iQSuite: Entpacker das Kennwort mitteilen

[Tode]

Ich werde mich mit der Frage auch noch an GBS direkt wenden, aber ich dachte, vielleicht hatte jemand das ja schonmal.
Wir setzen hier die aktuellste Version der iQSuite auf Domino 9 ein.

Jetzt entstand die Anforderung, "komfortabel" auch ZIP- Archive mit bekanntem Paswort scannen zu können.

Ich verfolge aktuell folgenden Ansatz:

- 7zip als neuen Commandline- Entpacker einbinden
- Diesen mit genau einem Watchdog- Job koppeln, der auf Dokumente reagiert, die mit einem speziellen Button aus der Quarantäne freigegeben wurden.
- 7zip kennt den Parameter -pPassword, mit dem ich das Passwort angeben kann.

Der spezielle Button setzt "irgendwie" das Passwort so, dass es der Command- Line- Entpacker lesen kann, und gibt die Mail mit einem speziellen Flag frei.

Kennt jemand eine Möglichkeit, einem entpacker eine Variable als Parameter mitzugeben?
Im Pfad kann ich ja z.B. %ExecDir% mitgeben, das wird dann in das entsprechende Verzeichnis übersetzt, und bei Parameter kann man die Parameter %F und %P verwenden.
Gibt es die Möglichkeit, "eigene" Variablen zu übergeben?

[theBastian]

iQ.Suite Convert soll das ab der neuen Version auch können.

Kennwort in der iQ.Suite hinterlegen (z.B. pro Domain), dann wird der Anhang entpackt, geprüft und wieder verpackt.

Die Verfahrensweise verfolge ich auch und will ich so einsetzen.

[hallo.dirk]

iQ.Suite Convert soll das ab der neuen Version auch können.

Kennwort in der iQ.Suite hinterlegen (z.B. pro Domain), dann wird der Anhang entpackt, geprüft und wieder verpackt.

Die Verfahrensweise verfolge ich auch und will ich so einsetzen.

Was meinst Du mit "ab der neuen Version"?
Die der Convert in der 18.x hat eine Funktion Dateien zu zippen, auch mit Passwort, aber ich kann so "on the fly" nicht erkennen, dass diese auch zum entpacken genutzt werden kann.
Oder meinst Du die 19.?

[Tode]

Das Problem ist ja: Ich habe kein "zentrales" Passwort, Sondern will für jede Mail individuell das Passwort angeben können...

[eknori]

Macht ja unheimlich Sinn, einem passwort geschütztem Anhang in einer Mail "irgendwie" gleich das Passwort zum Entpacken mitzuliefern ...

[Wolfgang]

Macht ja unheimlich Sinn, einem passwort geschütztem Anhang in einer Mail "irgendwie" gleich das Passwort zum Entpacken mitzuliefern ...

... das war (ist noch?) doch mal 'ne Zeitlang sehr beleibt bei Versendern von Schadsoftware. Um die Dateien an den schlecht konfigurierten Scannern vorbei zu schleusen, haben sie die passwortgeschützt und damit Anwender den Kram ausführen konnten, hat man das Passwort in der gleichen Mail mitgeliefert. Seriöses dürfte auf diesem Weg kaum kommen.
Das Passwort kommt ansonsten entweder in einem zweiten Mail oder per Telefon.

Zur ursprünglichen Frage von Torsten:

Ihr fangt die passwortgeschützten Anhänge jetzt ab, wenn ich das richtig verstehe. Das machen wir auch so.
Wenn ich jetzt so 'ne Datei prüfen will, entpacke ich die manuell und scanne die. Wenn ich dem Job jedesmal manuell das Kennwort mitgeben muss, habe ich doch nichts gewonnen, oder übersehe ich da was?

Gruß
Wolfgang

[Pfefferminz-T]

Es geht wohl eben darum, dass der Scanner diese Mails (z.bsp. wiederkehrender Austausch von Daten zwischen zwei festen Adressen mit pw-geschützten Archiven) auch überprüfen kann... Ich weiß aber leider nicht, wie man das denn 7za flexibel mitgeben kann, die Konfiguration erfolgt ja wahrscheinlich zentral an einer Stelle für den Service. Denke da musst Du wirklich auf Gbs zugehen.

[Wolfgang]

Es geht wohl eben darum, dass der Scanner diese Mails (z.bsp. wiederkehrender Austausch von Daten zwischen zwei festen Adressen mit pw-geschützten Archiven) auch überprüfen kann...

... Danke für die Antwort. So macht das natürlich tatsächlich Sinn.

Gruß
Wolfgang

[Tode]

Gut, wenn lieber über die Sinnhaftigkeit der Anfrage diskutiert wird, als über mögliche Lösungen, dann hole ich ein wenig aus: es geht in der Tat um MEHR Sicherheit als um weniger: hier wird jedes Attachment zweistufig gescannt, einmal am Gateway (Clearswift), einmal am Domino (iQSuite mit Avira). Passwortgeschützte Zip- Dateien werden am Gateway automatisch angehalten, und auf Anfrage durch den Anwender von der IT auf Viren geprüft: der Anwender gibt dem ITler das Kennwort, und der prüft das Attachment auf einer Sandboxed- Maschine, indem er es mit dem bekannten Kennwort entpackt und mit dem Workstation - Virenscanner prüft. Das passiert natürlich nur für bekannte Absender und "erwartete" Attachments, nicht irgendwelche "invoice.zip". Nach der Prüfung wird die Mail am Gateway freigegeben.  Die iQSuite winkt diese Mails dann ungeprüft durch, denn ansonsten müsste das Ganze acht werden, mit demselben Ergebnis. Wir wollen jetzt aber die Mails auch nochmal vom Avira scannen lassen, und dazu könnte der Admin beim freigeben aus der dortigen Quarantäne irgendwie das Kennwort hinterlegen, damit eben nochmal gecannt werden kann... Daher die Anfrage.

[hallo.dirk]

Habe mal in meinen Archiven gekramt:

Vom 15 Jaunar 2014:

Betreff: Feature-Request  #4272 für iQ.Suite

Beschreibung des Features: Funktionserweiterung des Unpackers (soap.tk_unpack2.dll"): Möglichkeit zur Angabe eines Parameters "Passwort" in der Kommandozeile.
Warum ist Ihnen das Feature wichtig?: Alle eingehenden Mails werden müssen auf Viren geprüft werden. Dieses ist bei Passwort verschlüsselten Anhängen so nicht möglich.
Gerade aber im Ausland wird diese Methode (selbst von Steuerbehörden) genutzt um Korrespondenz so "sicher" zu übertragen

Also in den Release Notes der 19 habe ich nichts darüber finden können, ob da ein solches Feature verbaut ist.
Ich habe sie aber noch nirgendwo installiert um zu prüfen, ob so eine Funktion nicht doch eingebaut wurde.

[theBastian]

Auch bei uns ist die Idee, die Sicherheit zu "erhöhen".

Für Externe, mit denen man häufig Dateien austauscht, trifft man eine Vereinbarung, welche Passwort genutzt werden soll.
Convert soll dann die Anhänge, die von der Domain des Externen kommen oder dahin gehen, mit dem hinterlegten Passwort entpacken, prüfen und wieder verpacken.

So ist zumindest für einige Mail ein wenig Automatismus dabei und das Passwort wird nicht hinter jeder Mail mit Anhang nochmal als Mail hinterher gesandt.

Ansonsten läufts bei uns wie bei Tode. Alles manuell.

[theBastian]

Kleines Update, für alle, die noch immer suchen.

Seit Version 20 der iQ.Suite ist das in Convert integriert.