" se ridil nastavenim "Filtru priloh" je samozrejme z logiky fungovani veci (a to nejen Keria, ale i jinych "ochrannych" systemu) nesmysl.

Antivirovou ochranu (kontrolu mailu nejakym antivirem) a "filtrovani priloh" (kontrola priloh na nastavena pravidla - pripony ci typy souboru) od sebe obdobne oddeluji VSECHNA reseni, se kterymi jsem dosud pracoval (mimo jine i na Linuxu a v ruznych "HW branach" snad nejpouzivanejsi Amavisd a MailScanner).

Takže teď se na to podívejme z pohledu těchto dvou věcí.

1. Antivir
Antivir obecně vezme celý mail, kompletně ho rozbalí (včetně extrahovaní příloh a rozbalení i vnořených archívů. Všechny soubory pak proskenuje, a pokud najde nějaký vir tak ho zlikviduje. Samozřejmě jakýkoliv antivir je schopen najít jen ty viry, které zná ve chvíli skenu. Není schopen zareagovat na nové varianty, které ještě "nezná". Účelem serverového antiviru taky NENÍ blokovat všechny "napadnutelné" soubory v mailu (to umí jen některé "desktop" varianty antivirů).

V tomto ohledu to i v Keriu funguje naprosto v pořádku, antivir vše rozbalí a zkontroluje. To, že aktualizace jsou u různých antivirů s různým zpožděním za novými variantami virů je prostě fakt, se kterým nic nenaděláte, a takhle to bude fungovat u jakéhokoliv řešení co na viry najdete/použijete.

Bohužel asi máte tu smůlu, že na vás často směřují nové varianty. Pak máte jedinou možnost nainstalovat na server co nejvíce antivirů, naplánovat jejich pokusy o aktualizace kazdych 10minut, použít MailScanner (ktery umi na mail pustit neomezene mnozstvi antiviru) či Amavisd, a modlit se, aby aspon jeden antivir mel rychlejsi aktualizaci nez vam dorazi vir.


2. filtrovani priloh
Filtrovani priloh je pak druha samostatna funkce vsech ochrannych systemu, ktera je NEZAVISLA na antiviru (takze muzu pouzivat jen antivir a nemusim filtrovat prilohy, a taky opacne jen filtrovat prilohy a nepouzivat antivir).
Filtrovani se deje na zaklade uzivatelem nastavenych pravidel, jake pripony ci typy souboru je ochoten povolit.
Tady uz se jednotlive systemy vyrazne lisi v tom, jak detailne je mozne filtrovani nastavit (nejpropracovanejsi system co jsem zatim videl tak ma MailScanner).

Kerio je na tom ve filtrovani priloh poměrně slušně, v podstatě chybí jen možnost určit "hloubku kontroly" (což je to o co vám nejspíše jde) a případně umožnit vyjímky na konkrétní uživatele.

Sporná záležitost je pak právě ta "hloubka kontroly". Kerio jede v hloubce 0, což je zcela dostačující pro naprostou většinu poštovních serverů. Jakákoliv vyšší hloubka Vám totiž výrazně komplikuje možnost "protlačit" třeba nutně potřebnou přílohu, která by běžně filtrem neprošla.

Příklad: od dodavatele nějakého systému potřebuju dostat akutně nějaký patch, což je .exe nebo .dll soubor. Nejrychlejší je to samozřejmě poslat mailem (protože není moc velký), ale tyto přípony jsou standardně blokovány. Takže stačí dodavateli říct "zazipujte to" a vše projde v pohodě.
V případě hloubky kontroly 1 a vyšší už bych musel říct "zazipujte to, ten zip pak zazipujte ještě jednou, a ještě jednou...." atd. podle toho jak hlubokou kontrolu mám.

Proto me osobne hloubka filtru "0" zcela vyhovuje (a za nekolik let s tim nikdy nebyl problem, že by prošlo něco zákeřného), a jakákoliv vyšší hloubka mi tak přijde spíš jako "paranoidni" nastavení. Ale muzou se najit pripady, kdy ma pozadavek na vyssi hloubku filtru opodstatneni.


3. další nezávislý filtr posty je pak detekce spamu, taky nezavisly jak na antiviru tak filtrovani priloh, ale tady uz to snad nikdo nema tendence spojovat.


P. Zichovsky
  •  
MarkEye je nyní offline MarkEye

Příspěvky: 72
Odeslat poštu tomuto uživateli
Dakujem za odpoved k veci, to si vazim.
Druha vec, ktora ma na vyvojaroch keria dost mrzi, je nazor, ze ked je nieco podla Vas dostatocne (filter priloh, blokovanie uroven 0, tak to tak aj ostane, podla mna by vyvojar (vyrobca)mal umoznit co najviac nastaveni a nechat na uzivatelovi, co sam uzna za vhodne si u seba aktivovat, zaroven ste si sam aj odpovedal, ak by boli v Keriu aplikovatelne rules na in a out a samozrejme pouzitelne skupinove nastavenie prav + umoznene blokovanie priloh do vacsej hlbky nemusim hladat riesenie mojho problemu zaradenim brany pred e-mail server... tie rules na out by mi napr. dnes pomohli, pretoze som musel zablokovat zip kompletne, pokial nenaimplementujem predradenu gw, ktora doriesi to co kerio proste nema a takto by som zablokoval .zip len ne dorucovanie e-mailov zvonka a aspon by som mohol posielat zip von. V kazdom pripade nechapem co brani Keriu aby tieto veci doplnila + kopec inych.. napr. grey listing etc.. Rolling Eyes
  •  
zichovsky je nyní offline zichovsky

Příspěvky: 60
Odeslat poštu tomuto uživateli
Asi bych měl doplnit, že nejsem vývojář Keria, ale pouhý uživatel stejně jako vy Smile Takže když píšu "mě to vyhovuje" neznamená to že "Kerio s tím nic dělat nebude" Smile
Za léta praxe jsem prošel několika různými systémy pošty (jak vlastní mail server tak různá "filtrovací" řešení), a musím říct, že KMS je na tom velmi dobře ve srovnání s jinými řešeními.

Pokud vám v KMS něco chybí, nezbývá než "bombardovat" support s požadavky/návrhy na vylepšení funkcionality.

Pokud máte čas si hrát, tak doporučuju před Kerio postavit Linux s MailScannerem (opensource řešení pro filtrování pošty fungující s různými linux mail servery, nejlépe se sendmailem).
V MS se můžete v nastavení doslova vyřádit, a nastavit si do absolutního detailu vše co chcete. Bohužel díky těm extrémně širokým možnostem je konfigurace relativně komplikovaná (ale funkční výsledek stojí za námahu).

Ovšem pozor, jakýkoliv systém předřazený před Kerio, který bude filtrovat zprávy, může "rozhodit" spam filtr v KMS (protože se k němu nedostane vše).

P. Zichovsky
Předchozí téma: denied (authentication required)
Další téma: Převod účtu na jinou doménu
Jít na fórum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Aktuální čas: Út zář 26 14:56:19 CEST 2017

Celkový čas potřebný k vygenerování této stránky: 0.00399 vteřin
.:: Kontakt :: Domů ::.
Běží na: FUDforum 3.0.4.