Jump to content
BlackCat71

Почтовый антивирус KES10.3.0.6294 [В процессе]

Recommended Posts

Добрый день !

KES10.3.0.6294 управляется политикой.

Обновил KES до данной версии. В почтовом антивирусе настроено "Переименовывать вложения указанных типов". Файлов xlsx в списке точно нет, но он все равно их переименовывает в xls_ причем непонятно как и от чего это зависит (в одном письме переименовал, в другом нет). Причем письма могут быть старые, которые уже получены в outlook 2010.

Галочка "Проверять вложенные файлы офисных форматов" установлена. Что она дает ?

 

Edited by BlackCat71

Share this post


Link to post
Добрый день !

KES10.3.0.6294 управляется политикой.

Обновил KES до данной версии. В почтовом антивирусе настроено "Переименовывать вложения указанных типов". Файлов xlsx в списке точно нет, но он все равно их переименовывает в xls_ причем непонятно как и от чего это зависит (в одном письме переименовал, в другом нет). Причем письма могут быть старые, которые уже получены в outlook 2010.

Галочка "Проверять вложенные файлы офисных форматов" установлена. Что она дает ?

 

Здравствуйте!

 

Галочка "Проверять вложенные файлы офисных форматов" отвечает за проверку файлов, имеющих формат документов MS Office: Word, Excel и других.

 

Уточните, показываются ли события о переименовании?

 

Спасибо!

Share this post


Link to post
Здравствуйте!

 

Галочка "Проверять вложенные файлы офисных форматов" отвечает за проверку файлов, имеющих формат документов MS Office: Word, Excel и других.

 

Уточните, показываются ли события о переименовании?

 

Спасибо!

Да, показываются. Немного разобрался. Логика работы странная. Если в фильтре вложение в почтовом антивирусе указан какой либо файл и он присутствует внутри XLSX файла, то происходит переименование XLSX файла, а не внутреннего файла. Т.е. если у меня в фильтре отмечен файл *.bin и он есть в структуре xlsx файла, то xlsx файл станет с расширением xls_

Edited by BlackCat71

Share this post


Link to post
Да, показываются. Немного разобрался. Логика работы странная. Если в фильтре вложение в почтовом антивирусе указан какой либо файл и он присутствует внутри XLSX файла, то происходит переименование XLSX файла, а не внутреннего файла. Т.е. если у меня в фильтре отмечен файл *.bin и он есть в структуре xlsx файла, то xlsx файл станет с расширением xls_

 

Уточните пожалуйста, какое поведение Вы могли бы отметить как ожидаемое?

 

Уточните, как на Ваш взгляд должна идти логика этой операции.

 

Спасибо!

Share this post


Link to post
Уточните пожалуйста, какое поведение Вы могли бы отметить как ожидаемое?

 

Уточните, как на Ваш взгляд должна идти логика этой операции.

 

Спасибо!

Ну он как бы вообще не должен воспринимать офисные файлы как архивы и что-то в них менять. У меня в фильтре для переименования всегда стоял файл с расширением bin, теперь же мне пришлось это расширение удалить, т.к. он стал переименовывать и безобидные офисные файлы с расширением xlsx.

 

Здравствуйте!

Галочка "Проверять вложенные файлы офисных форматов" отвечает за проверку файлов, имеющих формат документов MS Office: Word, Excel и других.

Что-то поменялось в алгоритме проверки ? В Kes10 SP1 MR2 офисные файл тоже проверялись, но галочки этой не было.

Edited by BlackCat71

Share this post


Link to post

Смотрите какая история, я проведу аналогию с настройкой своего UTM, там есть компонент, называется DLP, внутри него можно настраивать различные правила по фильтрации почтовых вложений, так вот, я был изрядно удивлен когда согласно правилам "Block Java Script Files" и "Block GZIP Files" начали блокироваться *.PDF и *.XLSX, выяснил что эти файлы (PDF и XLSX) многокомпонентные (по сути архивы), в зависимости от программы, при помощи которой они готовились тот же PDF может внутри себя содержать и Java-скрипты, а XLSX-файл по сути полноценный архив. Но, в моем случае, есть два важных нюанса: моя железка видит разницу между блокировать по ТИПУ файла, или блокировать по НАЗВАНИЮ файла, т.е. если выставляется блокировать по ТИПУ файла он за счет своего внутреннего механизма разбирает каждый файл, ищет внутри него сигнатуры типов файлов и блокирует контейнер целиком, а если же я делаю настройку блокировать по ИМЕНИ, то он смотрит на название и блокирует по расширению, очень интересно как это функционал реализован в новой версии KES, предвижу шквал вопросов на эту тему, считаю что подобные вещи стоит явно выносить на видное место! Надеюсь понятно о чем я. :cb_punk:

Share this post


Link to post
Ну он как бы вообще не должен воспринимать офисные файлы как архивы и что-то в них менять. У меня в фильтре для переименования всегда стоял файл с расширением bin, теперь же мне пришлось это расширение удалить, т.к. он стал переименовывать и безобидные офисные файлы с расширением xlsx.

Что-то поменялось в алгоритме проверки ? В Kes10 SP1 MR2 офисные файл тоже проверялись, но галочки этой не было.

Здравствуйте!

 

Соберите пожалуйста трассировки в момент воспроизведения проблемы и пришлите их нам.

 

Спасибо!

Share this post


Link to post
Здравствуйте!

 

Соберите пожалуйста трассировки в момент воспроизведения проблемы и пришлите их нам.

 

Спасибо!

Добрый день !

Собрал. Отправил Вам в личку. Спасибо !

Share this post


Link to post
Да, показываются. Немного разобрался. Логика работы странная. Если в фильтре вложение в почтовом антивирусе указан какой либо файл и он присутствует внутри XLSX файла, то происходит переименование XLSX файла, а не внутреннего файла. Т.е. если у меня в фильтре отмечен файл *.bin и он есть в структуре xlsx файла, то xlsx файл станет с расширением xls_

 

Такая логика заложена в продукт.

Всё верно.

 

Share this post


Link to post
Такая логика заложена в продукт.

Всё верно.

А обещали в этой теме совсем другое. Переименование вложенного файла в архив, удовлетворяющего условию переименования, а не переименования всего архива.

 

Тогда почему он офисные файлы воспринимает как архивы и переименовывает их ?

Edited by BlackCat71

Share this post


Link to post

KES10.3.0.6294 под политикой (агенты 10.4.343) Галочка "Проверять вложенные файлы офисных форматов"стоит, получаем на "выхлопе" XLS_...

Все кто на 10.2.5.3201 получают норм файлы (но там и нет такой галочки) только вложения.

Что делать и как быть , я понимаю- в пору петь и рансомов это может-быть и полезно , но слишком кардинально.

Какой выход искать? убирать галочку?

Хотелось бы чтоб сам файл не переименовывался а только его содержимое.

как в упомянутой выше теме.

Edited by tirbahv

Share this post


Link to post
KES10.3.0.6294 под политикой (агенты 10.4.343) Галочка "Проверять вложенные файлы офисных форматов"стоит, получаем на "выхлопе" XLS_...

Все кто на 10.2.5.3201 получают норм файлы (но там и нет такой галочки) только вложения.

Что делать и как быть , я понимаю- в пору петь и рансомов это может-быть и полезно , но слишком кардинально.

Какой выход искать? убирать галочку?

Хотелось бы чтоб сам файл не переименовывался а только его содержимое.

как в упомянутой выше теме.

Здравствуйте!

 

Можете более точно описать какое изменение происходит после обработки?

 

Спасибо!

Share this post


Link to post

Аналогичная проблема. Стоит KES 10.3.0.6294 под политикой.

В политике есть галка переименовывать файлы, но экселевские не учтены.

Рандомно переименовывает xlsx в xls_ Outlook 2010.

Share this post


Link to post

Здравствуйте!

Уточните, выставлена ли опция "переименовывать .bin"?

Спасибо!

Share this post


Link to post
2 hours ago, Ivan.Ponomarev said:

Здравствуйте!

Уточните, выставлена ли опция "переименовывать .bin"?

Спасибо!

нет, умолчальные настройки: bat,cmd,com,emf,exe,js,jse,msi,scr,vbs,vbe

если поставить "не применять фильтр", проблема пропадает. при переименовании никаких сообщений не показывает. если работать через owa, то все норм, именно outlook + KES такое делают.

+на outlook 2013 проблема не наблюдается. а на 2010 (Office 2010Std) гдето на каждом 3 пк. WU на ПК последние, W7Ent.

началось недавно, грешу на обновления KES на последнюю версию (но точно сказать не могу), проблеме недели 2-3.

 

Edited by Is_B

Share this post


Link to post
29 минут назад, Is_B сказал:

нет, умолчальные настройки: bat,cmd,com,emf,exe,js,jse,msi,scr,vbs,vbe

если поставить "не применять фильтр", проблема пропадает. при переименовании никаких сообщений не показывает. если работать через owa, то все норм, именно outlook + KES такое делают.

+на outlook 2013 проблема не наблюдается. а на 2010 (Office 2010Std) гдето на каждом 3 пк. WU на ПК последние, W7Ent.

началось недавно, грешу на обновления KES на последнюю версию (но точно сказать не могу), проблеме недели 2-3.

 

Дело в том, что файлы *.docx или *.xlsx являются контейнерами, в которых содержатся в том числе файлы и библиотеки названных выше форматов. 

И так как плагин для аутлука сканирует внутренности этого контейнера, он видит файл нужного расширения и действует по алгоритму, в данном случае переименовать. 

В онлайн форме почты это не срабатывает, так как этим занимается именно плагин почтового антивируса в аутлуке. 

Спасибо!

Share this post


Link to post
5 hours ago, Ivan.Ponomarev said:

Дело в том, что файлы *.docx или *.xlsx являются контейнерами, в которых содержатся в том числе файлы и библиотеки названных выше форматов. 

И так как плагин для аутлука сканирует внутренности этого контейнера, он видит файл нужного расширения и действует по алгоритму, в данном случае переименовать. 

В онлайн форме почты это не срабатывает, так как этим занимается именно плагин почтового антивируса в аутлуке. 

Спасибо!

Ок, предполагалось.

Предлагается:

1. Т.к. на расширение файлов (зачем там выбор тогда расширений файлов ?) KES пофиг - добавить опцию\вариант "анализ вложений по заголовкам"\"анализ по расширениям". Сейчас явно работает первая без выбора.

2. Уточните еще раз за что отвечает опция Поч.АВ\Общие\Вст.в сист.\Доп.:плагин Ms.Of.Outlook?

3. Сделать кроме "Не прим.фильтр"\Переим.\Удалять еще "Предупреждать" и "Сообщать адм." (и\или их комбинацию)

 

Анализом вложений благо у нас занимается другая система, т.е. пока терпимо, но правильное поведение нужно вернуть, ранее такого не было.

 

Нужно проще как-то.. см. аналогичную опцию у SEP (вложение) 

sep.png

Edited by Is_B

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.