bestimmte Inline Attachments blockieren?

[schroederk]

Hallo,

wie ihr sicherlich auch bereits feststellen konntet, kommen in der letzten Zeit verstärkt neue Viren nicht mehr als herkömmliches Attachment sondern als Inline Dokument an. Da die Virenscanner aber leider nur echte Attachments prüfen und auch der Filter, der Exe-Anhänge blockiert auch nicht funktioniert, habe ich ein Problem.

Wie kann ich (am Besten direkt auf der Mail.box) überprüfen, ob es sich bei dem Inline Dokument um eine Exe- oder Zip-Datei handelt und blockieren?

Hat jemand von euch vielleicht bereits eine solche Lösung?

Vielen Dank und liebe Grüße

[hallo.dirk]

Ich habe damit keine Probleme, sorry wenn ich das so sagen muss.
Denn, der Watchdog von Group übergibt alle Attachments an die scan Engine, auch die Inline

Aber selber solche Hooks zu Programieren, die Mails vor dem Router analysieren, dass trauen sich den wenigsten....und wenn doch, dann nicht kostenlos....
Agenten in den Mailboxen, kommen nicht in Frage.....

[schroederk]

Hallo und erstmal danke für die Antwort.

Kann es sein, dass Du bereits Version 7.02 hast?

Ich hab bei notes in der Fix-Liste für das Maintenance Release einen Hinweis gefunden,
dass die Inline Attachments unter Umständen nicht als Attachments behandelt werden.

SPR# MSER6K2Q22 - Unreferenced attachments in MIME messages are not rendered. A MIME inline attachment typically is referenced by a content ID (reference to a file) or by a URL. Some messages may contain inline attachments that are not referenced -- they are separate from the body. This fix makes sure that inline attachments are rendered as file attachments if they do not have a content ID or a URL.

Wir werden jetzt schnellstmöglich aktualisieren und ich hoffe, dass sich das Thema dann
von alleine erledigt haben wird.

Ein Workaround wäre trotzdem nicht verkehrt, wenn es denn wirklich daran liegt.

Gruß

[schroederk]

Wir haben gestern auf Version 7.02 aktualisiert und leider haben wir nachwievor das Problem,
dass wir Emails erhalten, die einen Dateianhang enthalten, der aber von Notes nicht als Dateianhang angezeigt wird.
Tja und daher zieht wohl weder die Regel: keine Exe! noch der Norman-Virenscanner.

Ich hab mal zwei Screenshot-Ausschnitte drangehängt.

Vielleicht hat doch noch jemand eine Idee? Ich kann mir nicht vorstellen, dass nicht schon sonstwer die gleichen Viren-Mails erhält oder dass andere Virenscanner damit wirklich besser umgehen können.

Bin echt dankbar für jede Unterstützung!

[hallo.dirk]

Was nutzt Du für eine AV Lösung?

Ich kann mich nur wiederholen:

Der Watchdog konnte damit schon immer sauber umgehen.
Das war einer der Gründe warum ich nie wieder Symatec auf meinen Domino Server haben möchte...

Die Mails die Du bekommst, schlagen hier auch ein, allerdings ist noch keine einzige durchgekommen!

[Driri]

Kann ich bestätigen. Mit dem WatchDog werden die Files gefiltert. Das dürfte wohl eher ein Problem mit dem verwendeten Scanner sein. Da würde ich mich mal an den Support des Herstellers wenden.

[schroederk]

Wollt Euch mal den aktuellen Stand mitteilen:

Ich hab ne Anfrage an Norman geschickt und folgendes als Antwort erhalten:

bei der Art von Mails, welche Sie bekommen haben, handelt es sich um eine
Mail mit einem "Malformed SMTP Header".
Der Domino MTA kann diese nicht richtig interpretieren und wird dieses als
"Text" Mail zustellen. Dieses ist aber auch von Version zu Version
unterschiedlich.
Der Notes Client versucht dieses zu interpretieren und lässt den User ein
Attachment downloaden.
"NVC for Domino" wird nur Objekte in Dokumenten scannen.
Aus diesem Grund werden solche mails nicht von "NVC for Domino" erkannt.


Da fehlen mir einfach die Worte. Nicht nur, dass Watchdog damit umgehen kann,
auch Mcafee hat keine Probleme damit. Legt die Vermutung nahe, dass nur Norman
damit nicht umgehen kann. Und dann so eine Antwort vom Norman Support. 

[Glombi]

Du brauchst einen NOTES.INI Eintrag:

MIMEForceAttachment=1


Aus der KBASE:
Description of when Domino places MIME-part bodies into $FILE fields
Product:
Lotus Domino  >  Lotus Domino Server  >  Versions 7.0, 6.5, 6.0
Platform(s):
AIX, HP-UX, i5/OS, Linux, OS/400, Solaris, Windows, z/OS
Doc Number:
1219985

Published   04.01.2006
Technote

Problem

Typically, files are stored in $FILE fields when the content-disposition is "attachment", and stored in the Body field when content-disposition is "inline".   Such is not always the case as described below. 



Solution
Domino will place MIME-part bodies into $FILES fields if one of the following conditions is true:                             
1.  Any time the size of the individual part's headers and body data exceeds ~40KB.

-OR-

2.  Any part with "content-disposition: attachment", with the exception of composite types, i.e.,  multipart/<subtype> or message/rfc822.   However, the subparts of composite types are subject to the same guidelines.                                                                                                             
                                                                                           
MIMEForceAttachments=1  --> will force non-text, content-disposition: inline, to attachment*

* available starting in Domino 6.5.4/7.0


Andreas

[Glombi]

und noch was (mit dem gleichen Ergebnis)

Server Mail Rule Does Not Capture All Attachments
Product:
Lotus Domino  >  Lotus Domino Server  >  Versions 6.0, 6.5
Platform(s):
Platform Independent
Doc Number:
1193383

Published   20.04.2005
Technote

Problem

In IBM Lotus Domino, you create a server mail rule to block certain attachment types. However, the rule does not work on all attachments, only on attachments that are content disposition type. The rule fails when the content disposition type is inline. Can you get a rule to work for all attachments?

 

Solution
This issue was reported to Quality Engineering and has been addressed in Domino 6.5.4 and 6.0.5.

Excerpt from the Lotus Notes and Domino Release 6.5.4/6.0.5 MR fix list (available at http://www.ibm.com/developerworks/lotus):

Mail Server
SPR# JALS5YQVUU - Server mail rule was not capturing all attachments. For the fix to take affect, the Notes.ini variable "MIMEForceAttachments=1" must be used.

The Domino server notes.ini parameter, MIMEForceAttachments=1, must be included for mail rules to be successfully applied to inline attachments.

In versions prior to 6.0.5 and 6.5.4, inline attachments were not stored as $File items so the rule formula did not catch them. In these earlier Domino versions, the rule only worked in cases where the Content-Disposition was of the type attachment and not inline.

Example of an attachment header that was NOT blocked by a rule:

-------=____1079560476288_6-.9KZDpMd
Content-Type: application/x-zip-compressed; 
   name="exmouth.zip"
Content-Disposition: inline;  <-- this should read as attachment
inline.
   filename="exmouth.zip"                           
Content-Transfer-Encoding: base64

[MOD]

Ich möchte dieses Thema gerne fortsetzen.

Wir setzen Group ein und müssen trotzdem feststellen, dass einige (wenige / vereinzelte) Mails nicht als Virus erkannt werden.

Bei diesen Mails handelt es sich um "eingebette Objekte". Den notes.ini Eintrag von Glombi / IBM nutzen wir bereits.

Innerhalb der iQ.Suite setzen wir (alt) H+B EDV und McAfee ein.

Hat jemand noch einen Hinweis?

 

[MOD]

 
Es ist mir wirklich peinlich
 

Das Problem lässt sich innerhalb von der iQ.Suite lösen, wenn die entsprechenden Jobs nicht nur mit der Option "Mail mit Anhängen" sondern "alle Mails" läuft.

Peinlich, peinlich.

 

[MartinG]

Zurückzukommen aus den "Ausgangspunkt". Ich würde hier nicht am Dominoserver ansetzen, sondern am ContentFilter. Der Hersteller des Content-Filters muss es schaffen die Inline-Anhänge rauszuwerfen...