DAOS: Folgende Frage/Idee für durchbrechende Virenanhänge

[Ice-Tee]

Hallo zusammen, folgende Frage/Idee habe ich:

Ab und zu kommt es mal vor, das die Virenscanner einen bestimmten neuen Virus noch nicht erkennen und ein bestimmte Mail bricht dann massenhaft durch bis zu allen Clients. Der Anhang ist dann das Problem!
Wenn DAOS aktiviert ist, wird auch dieser Anhang entsprechend als *.nlo Datei ausgelagert.
Meine Idee ist es als "Erste-Hilfe-Maßnahme", genau diesen Anhang dann umzubenennen. So, das die Clients nicht mehr auf die Source zugreifen können, da der Server die Datei nicht mehr finden kann.
In den meisten Fällen wird der Virus dann nach ein paar Stunden auch von den Scannern erkannt und alles ist gut.

1. Wie kann ich den entsprechneden Dateianhang in einer Mail eindeutig in dem DAOS-Verzeichnis lokalisieren und zuordnen?
2. Kann ich das so machen und hat bereits jemand damit Erfahrungen gemacht?

Danke für Antworten.

[Tode]

1. Gar nicht
2. Nö

[Ice-Tee]

Na ja, so gaaanz kann ich das nicht glauben.
Es muss doch eine Logik geben, wie die nlo's benannt werden? Per Zufall oder ein Hashwert?
Und irgendwo muss doch auch geloggt sein, welche nlo zu welchem Dateianhang gehört. Sonst könnte doch auch der Server keinen Zusammenhang mehr finden.
Von daher muss es doch einen Weg geben ...

[Fitz]

bin ich selbst heute Vormittag zufällig darüber gestolpert :-)

http://ab1osborne.blogspot.de/2009/02/so-whats-in-daos-nlo-file-name.html

Aber vor "Stunts" im DAOS Ordner würde ich IMHO abraten.

Gruß
Bernd

[Ice-Tee]

Danke, sehr interessant!!
@ Tode: Wo bleibt dein Enthusiasmus?

[Ice-Tee]

Habe noch was gefunden :
http://noteshexe.de/blog/?p=2751

[Pfefferminz-T]

Ob der Anhang als nlo im DAOS abgelegt wird ist erstmal von Deiner Einstellung abhängig, ab welcher Grösse Anhänge überhaupt ausgelagert werden. Üblicherweise führt man ja erst (ggf. mehrfach mit unterschiedlichen Wertbereichen) den DAOS Estimator aus und legt basierend auf diesen Ergebnissen den Schwellwert fest.

Der Parameter ist ein Debugging-Parameter, erzeugt somit zusätzliche Last auf Deinem produktiven System und erfordert einen Neustart. Wie willst Du denn erkennen, in welchem Anhang ein Virus enthalten ist, wenn es Dein Virenscanner noch nicht kann??

Von einem Eingriff in die Verwaltung der Attachments rate ich ab. Ein Fehler kann hier mehr kosten als das eine Attachment...

Just my 2cents,
Thorsten

[Ice-Tee]

Na ja, wenn sich mehrer Kollegen melden das sie eine nicht angeforderte Rechnung von Vodaf*** oder der Telek** erhalten haben und diese mit einem Zip-Anhang behaftet ist, sollte die Lage eindeutig sein
Was spricht dagegen, die entsprechende nlo einfach zu löschen? Im schlimmsten Fall gibt es eine Fehlermeldung beim User, das es diesen Anhang nicht mehr gibt. Na prima, genau das richtige!

[koehlerbv]

Die Fehlermeldung gibt es aber nicht nur bei Deinen Usern, sondern auch auf dem Server und im DDM. Und Du weißt dann nicht: War ich das jetzt, oder ist "wirklich" etwas kaputt im DAOS Catalog und im DAOS Gesamtgefüge.

Bernhard

[Tode]

Also gut: Ich nehme meine Aussage zurück. Mit entsprechendem Script- knowhow und der Berechtigung SendConsoleCommand abzusetzen kommt man also an die Info ran.

Löschen würde ich das ganze aber nicht, WEIL: Das führt dazu, dass der DAOS- Katalog in den Status "needs resync" geht, was wiederum bedeutet, dass keinerlei Prunes mehr durchgeführt werden... Das kann relativ schnell zu nem Platzproblem werden...

Ich würde sowas also nicht machen...

[Ice-Tee]

Das Problem mit der Inkontinenz kann auch einfach gelöst werden.
Ich erzeuge einfach eine alias Hülse (*.nlo) in dem ich eine E-Mail mit einem harmlosen Anhang erzeuge und tausche diese gegen die echte schadhafte Viren-.nlo aus. Dabei ist wichtig, das die Hülse genau so heißt wie die original nlo. Somit ist sichergestellt, das die Systemverlinkung keine Fehler anzeigt und dem System vorgegaukelt wird, das es den virenbehafteten Anhang noch immer führt.
Öffnet nun ein User den Anhang, bekomt er nur den Inhalt meiner Hülse zu sehen, nicht aber den Virenanhang. Und der Server ist auch zufrieden.
Die Hülse brauch nur einmal erzeugt werden und kann immer wieder für weitere durchbrechende Virenmails verwendet werden. Genial!!
Schön wäre natürlich, wenn man das Ganze halbautomatisch durchführen könnte. Aber das ist wäre nur ein "nice to have" 

Mich wundert nur, das es dafür noch keine fertigen Erweiterungen für Notes gibt. Ich bin doch bestimmt nicht der erste, der sich gedanklich damit auseinandersetzt hat. Da DAOS sich so gesehen doch perfekt als "Erste-Hilfe" gegen durchbrechende Viren eignet?!

[Driri]

Das Problem mit der Inkontinenz kann auch einfach gelöst werden.

Made my day. Der ist einfach zu schön 

[Ice-Tee]

Das Problem mit der Inkontinenz kann auch einfach gelöst werden.

Na ja, helfen kann auch Blasofink - lol

[Ice-Tee]

Na gut - ich habe mir nun ScanMail von TrendMicro in der aktuellsten Version 5.5 + Patch 1 installiert.
Das ist wirklich wirklich sehr effektiv und man kann auch per Regeln gezielt Dateianhänge auf regulärem Wege blocken.
Kann ich nur empfehlen!! Bin begeistert 

[koehlerbv]

Und wie hilft das nun beim Ursprungsproblem? Ein Scanner erkennt einen neues Virus nicht. Das Teil landet in einer Mail-Note oder in einem .NLO. Der Scanner lernt mit einem Update dazu und verhindert mit seinem Client-Teil das Öffnen der versifften Teils (egal von wo). Ein entsprechendes AV-System (wie von Trendmicro) wird das dann auch bei Scans von DBs und / oder .NLOs nachziehen.

Wo lag nun also der Gewinn?

Bernhard

[Ice-Tee]

Na das liegt doch auf der Hand?
Brechen Virenmails durch, die von den Virensannern (noch) nicht erkannt werden, kann ich mit bestimmten Filtern in ScanMail gezielt Dateianhänge vor dem Verteilen blockieren.
Das kommt leider immer wieder vor.
Dann kommen Warnungen von Kollegen, ob das ein Virus sein könnte.
Dann schaue ich mir diese Mails an. Und wenn wieder freundlich Mails von der Telek*** oder Vodaf*** mit Dateianhang vorhanden sind, blockiere ich innerhalb von Minuten diese Anhänge und kann viel schneller reagieren als warten zu müssen, das die Virendifinitionen endlich angepasst werden.
Irgend ein Dödel öffnet die Anhänge bestimmt ...
Selbst gezielt in den Mailfiles der User kann ich diese per DB-Scan nachträglich entfernen - nur per Filterregel (RexEx oder WildCards).

Wenn das kein Gewinn ist!

[hallo.dirk]

Nur mal etwas zum Nachdenken:

Ich kenne nun die Möglichkeiten Deines A/V's, aber bei mir brechen keine so offensichtliche Viren durch.
Neben dem Scanner werden auch gewisse Anhangs Typen (speziell ausführbare Dateien) definiert, die ich erst einmal nicht durch lasse.
Je nach Unternehmen kann man es nun dabei beruhen lassen oder die Empfänger bekommen einen Hinweis, dass diese Mail gefiltert wurde.

Da A/V's immer hinterherhängen kann man so diesen Zeitraum sehr gut kompensieren....

Denn:
Der erste Virus geht immer durch

[Ice-Tee]

Bei uns sind es eigentlich immer ZIP Archive, die den Schadcode enthalten.
Die kann man schlecht grundsätzlich als Anhang verbieten
Und ja, ScanMail kann ebenfalls definierte Dateitypen blocken. Macht aber eigentlich keinen Sinn.

[hallo.dirk]

Und was ist innerhalb des zip's?

so etwas, oder?

[Ice-Tee]

Schon klar, aber Schadcode kann sich so circa in jeder Datei verstecken. Willst du die etwa alle blocken (viele viele Dateiformate)? Dann wäre ein produktives Arbeiten in einer Firma mit starkem Dateiaustausch per Mail nicht mehr möglich. Selbst PDFs und Co. sind potenziell gefährlich.

Sorry, ich verstehe dein Anliegen nicht ganz?
Die "Erste-Hilfe Maßnahme" bei durchbrechenden Virenmails per ScanMail ist doch on top?