Schlechte Spamerkennung

Hallo,

ich finde den Einsatz mehrerer unterschiedlicher Scanner sinnvoll, da nicht alle Hersteller zu selben Zeit Signaturen bereitstellen können. ClamAV ist hier als Negativbeispiel zu nennen.
Wir haben ihn durch Sophos ersetzt und haben jetzt weniger Treffer auf den nachgelagerten Scannern und weniger False-Positives auf dem Mailsystem.

Wäre schön wenn Sophos integriert werden könnte.
 
taspenatu said:
Hallo,

ich finde den Einsatz mehrerer unterschiedlicher Scanner sinnvoll, da nicht alle Hersteller zu selben Zeit Signaturen bereitstellen können. ClamAV ist hier als Negativbeispiel zu nennen.
Wir haben ihn durch Sophos ersetzt und haben jetzt weniger Treffer auf den nachgelagerten Scannern und weniger False-Positives auf dem Mailsystem.

Wäre schön wenn Sophos integriert werden könnte.
Click to expand...

Man kann auch zusätzliche ClamAV Databases dazunehmen, zb:
https://www.securiteinfo.com/servic...on-rate-of-zero-day-malwares-for-clamav.shtml

Ganz neu, gibts auch die Möglichkeit Avast zu integrieren, Details dazu:
https://pve.proxmox.com/pipermail/pmg-devel/2018-February/000042.html

Wenn andere AV Hersteller eine entsprechende Installationspakete für Debian Stretch bereitstellen, ist die Integration weiterer wohl auch möglich.
 
Die meisten Anwender, die sich über schlechte Spamerkennung beklagen verwenden keinen geeigneten DNS Server oder haben ihr persönliches Limit überschritten (was eher unwahrscheinlich ist). Der initiale Autor hat von Spamassassin als "Hit" URIBL_BLOCKED bekommen, d.h. das Anfragelimit bei uribl.com wurde überschritten. Spätestens hier sollte man sich seinen DNS genauer anschauen - evtl. wird doch ein "Forwarder" benutzt.
Als Beispiel wird hier die Installation eines DNS Resolvers beschrieben: https://forum.proxmox.com/threads/how-to-local-dns-resolver-for-proxmox-mail-gateway.41189/
Hier sind auch einige DNS Abfragen zu finden mit dem man die externe IP des DNS Servers prüfen kann. Das sollte immer die eigene sein.
 
  • Like
Reactions: tom
taspenatu said:
Cool, hab ich gar nicht gewusst :)


Und daran wird es bei Sophos vermutlich scheitern :(
Click to expand...

Sophos bietet einen free file scanner für Linux, ist auch auf Debian 9 auch installierbar (ein fast 600 GB grosser tar file ...).

Ein einfacher Scan dauert halt 7 Sekunden (wobei jedesmal die Bibliotheken neu geladen werden, der scan ist dann schnell), das ist für high performance Setups unbrauchbar. Ähnliches sehen wir beim Eset Scanner. Avast und ClamAV machen dies besser (starten daemonized).

Code: 
root@testpmg:/opt/sophos-av/bin# ./savscan /examples/New\ PO\ Inquiry1\ .docx

...

Quick Scanning

>>> Virus 'Troj/DocDl-MNV' found in file /examples/New PO Inquiry1 .docx

1 file scanned in 7 seconds.
1 virus was discovered.
1 file out of 1 was infected.
If you need further advice regarding any detections please visit our
Threat Center at: http://www.sophos.com/en-us/threat-center.aspx
End of Scan.
root@testpmg:/opt/sophos-av/bin#
 
tom said:
Ein einfacher Scan dauert halt 7 Sekunden (wobei jedesmal die Bibliotheken neu geladen werden, der scan ist dann schnell), das ist für high performance Setups unbrauchbar. Ähnliches sehen wir beim Eset Scanner. Avast und ClamAV machen dies besser (starten daemonized).
Click to expand...
Ja, kann Sophos auch über das SAV Dynamic Interface https://www.sophos.com/de-de/support/documentation/sav-dynamic-interface.aspx
Ich habe den hier zusammen mit Rspamd unter CentOS im Einsatz. Läuft super :)
Inkl. lokalem Signaturrepsoitory
 
Hi Tom,

das SAV DI bekommt man hier https://www.sophos.com/en-us/support/downloads/network/sav-dynamic-interface.aspx

Um da ran zu kommen muss man sich bei Sophos einmal registrieren.
Den Scanner habt ihr ja bereits.

SAV DI Handbücher
https://www.sophos.com/en-us/support/documentation/sav-dynamic-interface.aspx#

SAV Anti Virus Handbücher
https://www.sophos.com/en-us/support/documentation/sophos-anti-virus-for-linux.aspx#



Viele Grüße
Frank

Edit: Die Links haben leider wieder nicht gepasst.
Die deutsche Sophos Webseite sollte man meiden ;)
 
Last edited:
heutger said:
Funktioniert diese Integration mit Proxmox? Gibt es dazu eine Anleitung?
Click to expand...

Nein, ist nicht integriert und es gibt keine Anleitung.
 
You must log in or register to reply here.
Top Bottom