Mails mit gepackten XLS Dateien wird als Virus erkannt

[stefannsv]

Hallo zusammen,

Wir hatten jetzt 2x den Fall das Mails mit ZIP Anhängen komplett abgewiesen werden. In den ZIP Archiven sind XLS Dateien ohne Makros.
Die Mails sind in der Vergangenheit durchgegangen und es sind 100% keine Viren vorhanden.
Ich möchte jetzt ungern den Absender ungeprüft durch lassen. Was können wir noch machen?

Viele Grüße Stefan

 

[Fabian]

Guten Morgen @stefannsv ,

welcher der Filter hat den für die beiden E-Mails angeschlagen? Virenscanner, CoreAntispam oder 32Guards?
Was du immer machen kannst ist die E-Mail als sicher melden über die Feedback Funktion in der Weboberfläche.

Der Rest dürfte von dem Filter abhängen z.B. wenn es über die 4 SCL abgewiesen wurde, z.B. von der Anispam/ 32 Guards geht die Vertrauenspunkte erhöhen.

LG
Fabian

 

[stefannsv]

Moin zurück,
hier mal der Auszug vom Tracking einer der Mails

 

[Fabian]

Also der Virenscanner:
"actions": [
{
"name": "Malware-Scanner",
"time": "00:00:02.3400000",
"decision": "RejectPermanent",
"message": "The attachment(s) '20250807_HMGV1_Tabelle_1.zip' are possibly infected."
},

Ist das der "dateibasierte" (z.B. der MS Defender auf dem Windows Server) oder "Integrierter" Malware Scanner (welcher von NSP mitgeliefert wird)?

Geht für mich leider aus dem Log nicht hervor, je nach dem muss Mircosoft hier neuere Pattern liefern oder NSP müsste sich das anschauen.

Hast du uns einen zensierten Sreenshot vom Reiter "Aktivitäten" -> Malware Überprüfung.
Hier steht es im Detail z.B. Den dateibasierten Virenscanner und Integrierter Malware Scanner fand Malware in ....

 

[stefannsv]

Hier ein Screenshot

 

[Fabian]

Dateibasiert -> (Annahme: MS Defender) 3rd Party Problem.

Sofern du ein M365 Tenant hast kannst du dort auch MS Defender False/ Positives melden.
Ggf. gibt es auch andere Wege, musst mal suchen wie man für den MS Defender einen False/ Positiv melden kann.

Von einer wenn auch nur temporären Deaktivierung/ Ausnahmen auf Dateinamen des 2. Malwarescanners würde ich abraten.

LG
Fabian

 

[stefannsv]

Danke für die Info.
Ich habe gerade bei euch in den Docs folgendes gelesen:
####

Konfigurieren installierter On-Access-Virenscanner​

Um (wiederkehrende) Probleme beim Zusammenspiel von installierten On-Access-Virenscannern zu beheben, konfigurieren Sie Ihren Virenscanner so, dass die Verzeichnisse

• C:\ProgramData\Net at Work Mail Gateway\Core Antispam Engine
• C:\ProgramData\Net at Work Mail Gateway\Temporary Files\MailQueues
• C:\ProgramData\Net at Work Mail Gateway\Temporary Files\MailsOnHold
• C:\Program Files\NoSpamProxy\Core Antispam Engine

Ist es denn wirklich ratsam diese Ordner wirklich beim Defender in die Ausnahmen aufzunehmen, ohne in Gefahr zu laufen?

 

[Sören]

Ist es denn wirklich ratsam diese Ordner wirklich beim Defender in die Ausnahmen aufzunehmen, ohne in Gefahr zu laufen?

sonst hätten wir es ja nicht geschrieben

Das löst zwar dein Problem nicht, aber machen solltest du es dennoch... denn sonst kann es sein, dass MS unsere Engine stört oder die Patterns die wir ausliefern selbst als Malware erkennt.

Zu dem anderen Problem hat ja @Fabian schon die richtig Antwort gegeben, die Engine von MS liegt nicht unter unserer Kontrolle. Du kannst im Defender aber sagen, dass dieses File okay ist, dann kommt es wenigstens beim nächsten mal rein.

 

[stefannsv]

Man weiß ja nie
OK hab die Ausnahmen hinzugefügt.
Beim Defender hab ich zumindest keine Möglichkeit gesehen, das als PositiveFalse zu markieren.
Die File selbst hab ich schon zugelassen.