Difference between revisions of "Email antivirus"

From Cncz
Jump to: navigation, search
m
Line 8: Line 8:
 
Dit betekent dat het virus- en spamfilter werkt voor '''alle''' mail die door deze mailservers gaat, zowel binnenkomende, doorgestuurde als uitgaande.
 
Dit betekent dat het virus- en spamfilter werkt voor '''alle''' mail die door deze mailservers gaat, zowel binnenkomende, doorgestuurde als uitgaande.
  
Wanneer een mail een bijlage met gevaarlijke inhoud bevat, dan wordt deze mail in quarantaine geplaatst. De mail wordt daarna, zonder de gevaarlijke bijlage, en met een bijlage die uitlegt wat er gebeurd is, doorgestuurd naar de geadresseerde.
+
Wanneer een mail een bijlage met gevaarlijke inhoud bevat, dan wordt deze mail in quarantaine geplaatst. De mail wordt daarna, zonder de gevaarlijke bijlage, en met een bijlage die uitlegt wat er gebeurd is, doorgestuurd naar de geadresseerde. Als deze mail afgeleverd wordt in de mailbox van een gebruiker op een C&CZ-mailserver, dan wordt deze in de Virus-map geplaatst. Uit deze map worden mails die ouder dan 14 dagen zijn, verwijderd.  
  
 
Een bijlage wordt als gevaarlijk beschouwd als het een uitvoerbaar programma is, bijvoorbeeld <tt>.exe</tt>, <tt>.bat</tt>, <tt>.dll</tt>. Omdat MS-Windows een <tt>zip</tt>-bestand tegenwoordig als een map ziet, en er dus virussen in zip-bijlagen bestaan, beschouwen we ook bijlagen met zip-bestanden met daarin een uitvoerbaar programma als gevaarlijk. Om de lijst niet oneindig lang te maken (een zip-bestand in een zip-bestand in ..., het Droste-effect), beschouwen we ook een bijlage met een zip-bestand waarin weer een zip-bestand zit, als gevaarlijk. Sinds 20 februari 2017, na enkele gevallen van ransomware, wordt ook een html/htm-bestand in een zipfile als gevaarlijk beschouwd.
 
Een bijlage wordt als gevaarlijk beschouwd als het een uitvoerbaar programma is, bijvoorbeeld <tt>.exe</tt>, <tt>.bat</tt>, <tt>.dll</tt>. Omdat MS-Windows een <tt>zip</tt>-bestand tegenwoordig als een map ziet, en er dus virussen in zip-bijlagen bestaan, beschouwen we ook bijlagen met zip-bestanden met daarin een uitvoerbaar programma als gevaarlijk. Om de lijst niet oneindig lang te maken (een zip-bestand in een zip-bestand in ..., het Droste-effect), beschouwen we ook een bijlage met een zip-bestand waarin weer een zip-bestand zit, als gevaarlijk. Sinds 20 februari 2017, na enkele gevallen van ransomware, wordt ook een html/htm-bestand in een zipfile als gevaarlijk beschouwd.
Line 18: Line 18:
 
This means that the virus- and spamfilter works for '''all''' mail these servers process, whether incoming, outgoing or forwarded.
 
This means that the virus- and spamfilter works for '''all''' mail these servers process, whether incoming, outgoing or forwarded.
  
If a mail contains an attachment with dangerous content, this mail is put into quarantine. The mail without the dangerous attachment, but with an attachment that explains what has happened, is forwarded to the addressee.
+
If a mail contains an attachment with dangerous content, this mail is put into quarantine. The mail without the dangerous attachment, but with an attachment that explains what has happened, is forwarded to the addressee. If the mail is delivered to a user on a C&CZ mailserver, then the mail is delivered in the Virus folder. Mail older than 14 days is automatically removed from this folder.
  
 
An attachment is considered dangerous if it is an executable program, e.g.  <tt>.exe</tt>, <tt>.bat</tt>, <tt>.dll</tt>. Since MS-Windows considers <tt>zip</tt>-files to be directories, and therefore viruses in <tt>zip</tt>-files appeared, we also consider an executable in a <tt>zip</tt>-file to be dangerous. In order not to make the list too long (a zip-file in a zip-file in ..., the Dutch chocolate Droste-effect), we also consider  a zip-file in a zip-file to be dangerous. As of February 20, 2017, after a few cases of ransomware, we also consider a html/htm-file within a zip-file to be dangerous.
 
An attachment is considered dangerous if it is an executable program, e.g.  <tt>.exe</tt>, <tt>.bat</tt>, <tt>.dll</tt>. Since MS-Windows considers <tt>zip</tt>-files to be directories, and therefore viruses in <tt>zip</tt>-files appeared, we also consider an executable in a <tt>zip</tt>-file to be dangerous. In order not to make the list too long (a zip-file in a zip-file in ..., the Dutch chocolate Droste-effect), we also consider  a zip-file in a zip-file to be dangerous. As of February 20, 2017, after a few cases of ransomware, we also consider a html/htm-file within a zip-file to be dangerous.

Revision as of 14:42, 23 May 2018

Filtering of viruses in E-mail

When and how does the filter work?

The C&CZ mailservers, running sendmail, invoke MIMEDefang for each mail they receive, to scan for a virus and filter for spam.

This means that the virus- and spamfilter works for all mail these servers process, whether incoming, outgoing or forwarded.

If a mail contains an attachment with dangerous content, this mail is put into quarantine. The mail without the dangerous attachment, but with an attachment that explains what has happened, is forwarded to the addressee. If the mail is delivered to a user on a C&CZ mailserver, then the mail is delivered in the Virus folder. Mail older than 14 days is automatically removed from this folder.

An attachment is considered dangerous if it is an executable program, e.g. .exe, .bat, .dll. Since MS-Windows considers zip-files to be directories, and therefore viruses in zip-files appeared, we also consider an executable in a zip-file to be dangerous. In order not to make the list too long (a zip-file in a zip-file in ..., the Dutch chocolate Droste-effect), we also consider a zip-file in a zip-file to be dangerous. As of February 20, 2017, after a few cases of ransomware, we also consider a html/htm-file within a zip-file to be dangerous.

Other antivirus measures

Since viruses can spread in more ways than mail (network shares, USB-sticks, www, ...) it is good practice for (MS-Windows) users to use a PC virusscanner with a recent virusdatabase. The RU has a campus license for the use of F-Secure. See our Windows software-page for more information about the different versions.