Lock / Unlock bei SMTP E-Mails
Der SMTP-proxy verfügt im Bereich Attachments sowohl bei Content Types als auch bei Filenames über die Optionen Allow, Lock, AV Scan, Strip, Drop und Block im Pull-Down-Menü Actions to take. Wurde zur Steuerung von unerwünschten E-Mail-Anhängen vom Default Strip (Herausschneiden und Löschen) abgewichen und die Option Lock gewählt, werden Dateianhänge, auf die ausgewählten Kriterien passen, von der WatchGuard Firewall “ge-locked”.
Im Detail passiert folgendes: die Datei wird binärtechnisch leicht verändert, es werden ein paar Byte vor und hinter die Datei gehängt. Außerdem wird der Dateiname um die Endung .clk ergänzt (cloaked). Die Datei hängt aber nach wie vor an der eigentlichen E-Mail dran und erreicht auch das Postfach des Empfängers. Versucht nun der Empfänger, die Datei mit Doppelklick zu öffnen, schlägt dies fehl. Dies ist auch so beabsichtigt! An die E-Mail wird eine zusätzliche Textdatei angehängt, die die bei Deny Message definierte Fehlermeldung beinhaltet. Der Standardtext lautet: “The WatchGuard Firebox that protects your network has detected a message that may not be safe. […] Your network administrator can unlock this attachment.” Außerdem finden sich nähere Angaben über die Datei und den Grund.
Die Option Lock gibt es schon seit über zehn Jahren bei WatchGuard-Produkten. Die theoretische Denke dahinter ist auch genau so alt: der Empfänger speichere die ge-lockte Datei z.B. auf ein transportables Speichermedium (Diskette, USB-Stick) und gehe damit zu seinem Systemadministrator. Dieser starte in einer MSDOS-Eingabeaufforderung auf einem – separat vom lokalen Netzwerk stehenden und mit einer aktuellen lokalen Antivirus-Software ausgestatteten – PC das kleine Hilsprogramm unlock.exe, das sich im Verzeichnis C:ProgrammeWatchGuardwsm10.2bin befindet und entpackt dadurch die .clk-Datei in den Urzustand, woraufhin sie mit der Antivirus-Software untersucht und bei Unbedenklichkeit an den eigentlichen Empfänger ausgehändigt werden kann. Abwandlungen in der einen oder anderen Form gestattet… 🙂
Auch das Gateway Antivirus-Subsystem kann die Option Lock nutzen, entweder wenn bereits tatsächlich ein Virus in der Datei gefunden wurde – oder wenn ein Scan Error aufgetreten ist, also die AV Engine die Datei nicht scannen konnte. Das ist übrigens auch dann der Fall, wenn die Datei verschlüsselt ist – und sei es nur eine ZIP-Datei, die mit einem Kennwort versehen wurde. Klar – eine verschlüsselte Datei kann erst dann auf Viren gescannt werden, wenn sie korrekt entschlüsselt wurde. In einem solchen Fall kann man natürlich der lokalen Antivirus-Software auf dem PC des Empfängers vertrauen und anstelle von Lock die Option Allow wählen – oder man nutzt die Option Lock und überläßt zumindest das Entpacken dem Administrator…
Aus eigener Erfahrung kann ich empfehlen die Option Lock mit Vorsicht zu genießen.
Durch einen bekannten Bug (27724) kann es passieren, dass wichtige ZIP-Dateien nach einem Scanerror nicht nur gelockt, sondern auch gleich ‘zerschossen’ werden. Ein unlock ist dann nicht mehr möglich. Ärgerlich, wenn es sich um wichtige Dokumente handelt.
Grüße
Sebastian Danek
Der Bug 27724 tritt laut Support nur in einer “ungewöhnlichen Konstellation” auf. Was war denn da so ungewöhnlich?
Es gibt aber hierzu etwas Neues:
BUG32564: SMTP GAV decompression scanning error corrupts zipped attachment (Assigned)
Steht zur Zeit auf fixed in 11.x
Die Zip-Datei ist eine wöchentlich verschickte Datei (eingehend), die mit knapp 5MB Größe verschiedene Grafiken und PDF-Dokumente enthält, die auf einem MAC erstellt wurden.
Ansich nichts außergewöhnliches. Vielleicht die Verzeichnisnamen mit _ am Anfang?
Naja. 11.x wird es zeigen…
Grüße
Sebastian Danek