Funktionsweise der APT-Halte-Funktion beim SMTP-Proxy (ab FireWare 12.x)

Comment

Bei Fireware 12.x gibt es eine Erweiterung des APT-Blockers: E-Mails, die für eine Überprüfung in die Cloud von LastLine übertragen werden, werden bis zum Feedback von Lastline zurückgehalten.

Zur Konfiguration wird in der Proxy-Action des SMTP-Proxies der Entsprechende haken entfernt:

  1. Eine Email mit einen unbekannten Inhalt / Anhang wird von Gateway-Antivirus gescannt.
  2. Die Datei ist (basierend auf den AV-Signaturen) unbekannt.
  3. Die Datei wird dann an den APT-Blocker übergeben und vom APT Blocker gescannt.
  4. Die Datei ist auch dem APT-Blocker unbekannt und der Anhang wird an Lastline für eine Analyse übertragen. In diesem Fall wird die SMTP Verbindung so lange gehalten, bis eine Antwort von Lastline erfolgt. Dies kann bis zu ca. 2- 3 Minuten dauern.
  5. kommt bis dahin das Ergebnis aus der Cloud, wird die Email nach den Einstellungen der Policy verarbeitet.
  6. Kommt das Ergebnis nicht (bzw. nicht rechtzeitig), wird die Verbindung abgebaut.
  7. Der absendende Server bekommt ein Temporary Reject gesendet (eine 4xx-Meldung im SMTP-Protokoll), die den Server anweist, die Email später noch einmal zu senden.
  8. Dies wird i.d.R. nach ca. 10 bis 15 Minuten der Fall sein (je nach Konfiguration des absendenden Mail-Servers).
  9. Bis zu diesem Zeitpunkt liegt das Ergebnis von Lastline aus der Cloud vor und die Mail kann entsprechend verarbeitet werden.

Leave a Reply

Your email address will not be published. Required fields are marked *