date:20170120

[MDaemon-L] infected mail

2017-01-20 Terurut Topik Syafril Hermansyah

On 2017-01-20 21:44, Syafril Hermansyah wrote:
> On 2017-01-20 19:26, handoyo wrote:
>>> Apakah yang di allow *.pdf?
>>>
>> Saya sudah lakukan 
>> 1. allow *.pdf di configure exclusions di content filter - antivirus - allow 
>> password protected in exclusion list
>> 2. content filter - attachment - configure exceptions - *@rategain.com
> 
>> Tapi email msh tertahan di Quarantine

> Jadi agar attachment restriction bekerja maka non aktifkan ClamAV plugin
> menu "quarantine message that can not be scan" (lihat gambar terlampir).
> Atau buat exclusion nya terhadap *@rateagain.com di clamAV plugin menu.


Problem password PDF attachment (Heuristics.Encrypted.PDF) adalah
problem di ClamAV.
Sudah dilaporkan ke ClamAV developer untuk perbaikkan kedepannya.


-- 
syafril
---
Syafril Hermansyah
MDaemon-L Moderators, MDaemon 17.0-64 Beta A, SP 5.1.0-64
Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon.

You have to learn the rules of the game. And then you have to play
better than anyone else.
--- Albert Einstein

-- 
--MDaemon-L--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.co.id
Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com
Versi terakhir MD 16.5.2, SP 5.1.0, OC 4.0.1, SG 4.0.1

[MDaemon-L] infected mail

2017-01-20 Terurut Topik Syafril Hermansyah

On 2017-01-20 19:26, handoyo wrote:
>> Apakah yang di allow *.pdf?
>>
> Saya sudah lakukan 
> 1. allow *.pdf di configure exclusions di content filter - antivirus - allow 
> password protected in exclusion list
> 2. content filter - attachment - configure exceptions - *@rategain.com

> Tapi email msh tertahan di Quarantine

Antivirus inline scanning bekerja di level smtp sementara attachment
restriction bekerja setelah mail masuk ke temp queue (quesue base
scanning) sehingga kalau antivirus inline scanning match maka attachment
restriction akan di ignore (tidak dijalankan).

Jadi agar attachment restriction bekerja maka non aktifkan ClamAV plugin
menu "quarantine message that can not be scan" (lihat gambar terlampir).
Atau buat exclusion nya terhadap *@rateagain.com di clamAV plugin menu.

> Setiap kali harus melakukan Release pak. 
> Langkah yg saya lakukan sementara me uncheck Quarantine Message that cannot 
> be scanned.

Non aktifkan "quarantine message that can not be scan" di clamAV plugin
(lihat jawaban diatas) dan biarkan message ditangani oleh KAV queue base
adalah pilihan yang paling safe (selamat) untuk saat ini.

-- 
syafril
---
Syafril Hermansyah
MDaemon-L Moderators, MDaemon 17.0-64 Beta A, SP 5.1.0-64
Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon.

Yg paling berani diantara kitapun jarang mempunyai keberanian utk
melakukan sesuatu yg sebenarnya diketahuinya
-- Fredrich Nietzsche, 18844-1900

-- 
--MDaemon-L--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.co.id
Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com
Versi terakhir MD 16.5.2, SP 5.1.0, OC 4.0.1, SG 4.0.1

[MDaemon-L] Tidak Terkirim

2017-01-20 Terurut Topik Syafril Hermansyah

On 2017-01-20 18:00, Anto wrote:
> Pak mohon pencerahan dan analisanya client kami mengapa tidak bisa kirim
> email ke mds...@cimbniaga.co.id  ya?

> Fri 2017-01-20 09:49:49: 02: [551080] <-- 250 2.0.0 OK 6D/CC-08827-BCA71885


Log menginformasikan mail sudah terkirim dengan sukses (diterima oleh
receiver domain cimbniaga.co.id).

Mail itu ditujukan ke 6 recipient, apakah hanya recipient
mds...@cimbniaga.co.id> saja yang tidak terima?
Jika ya, maka minta recipient menanyakannya ke pengelola (administrator)
mail domainnya.


-- 
syafril
---
Syafril Hermansyah
MDaemon-L Moderators, MDaemon 17.0-64 Beta A, SP 5.1.0-64
Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon.

Anyone who stops learning is old, whether twenty or eighty. Anyone who
keeps learning stays young. The greatest thing you can do is keep your
mind young.
--- Mark Twain (1835 - 1910)

-- 
--MDaemon-L--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.co.id
Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com
Versi terakhir MD 16.5.2, SP 5.1.0, OC 4.0.1, SG 4.0.1

[MDaemon-L] Tidak Terkirim

2017-01-20 Terurut Topik Anto

Dear Pak Syafril,

 

Pak mohon pencerahan dan analisanya client kami mengapa tidak bisa kirim
email ke mds...@cimbniaga.co.id ya?

Soalnya client kami yang lain bisa kirim ke x...@cimbniaga.co.id

 

Fri 2017-01-20 09:49:47: 05: [551080] Session 551080; child 0001

Fri 2017-01-20 09:49:47: 01: [551080] Parsing message


Fri 2017-01-20 09:49:47: 01: [551080] *  From:
yani.ekas...@advanceproduct.com

Fri 2017-01-20 09:49:47: 01: [551080] *  To: mds...@cimbniaga.co.id

Fri 2017-01-20 09:49:47: 01: [551080] *  Subject: RE: cicilan a/n AGUS S
CHOFA Tertagih full

Fri 2017-01-20 09:49:47: 01: [551080] *  Size (bytes): 43400

Fri 2017-01-20 09:49:47: 01: [551080] *  Message-ID:
<000601d272c7$d75bc620$86135260$@ekas...@advanceproduct.com>

Fri 2017-01-20 09:49:47: 01: [551080] *  Route slip host: cimbniaga.co.id

Fri 2017-01-20 09:49:47: 01: [551080] *  Route slip port: 25

Fri 2017-01-20 09:49:47: 05: [551080] Attempting SMTP connection to
[cimbniaga.co.id]

Fri 2017-01-20 09:49:47: 05: [551080] Resolving MX records for
[cimbniaga.co.id] (DNS Server: 209.244.0.3)...

Fri 2017-01-20 09:49:47: 05: [551080] *  P=010 S=001 D=cimbniaga.co.id
TTL=(524) MX=[mxmail.cimbniaga.co.id]

Fri 2017-01-20 09:49:47: 05: [551080] *  P=010 S=003 D=cimbniaga.co.id
TTL=(524) MX=[mxmail3.cimbniaga.co.id]

Fri 2017-01-20 09:49:47: 05: [551080] *  P=015 S=002 D=cimbniaga.co.id
TTL=(524) MX=[mxmail2.cimbniaga.co.id]

Fri 2017-01-20 09:49:47: 05: [551080] *  P=030 S=000 D=cimbniaga.co.id
TTL=(524) MX=[bintaro.bniaga.co.id]

Fri 2017-01-20 09:49:47: 05: [551080] Attempting SMTP connection to
[mxmail.cimbniaga.co.id:25]

Fri 2017-01-20 09:49:47: 05: [551080] Resolving A record for
[mxmail.cimbniaga.co.id] (DNS Server: 209.244.0.3)...

Fri 2017-01-20 09:49:48: 05: [551080] *  D=mxmail.cimbniaga.co.id TTL=(564)
A=[103.28.178.68]

Fri 2017-01-20 09:49:48: 05: [551080] Attempting SMTP connection to
[103.28.178.68:25]

Fri 2017-01-20 09:49:48: 05: [551080] Waiting for socket connection...

Fri 2017-01-20 09:49:48: 05: [551080] *  Connection established
(131.10.1.25:56840 -> 103.28.178.68:25)

Fri 2017-01-20 09:49:48: 05: [551080] Waiting for protocol to start...

Fri 2017-01-20 09:49:48: 02: [551080] <-- 220 smtp2.cimbniaga.co.id ESMTP
===CIMBNIAGA-INBOUND===

Fri 2017-01-20 09:49:48: 03: [551080] --> EHLO mail.advanceproduct.com

Fri 2017-01-20 09:49:48: 02: [551080] <-- 250-smtp2.cimbniaga.co.id says
EHLO to 202.146.225.92:56840

Fri 2017-01-20 09:49:48: 02: [551080] <-- 250-SIZE 26624000

Fri 2017-01-20 09:49:48: 02: [551080] <-- 250-ENHANCEDSTATUSCODES

Fri 2017-01-20 09:49:48: 02: [551080] <-- 250-STARTTLS

Fri 2017-01-20 09:49:48: 02: [551080] <-- 250-8BITMIME

Fri 2017-01-20 09:49:48: 02: [551080] <-- 250 PIPELINING

Fri 2017-01-20 09:49:48: 03: [551080] --> STARTTLS

Fri 2017-01-20 09:49:48: 02: [551080] <-- 220 2.0.0 continue

Fri 2017-01-20 09:49:48: 05: [551080] SSL negotiation successful (TLS 1.0,
4096 bit key exchange, 128 bit AES encryption)

Fri 2017-01-20 09:49:48: 03: [551080] --> EHLO mail.advanceproduct.com

Fri 2017-01-20 09:49:48: 02: [551080] <-- 250-smtp2.cimbniaga.co.id says
EHLO to 202.146.225.92:56840

Fri 2017-01-20 09:49:48: 02: [551080] <-- 250-8BITMIME

Fri 2017-01-20 09:49:48: 02: [551080] <-- 250-ENHANCEDSTATUSCODES

Fri 2017-01-20 09:49:48: 02: [551080] <-- 250-SIZE 26624000

Fri 2017-01-20 09:49:48: 02: [551080] <-- 250 PIPELINING

Fri 2017-01-20 09:49:48: 03: [551080] --> MAIL

[MDaemon-L] Cara Blok Virus ransomware osiris via Security plus di mdaemon

2017-01-20 Terurut Topik Syafril Hermansyah

On 20/01/17 16:10, Heryanto wrote:
> Mohon bantuan nya pada tanggal 18 januari 2017 ini dari salah satu
> account email kami mendapatkan file ransomware Osiris yang menyebabkan
> file ter enkripsi di isi laptop tersebut.
> 
> Pertanyaan nya apakah ad acara utk lakukan block email attachment ini
> via mail server daemon ?

Mestinya message yang mengandung attachment bervirus osiris akan
diquarantine atau di remove oleh SecurityPlus, akan terdeteksi oleh
Cyren AV (outbreak protection) atau ClamAV.
Jika masuknya ke quarantine queue maka jangan di approve (release),
tetapi dihapus saja.

Coba periksa silang ke smtp-in log, routing log dan antivirus log
transaksi mail itu di tanggal 18/1/17 untuk memastikan.

Untuk attachment blocking, bisa lihat arsip berikut

http://www.mail-archive.com/mdaemon-l@dutaint.com/msg40966.html

sementara untuk setting antivirus lihat ke arsip berikut

http://www.mail-archive.com/mdaemon-l@dutaint.com/msg40913.html

http://www.mail-archive.com/mdaemon-l@dutaint.com/msg40928.html

> Berikut lampiran file yang mengandung ransomware Osiris utk bahan penelitian 
> ( note jangan di klik )

Lampirannya 0 KB (isinya kosong).
Saya pakai linux PC sehingga tidak kuatir dengan virus yang umumnya
dirancang untuk menyerang windows OS :-)

Kalau masalahnya adalah deteksi AV yang gagal maka message file yang
asli disimpan ke disk sebagai *.eml file, lalu di compress (zip) dengan
password = infected lalu kirimkan ke viru...@altn.com.

-- 
syafril
---
Syafril Hermansyah
MDaemon-L Moderators, MDaemon 17.0-64 Beta A, SP 5.1.0-64
Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon.

We do not remember days, we remember moments.
--- Cesare Pavese

-- 
--MDaemon-L--
Milis ini untuk Diskusi antar pengguna MDaemon Mail Server.

Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette
Arsip: http://mdaemon-l.dutaint.com
Dokumentasi : http://mdaemon.dutaint.co.id
Henti Langgan: Kirim mail ke mdaemon-l-unsubscr...@dutaint.com
Versi terakhir MD 16.5.2, SP 5.1.0, OC 4.0.1, SG 4.0.1

[MDaemon-L] infected mail

[MDaemon-L] infected mail

[MDaemon-L] Tidak Terkirim

[MDaemon-L] Tidak Terkirim

[MDaemon-L] Cara Blok Virus ransomware osiris via Security plus di mdaemon

5 matches

Site Navigation

Mail list logo

Footer information