• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Dateibasierter Virenscanner (temporäre Dateien)

Postamt

Postamt

Member
Hallo Zusammen,

uns ist aufgefallen, dass sobald man den Dateibasierten Virenscanner in den Regeln aktiviert, dieser bei jeder E-Mail, welche die Regel nutzt, eine .exe-Datei in dem Ordner für den Dateibasierten Virenscanner erstell, obwohl diese E-Mails keinen Anhang beinhalten.
Aufgrund dessen spuckt der Microsoft Defender bei manchen Überprüfungen der .exe-Dateien eine False Positiv Meldung aus und verwirft diese Datei, was dazu führt. dass NSP die E-Mail permanent Abweist.

Solche Dateien werden erstellt:
1688373924165.png

In manchen Fällen schlägt der Defender einen positiven Alarm.
1688373998771.png

Im Message Tracking sieht es dann wie folgt aus:
1688374851415.png

Obwohl es keinen Anhang in der E-Mail gibt/gab.
1688374856889.png

Ist es üblich das NSP bei jeder E-Mail die die Aktion des dateibasieren Virenscanners "durchläuft" eine .exe-Datei im temporären Ordner für den On-Access Virenscanner erstellt, obwohl die E-Mail keinen Dateianhang hat?

Vielen Dank im Voraus.

Gruß
Das Postamt (Kevin)
 
Hallo Stefan,

sry das ich erst jetzt dazu komme eine Rückmeldung zu geben.
Wir schreiben (teile) der E-Mail in eine Datei um diese vom lokalen Virenscanner mit prüfen zu lassen. Hierbei kommt es in der Benamung zu einer GUID + EXE. Ich gebe zu, dass ist vom Dateityp her nicht das beste und ich werde einmal hinterfragen ob das einen näheren Sinn hat. Ich schätze jedoch nicht, so dass wir das in Zukunft mal verbessern könnten.

Also ersteinmal ist das so vollkommen richtig :)

Gruß
Jan
 
Hallo Jan,
es ist ja kein Supportfall sondern ja ein Forum...deswegen alles gut.....
Aber trotzdem ist die Namensgebung als ????.EXE statt als z.B. ????.TMP oder als ????.NSP zu hinterfragen.
Der Grund und dessen Sinn würde mich aber technisch schon interessieren

Gruß
Das Postamt (Stefan)
 
Hallo Jan,
JanJäschke schrieb:
Hierbei kommt es in der Benamung zu einer GUID + EXE. Ich gebe zu, dass ist vom Dateityp her nicht das beste und ich werde einmal hinterfragen ob das einen näheren Sinn hat.
Zum Vergrößern anklicken....
es soll Leute geben die ihre Server mit Applocker härten. Mit dem Dateityp .exe öffnet man gewohntermaßen das Scheuentor und einen erheblichen Angriffsvektor. Von daher wäre ein eindeutiger Dateityp wie .nsp eine Überlegung wert - so dass die Wahrscheinlichkeit groß ist einzigartig zu sein.


Gruß,
Daniel
 
Postamt schrieb:
Hallo Jan,
es ist ja kein Supportfall sondern ja ein Forum...deswegen alles gut.....
Aber trotzdem ist die Namensgebung als ????.EXE statt als z.B. ????.TMP oder als ????.NSP zu hinterfragen.
Der Grund und dessen Sinn würde mich aber technisch schon interessieren

Gruß
Das Postamt (Stefan)
Zum Vergrößern anklicken....
Guten Morgen Stefan,

der Sinn ist recht einfach:
du kannst in eine E-Mail schadhaften Code integrieren der dann wiederum von Benutzern unbeabsichtigt ausgeführt werden kann.
Durch das kurze prüfen über den Virenscanner wird somit einfach eine weitere unabhängige Überprüfung gemacht.
Einfachstes Beispiel (was so gut wie immer anschlagen sollte): pack den EICAR string in eine email ^^

Gruß
Jan
 
Hallo Jan,

ich glaub du hast mich Missverstanden..... ich meinte nicht die Sinnhaftigkeit eines Virenscanns!
Warum benennt ihr die zu prüfende Email GUID.EXE...und nicht GUID.TMP oder GUID.NSP?

Wie Daniel ja auch schrieb wäre dies wirklich eine Überlegung wert.

Gruß
Das Postamt (Stefan)
 
Ah da habe ich dich wirklich falsch verstanden.

Wie schon erwähnt werde ich dem nach gehen ;)

Gruß
Jan
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

L
Mail an einen einzelnen Empfänger wird zu winmail.dat
Antworten
11
Aufrufe
858
Jordan
J
M
Template "Den Inhalt dieser E-Mail finden im im Anhang Message.pdf"
Antworten
2
Aufrufe
4K
mabu
M
M
XSLX-Dateien werden vermehrt vom Virenscanner fälschlicherweise erkannt
Antworten
2
Aufrufe
5K
StefanCink
StefanCink
F
Inhaltsfilter und die Aktionen
Antworten
5
Aufrufe
8K
JanJäschke
JanJäschke
Zurück
Oben