Symantec не ловит emails с вложеными в архив троянами

[alexIrish 0]

Одит из наших сотрудников начал получать emails с вложеными в архив троянами. В оффисе стоит Symantec EPP v.11, управляется централизовано с сервера, все обновления сделаны. Outlook protection & Email Protection включены. Вся почта идущая к нам из вне проходит через провайдера, где сканируется на спам и вирусы. Но ети майлы у них не регестрируются, т.е. по всей видимости генерируются гдето внутри нашей сети. Отправитель меняется каждый день:amazon.com; twitter.com and so on. Емаил приходит раз в день, ~ в 8 утра. На клиентском компе в соответсвии с серверными настройками Outlook protection включен по дефалту. Скан делал во всей сети. Ничего не нашел. помогите отловить. Спасибо.

[Кирилл Керценбаум 671]

alexIrish Вы используете MS Exchange? Если Да, то Вы же понимаете, что письмо не может просто попадать в Outlook минуя Exchange. Смотрели x-headrы в письме, откуда оно приходит? Вложенный файл не детектится SEP? Отправляли его в Symantec Security Response?

[alexIrish 0]

Да, используем MS Exchange 2003. Вложеный file (zip архив) не детектится SEP когда приходит в Outlook, но если сохранить на диск и проверить, не распаковывая, то сразу же определяет два трояна внутри архива. B политике для Outlook protection определено проверять архивы до 3 уровня вложенности. A x-header vot:

Microsoft Mail Internet Headers Version 2.0

Received: from twitter.com ([109.78.49.151]) by companydomain.com with Microsoft SMTPSVC(6.0.3790.3959);

Thu, 11 Mar 2010 08:22:23 +0000

From: invitations@twitter.com

To: employee1@companydomain.com

Subject: Your friend invited you to twitter!

Date: Thu, 11 Mar 2010 08:22:29 +0000

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_0006_73DD3907.5056AE5D"

X-Priority: 3

X-MSMail-Priority: Normal

Return-Path: invitations@twitter.com

Message-ID: <XXXXAScobfpQOaVj900000667@companydomain.ie>

X-OriginalArrivalTime: 11 Mar 2010 08:22:23.0513 (UTC) FILETIME=[F9DDD090:01CAC0F3]

------=_NextPart_000_0006_73DD3907.5056AE5D

Content-Type: text/html;

charset="Windows-1252"

Content-Transfer-Encoding: 8bit

------=_NextPart_000_0006_73DD3907.5056AE5D

Content-Type: application/octet-stream;

name="Invitation Card.zip"

Content-Transfer-Encoding: base64

Content-Disposition: attachment;

filename="Invitation Card.zip"

------=_NextPart_000_0006_73DD3907.5056AE5D--

Как мне найти откуда он пришел? Thanks.

[alexIrish 0]

По всем данным получается что мы имеем бот который может посылать почту прямо ан IP адрес нашего mail сервера, так что они проходят мимо email провaидера. Я установил Symantec MF for Exchange na почтовом сервере, он справляется со своей задачей. Вирус обнаруживается, email в карантине. Но по хорошему надо настрооить firewall так что бы весь email трафик приходил толко с IP адреса email провайдера. У нас стоит Symantec Gateway 360 роутер. Ну и Symantec Enterprise Protection 11. Посоветуйте как закрыть SMTP порт 25 так чтобы трафик пропускался толко с определенного IP адреса. Спасибо.

[Pavel Polyanskiy 65]

По всем данным получается что мы имеем бот который может посылать почту прямо ан IP адрес нашего mail сервера, так что они проходят мимо email провaидера. Я установил Symantec MF for Exchange na почтовом сервере, он справляется со своей задачей. Вирус обнаруживается, email в карантине. Но по хорошему надо настрооить firewall так что бы весь email трафик приходил толко с IP адреса email провайдера. У нас стоит Symantec Gateway 360 роутер. Ну и Symantec Enterprise Protection 11. Посоветуйте как закрыть SMTP порт 25 так чтобы трафик пропускался толко с определенного IP адреса. Спасибо.

Честно говоря, не слышал про продукт Symanteс Gateway 360...как я понимаю, вам нужно установить клиента SEP на тот же Exchange и в политиках Firewall прописать конкрентный IP-адрес провайдера, с которого будет идти почта на 25-ый порт Exchange'а. Со всех других IP-адресов, включая все сегменты корпоративной сети, - следует отрубить трафик по SMTP.

А вообще есть отдельный продукт Symantec Brightmail Gateway - как шлюзовое решение он содержит весь необходимый Вам функционал, а также много другого.

[Pavel Polyanskiy 65]

Хотя если не ошибаюсь, в том же SMS for Exchange есть списки отправителей, можно создавать whitelist и blacklist'ы, но по доменному имени...