Jump to content
rt1970

Kaspersky Security 9.0 for Exchange erkennt Trojaner, stellt aber trotzdem zu

Recommended Posts

Hallo!

Ich habe einen SBS2011 im Einsatz und den Kaspersky Security 9.0 for Microsoft Exchange Servers in der aktuellsten Version im Einsatz.

Wie im Betreff geschrieben werden viele Emails als Trojaner erkannt und angeblich die Email gelöscht.
Im Posteingang finde ich aber die Mail mit dem verseuchetem Word-Dokument.
Was kann ich tun?

Die Meldung an den Administrator lautet (Domain unkenntlich gemacht):

Betreff: "Server SBS. Meldung über das gefundene Objekt. Ergebnis: Möglicherweise infiziert."

Inhalt:

In der Nachricht:
Von: Microsoft Outlook
An: Max Mustermann
CC:
Betreff: Bewerbung auf die angebotene Stelle

wurde das Objekt Bewerbung_XXX.doc/\Bewerbung_XXX.doc//word/vbaProject.bin//JIM gefunden, das die Bedrohung HEUR:Trojan-Downloader.MSOffice.SLoad.gen enthält.
Ausgeführte Aktion - Nachricht wurde gelöscht.
Objekt wurde in den Backup-Ordner verschoben.

Empfangsdatum der Nachricht: UTC: 14.01.2019 14:32:20
Antiviren-Datenbanken vom: UTC: 14.01.2019 21:44:00, Anzahl der Einträge: %AVBASES_RECORD_COUNT%
Namen der Anwendung: Kaspersky Security 9.0 für Microsoft Exchange Server
Name des Mailservers: SBS

Kopfzeilen der Nachricht:
Content-Type: multipart/mixed;
boundary="_b127d568-1690-407f-b19d-027f808e9ec5_"
Subject: Bewerbung auf die angebotene Stelle
To: <Max.Mustermann@XXX.de>
From: Saskia XXX <saskia.XXX@XXX.com>
MIME-Version: 1.0
Sender: <MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e@XXX.de>
Message-ID: <060608fa-55bc-48d1-af49-3170ba588301@journal.report.generator>
Date: Mon, 14 Jan 2019 14:32:09 +0000
X-MS-Journal-Report:
X-MS-Exchange-Organization-AuthSource: SBS.XXX.local
X-MS-Exchange-Organization-AuthAs: Internal
X-MS-Exchange-Organization-AuthMechanism: 05
X-KSE-ServerInfo: SBS.abc.local, 9
X-KSE-AttachmentFiltering-Interceptor-Info: protection disabled
X-KSE-Antivirus-Interceptor-Info: scan successful
X-KSE-Antivirus-Info: Clean, bases: 14.01.2019 13:47:00
X-KSE-BulkMessagesFiltering-Scan-Result: protection disabled
X-MS-Exchange-Organization-AVStamp-Mailbox: KasprLab;52910;0;0

Edited by rt1970

Share this post


Link to post

Hallo rt1970,

willkommen im Forum. Kannst du bitte noch die genauen Versionsstände des Exchange-Servers und der KS4Exchange durchgeben?

Um es vorweg zu nehmen: 
KS4Exchange sollte nach unbedingt auf dem neusten Stand v9.5.153.0 sein, siehe https://support.kaspersky.com/de/kse9#downloads
Unterstützt wird das ganze ab Exchange 2010 SP3, siehe https://support.kaspersky.com/de/kse9#requirements

Die Build-Nummer des Exchange muss daher 14.3.123.4 oder größer betragen, siehe https://www.msxfaq.de/exchange/update/build.htm 

Falls du diese Punkte ausschließen kannst: wie sind denn deine Einstellungen für den Virenschutz für die Hub-Transport-Rolle?

image.png

 

Grüße
Alex

Share this post


Link to post

Hallo Alex!

Vielen Dank für Deine Mühe!

Hier die Stände:

KS4Exchange ist Version 9.5.153.0

Exchange ist Version 14.03.0435.000

 

KSE1.JPG

KSE2.JPGKSE3.JPG.e5a7e0a9ede9d69c8f9339b58e38275b.JPG

Edited by rt1970

Share this post


Link to post

Das erste Bild ist die Einstellung für die Postfachrolle.

Das zweite Bild die Einstellung, als ich die Admin-Meldung bekam und

das dritte Bild: so hab ich es jetzt eingestellt...

Share this post


Link to post

Schade, dass man selbst im Company-Account zu diesem Thema im Stich gelassen wird!

Das Problem ist weiterhin!

Beispiel der Admin-Mail (bekommen 20:07 Uhr):

Betreff: Server SBS. Meldung über das gefundene Objekt. Ergebnis: Möglicherweise infiziert.

In der Nachricht:

  Von: Microsoft Outlook

  An:

  CC:

  Betreff: Gecikmiş teslimat

  wurde das Objekt MK10460090TR DOKUMENTIs,pdf.iso/\MK10460090TR DOKUMENTIs,pdf.iso//Document,pdf.exe gefunden, das die Bedrohung HEUR:Backdoor.MSIL.NanoBot.gen enthält.

  Ausgeführte Aktion - Nachricht wurde gelöscht.

  Objekt wurde in den Backup-Ordner verschoben.

  Empfangsdatum der Nachricht: UTC: 04.02.2019 12:49:22

  Antiviren-Datenbanken vom: UTC: 04.02.2019 17:50:00, Anzahl der Einträge: %AVBASES_RECORD_COUNT%

  Namen der Anwendung: Kaspersky Security 9.0 für Microsoft Exchange Server

  Name des Mailservers: SBS

    Kopfzeilen der Nachricht:

  Content-Type: multipart/mixed;

               boundary="_5a7acec3-cbae-46e4-aa48-ac57309f4027_"

  Subject: =?UTF-8?Q?Gecikmi=C5=9F_teslimat?=

  To: undisclosed-recipients:;

  From: "PTT (Teslimat Hizmetleri)" <no-reply@ptt.com>

  MIME-Version: 1.0

  Sender: <MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e@XXX.de>

  Message-ID: <38fa4982-ac9b-46fd-bd07-9e906e21081e@journal.report.generator>

  Date: Mon, 4 Feb 2019 12:49:19 +0000

  X-MS-Journal-Report:

  X-MS-Exchange-Organization-AuthSource: SBS.XXX.local

  X-MS-Exchange-Organization-AuthAs: Internal

  X-MS-Exchange-Organization-AuthMechanism: 05

  X-KSE-ServerInfo: SBS.XXX.local, 9

  X-KSE-Antivirus-Interceptor-Info: scan successful

  X-KSE-Antivirus-Info: Clean, bases: 04.02.2019 10:31:00

  X-KSE-Attachment-Filter-Triggered-Rules: Clean

  X-KSE-Attachment-Filter-Triggered-Filters: Clean

  X-KSE-BulkMessagesFiltering-Scan-Result: protection disabled

  X-MS-Exchange-Organization-AVStamp-Mailbox: KasprLab;53411;0;0

Edited by Schulte

Share this post


Link to post
Guest
This topic is now closed to further replies.

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.