Mails mit gepackten XLS Dateien wird als Virus erkannt

[stefannsv]

Hallo zusammen,

Wir hatten jetzt 2x den Fall das Mails mit ZIP Anhängen komplett abgewiesen werden. In den ZIP Archiven sind XLS Dateien ohne Makros.
Die Mails sind in der Vergangenheit durchgegangen und es sind 100% keine Viren vorhanden.
Ich möchte jetzt ungern den Absender ungeprüft durch lassen. Was können wir noch machen?

Viele Grüße Stefan

 

[Fabian]

Guten Morgen @stefannsv ,

welcher der Filter hat den für die beiden E-Mails angeschlagen? Virenscanner, CoreAntispam oder 32Guards?
Was du immer machen kannst ist die E-Mail als sicher melden über die Feedback Funktion in der Weboberfläche.

Der Rest dürfte von dem Filter abhängen z.B. wenn es über die 4 SCL abgewiesen wurde, z.B. von der Anispam/ 32 Guards geht die Vertrauenspunkte erhöhen.

LG
Fabian

 

[stefannsv]

Moin zurück,
hier mal der Auszug vom Tracking einer der Mails

 

[Fabian]

Also der Virenscanner:
"actions": [
{
"name": "Malware-Scanner",
"time": "00:00:02.3400000",
"decision": "RejectPermanent",
"message": "The attachment(s) '20250807_HMGV1_Tabelle_1.zip' are possibly infected."
},

Ist das der "dateibasierte" (z.B. der MS Defender auf dem Windows Server) oder "Integrierter" Malware Scanner (welcher von NSP mitgeliefert wird)?

Geht für mich leider aus dem Log nicht hervor, je nach dem muss Mircosoft hier neuere Pattern liefern oder NSP müsste sich das anschauen.

Hast du uns einen zensierten Sreenshot vom Reiter "Aktivitäten" -> Malware Überprüfung.
Hier steht es im Detail z.B. Den dateibasierten Virenscanner und Integrierter Malware Scanner fand Malware in ....

 

[stefannsv]

Hier ein Screenshot

 

[Fabian]

Dateibasiert -> (Annahme: MS Defender) 3rd Party Problem.

Sofern du ein M365 Tenant hast kannst du dort auch MS Defender False/ Positives melden.
Ggf. gibt es auch andere Wege, musst mal suchen wie man für den MS Defender einen False/ Positiv melden kann.

Von einer wenn auch nur temporären Deaktivierung/ Ausnahmen auf Dateinamen des 2. Malwarescanners würde ich abraten.

LG
Fabian

 

[stefannsv]

Danke für die Info.
Ich habe gerade bei euch in den Docs folgendes gelesen:
####

Konfigurieren installierter On-Access-Virenscanner​

Um (wiederkehrende) Probleme beim Zusammenspiel von installierten On-Access-Virenscannern zu beheben, konfigurieren Sie Ihren Virenscanner so, dass die Verzeichnisse

• C:\ProgramData\Net at Work Mail Gateway\Core Antispam Engine
• C:\ProgramData\Net at Work Mail Gateway\Temporary Files\MailQueues
• C:\ProgramData\Net at Work Mail Gateway\Temporary Files\MailsOnHold
• C:\Program Files\NoSpamProxy\Core Antispam Engine

Ist es denn wirklich ratsam diese Ordner wirklich beim Defender in die Ausnahmen aufzunehmen, ohne in Gefahr zu laufen?

 

[Sören]

Ist es denn wirklich ratsam diese Ordner wirklich beim Defender in die Ausnahmen aufzunehmen, ohne in Gefahr zu laufen?

sonst hätten wir es ja nicht geschrieben

Das löst zwar dein Problem nicht, aber machen solltest du es dennoch... denn sonst kann es sein, dass MS unsere Engine stört oder die Patterns die wir ausliefern selbst als Malware erkennt.

Zu dem anderen Problem hat ja @Fabian schon die richtig Antwort gegeben, die Engine von MS liegt nicht unter unserer Kontrolle. Du kannst im Defender aber sagen, dass dieses File okay ist, dann kommt es wenigstens beim nächsten mal rein.

 

[stefannsv]

Man weiß ja nie
OK hab die Ausnahmen hinzugefügt.
Beim Defender hab ich zumindest keine Möglichkeit gesehen, das als PositiveFalse zu markieren.
Die File selbst hab ich schon zugelassen.

 

[MichiH]

Moin zusammen,

nur als zusätzliche Info für diejenigen, die über diesen Threat stolpern:
Wir hatten gerade ein Riesenproblem mit Sophos Intercept X auf den NSP Gateways als dateibasierter Virenscanner. Der hat sich nicht um die Einstellungen mit den auszulassenden Verzeichnissen geschert und hat zusätzlich auch eine heftige Inkompatibiltät mit der Core Antispam Engine (https://support.sophos.com/support/s/article/KBA-000004362?language=en_US#Bitdefender)

Lösung war den Sophos Endpoint komplett runterzuschmeißen und erstmal den Defender zu nutzen, bis wir einen vernünftigen dateibasierten Scanner finden, der mit der Core Engine sauber zusammen arbeitet.

 

[869288141]

Beim Defender hab ich zumindest keine Möglichkeit gesehen, das als PositiveFalse zu markieren.

Falls es der Default Defender ist, hast du ad-hoc meines Wissens nach keine Möglichkeit. Nutzt den Defender über einen der Endpoint Security Pläne, kannst du eine Analyse durchführen lassen. Funktioniert recht gut. Darfst es aber nicht eilig haben. Aber das gilt eigentluch grundsätzlich beim Microsoft Support ala carte.

Wir hatten gerade ein Riesenproblem mit Sophos Intercept X auf den NSP Gateways als dateibasierter Virenscanner. Lösung war den Sophos Endpoint komplett runterzuschmeißen und erstmal den Defender zu nutzen

Am Besten gleich für die nächste Verlängerung eine gute Alternative suchen. Gibt genug am Markt...
Mit solchen Problemen konfrontiere ich bei uns gerne Vertrieb, TAM und Produkt Manager des Herstellers. Weil ich muss mir jedes Jahr auch jeden neuen Mist in ihren Produkten anhören - ach wie fansy, wir sind die ersten, macht alles noch sicherer...