Status.: The file has been deleted. Reason.: Since *.JS files may be infected by viruses, these files are rejected.

Wir haben es auf der Blocklist:

*.PPAM

*.pif

*.exe

*.rar

*.jar

*.zip

*.js

*.arj

*.cab

*.bat

*.cab

*.scr

*.tar

*.7z

*.lzh

Bisher keine Probleme mit .js.

Wir haben es eigentlich nur gesperrt, weil davor gewarnt wird, PDF mit JavaScript zu öffnen. Laut den Systemereignissen muss David auch so gut wie keine PDF mit JavaScript löschen. Und wenn, dann kommen diese Dateien nicht von unseren Kunden.

Wurde automatisch gelöscht, beim Absender brauche ich auch nicht nachhaken.

David guckt halt inzwischen auch in Zip Files ob dort gefährliche Dateien drin versteckt sind.

Soweit so gut und grundsätzlich vernünftig.

Allerdings sind PDF Dateien - wie viele andere (z.B. alle aktuellen Office) Dateien ebenfalls - letztlich Zip Files.

Nun ist es schon ewig so das PDF Dateien gerne aktive Elemente enthalten und das meist als java script und genau darüber stolpert das ganze hier.

Es gibt aber einen sehr guten Grund warum Tobit entschieden hat ausgerechnet jetzt in PDF Dateien rein gucke zu lassen. Es ist kürzlich eine schwachstelle im Zusammenhang mit PDF Dateien bekannt geworden wo innerhalb von PDF Dateien Microsoft Office Dateien versteckt werden welche Macrovieren enthalten und beim öffnen der so präparierten PDF Dateien vom jeweiligen PDF Reader an Microsoft Office weitergereicht werden.

Es gibt also einen sehr gute Grund warum aktuell viele Virenscanner PDF Dateien deutlich gründlicher beäugen als das früher der Fall gewesen ist, so eben auch die Viruserkennung im Tobit David Postman.

PS
Wer in der Vergangenheit bereits den Empfang aller Microsoft Office Dateien welche Macros enthalten können auf seinen Mailservern blockiert hat müsste aktuell entsprechend auch PDF Dateien blockieren, da sich darin Microsoft Office Dateien mit Macros verstecken können.

lycra das Problem hatten halt die Virenscanner ne ganze Zeit nicht mal auf der Uhr.

Es hilft alles nix, Containerformate müssen wie ZIP Files in allen Ebenen ausgepackt und deren Inhalt gescannt werden, anderenfalls muss man sie schlicht verwerfen.

Und ja, ich weiß um die Bedeutung von PDF.

Schön wäre halt wenn man da die Chance hätte zu sagen ich lasse PDF/A durch und andere PDF Formate z.B. nicht. aber das kannste halt aktuell soweit mir bekannt nirgends.
Und wenn man das irgendwo könnte hätte man immer noch den Ärger damit die Absender erziehen zu müssen, weil keiner raffen mag das PDF eben a) nicht gleich PDF ist und b) nicht per se sicher, sowie c) teils inzwischen sogar extrem gefährlich.

Die Welt ist leider inzwischen echt kaputt

Zitat von riawie

lycra das Problem hatten halt die Virenscanner ne ganze Zeit nicht mal auf der Uhr.

Es hilft alles nix, Containerformate müssen wie ZIP Files in allen Ebenen ausgepackt und deren Inhalt gescannt werden, anderenfalls muss man sie schlicht verwerfen.

Und ja, ich weiß um die Bedeutung von PDF.

Schön wäre halt wenn man da die Chance hätte zu sagen ich lasse PDF/A durch und andere PDF Formate z.B. nicht. aber das kannste halt aktuell soweit mir bekannt nirgends.
Und wenn man das irgendwo könnte hätte man immer noch den Ärger damit die Absender erziehen zu müssen, weil keiner raffen mag das PDF eben a) nicht gleich PDF ist und b) nicht per se sicher, sowie c) teils inzwischen sogar extrem gefährlich.

Die Welt ist leider inzwischen echt kaputt

Alles anzeigen

Ich denke eher, schöner wäre es, wenn David eine Art Quarantäne anbietet, das diese Dateien erst einmal vom Endkunden wegholt (alles richtig bis dahin) aber der Admin die Chance hat, diese Datei nachträglich freigeben kann, wenn geprüft wurde, dass die Datei gewünscht ist.

Diese Quarantäne könnte eine Selbstbereinigung von 30 Tagen haben, bis dahin wird ja wohl ein Admin mal danach geschaut haben

Aber aktuell ist Datei einfach weg!

Setze in Deiner Postman Konfiguration auf der Karte "Erweitert" den Haken bei "Original Nachricht speichern"

Dann speichert der David zu jeder empfangenen Nachricht immer die tatsächlich ursprünglich empfangenen Daten bevor er irgendwas anderes damit macht in einer .0tx Datei

Stelle ferner Deine Message Identifikation so ein das Virus Mails in den SPAM Ordner des Nutzers, oder in den zentralen SPAM Ordner verschoben werden sollen.

Wenn Du nun zu einem erkannten Virus der Meinung bist das es ein false Positive ist gehst Du in den SPAM Ordner des Nutzers, oder eben den zentralen SPAM Ordner.

Suche die Nachricht dort heraus, kopiere Dir mit Rechtsklick die David Objekt Verknüpfung.

Ab damit in einen Texteditor oder was auch immer und alles bis auf den Dateinamen selbst löschen.

Rechtsklick auf den SPAM Ordner im David Client und "Im Explorer öffnen" auswählen.

Jetzt die fragliche Datei suchen und zwar mit der .0tx Dateiendung.

Datei irgendwo hin kopieren, mit dem eigenen Virenscanner checken, weil besser ist das.

Datei umbenennen in Dateiname.eml

Datei öffnen - im Normalfall wird die dann im David Client geöffnet.

Dateianhänge speichern.

Dateianhänge mit Virenscanner unter die Lupe nehmen, (im Zweifel ab nach Virustotal damit wenn keine persönlichen daten oder Geschäftsgeheimnisse drin sein sollten) um sicherzustellen das die wirklich unbedenklich sind.

Wenn die Anhänge o.k. sind und alles nur ein Fehlalarm war kann man sie dem Empfänger zur Verfügung stellen.

Du siehst mit gescheiter Einstellung des David muss nix verloren gehen

Zitat von lycra

Wo macht er das ? bzw wo kann ich das einstellen?

David Administrator > System > rechte Maustaste > Backline Services > Identifizierung
Über die Auflistung in der Mitte kannst Du für die einzelnen identifizierten Klassen festlegen was passieren und wo was landen soll.

wir haben das auf reparieren/löschen stehen:



ich denke aber das es auch bei löschen funktioniert wie von mir oben beschrieben.

Die Einstellung bei der Identifizierung ist bei uns fast identisch, nur das wir auch weitergeleitete Mails identifizieren lassen:

Zitat von lycra

Sehe keinen Unterschied auf den Screenshots?