Aide
Groupe,
Les AV Kaspersky, Avast entre autres peuvent bloquer l'envoies(port 25) et réceptions(port 110) de messagerie, si le pare-feux n'a pas de règles, autorisant l'AV à utiliser les ports 110 et 25.
Kaspersky via les ports 110 et 25, se rend au site du serveur de messagerie intercepter et inspecter les messages avant leurs arrivés sur le PC. Alors que d'autres, tel qu'Antivir, AVG... vont attendrent que ces fichiers de messagerie, soient rendus sur le PC pour les inspecter.
Est-ce mieux? Pourvu que l'infection soit détecté et traité.
Ajouter 2 règles:
Application: c:\..path..Kasp.exe (entrer l'.exe de l'AV si il y d'autres App. qui utilisent cette table, procédure)
Protocol;TCP,
Event: Outbound connection,
Local Port: 1024:4999,
Remote port: 110 et 25
Remote adresse: any (ou avec l'adresse du serveur de messagerie)
Have a good day.
AV qui bloque les envoies et réceptions du logiciel
de messagerie :--> Paramétrer le Parefeux
Noter :
#2
Falkra 
- Théoricien tartineur
-
- Groupe : Modérateur Sécurité
- Messages : 17645
- Inscrit(e) : 06-mai 07
Posté 04 novembre 2007 - 08:46
Bonjour, (groupe ?)
je ne crois pas qu'on puisse évaluer ces méthodes en termes de "mieux". En matière de sécurité, le résultat est avant tout ce qui compte, plus que le moyen d'y parvenir, tant que les moyens mis en oeuvre ne sont pas excessifs au niveau du temps d'exécution, ici comparable.
Il y a deux choses différentes ici :
- le blocage du port 25 en cas d'envoi massif de mails (pc zombifié pour envoyer du spam).
- le scan des mails avant arrivée des fichiers sur le disque dur pour y trouver des saletés.
Le scan des mails : ni mieux ni pire, mais un argument commercial plus que technique. Le scan pop (avast par exemple) fait gagner du temps dans la mesure où il intercepte en amont. Cela a pu faire planter des clients mails, mais le problème est réglé depuis. Un autre antivirus type antivir attrapera le fichier (par son bouclier résident) dès qu'il y aura tentative d'écriture sur le disque (qui sera bloquée). Dans un cas comme dans l'autre, le résultat sera là, et l'infection détectée, le fichier intercepté et non écrit. La différence se fera donc plutôt sur les définitions de virus, plus performantes dans certains domaines que d'autres selon l'éditeur.
Le blocage du port 25 ou 110. Techniquement, si l'antivirus doit avoir recours à ces artifices pour empêcher le spam d'aller inonder la planète, c'est que le virus est déjà dans le pc, résident et actif... donc que l'antivirus a manqué à ses devoirs quelque part...
je ne crois pas qu'on puisse évaluer ces méthodes en termes de "mieux". En matière de sécurité, le résultat est avant tout ce qui compte, plus que le moyen d'y parvenir, tant que les moyens mis en oeuvre ne sont pas excessifs au niveau du temps d'exécution, ici comparable.
Il y a deux choses différentes ici :
- le blocage du port 25 en cas d'envoi massif de mails (pc zombifié pour envoyer du spam).
- le scan des mails avant arrivée des fichiers sur le disque dur pour y trouver des saletés.
Le scan des mails : ni mieux ni pire, mais un argument commercial plus que technique. Le scan pop (avast par exemple) fait gagner du temps dans la mesure où il intercepte en amont. Cela a pu faire planter des clients mails, mais le problème est réglé depuis. Un autre antivirus type antivir attrapera le fichier (par son bouclier résident) dès qu'il y aura tentative d'écriture sur le disque (qui sera bloquée). Dans un cas comme dans l'autre, le résultat sera là, et l'infection détectée, le fichier intercepté et non écrit. La différence se fera donc plutôt sur les définitions de virus, plus performantes dans certains domaines que d'autres selon l'éditeur.
Le blocage du port 25 ou 110. Techniquement, si l'antivirus doit avoir recours à ces artifices pour empêcher le spam d'aller inonder la planète, c'est que le virus est déjà dans le pc, résident et actif... donc que l'antivirus a manqué à ses devoirs quelque part...
www.libellules.ch - Helpers, CanRemember stocke vos procédures en BBcode
- Sur le forum, un seul sujet par machine : si vous avez la même infection, créez votre propre sujet. ;-)
- Fonctionnement de la section Analyse / Désinfection: Qui intervient, pourquoi pas tout le monde, etc...
- Comment demander de l'aide pour une désinfection - Votre PC est lent ? Par ici d'abord.
#3
Sacles
- Godlike Member
-
- Groupe : Equipe Sécurité
- Messages : 7604
- Inscrit(e) : 06-décembre 04
Posté 04 novembre 2007 - 09:27
Bonjour,
Tu pourrais donner la source de cette information?
Merci.
Salut.
Citation
Kaspersky via les ports 110 et 25, se rend au site du serveur de messagerie intercepter et inspecter les messages avant leurs arrivés sur le PC.
Tu pourrais donner la source de cette information?
Merci.
Salut.
Ne confiez jamais entièrement la sécurité de votre PC à des logiciels.
Je ne prends pas en charge les désinfections.
Je ne prends pas en charge les désinfections.
#4
Mido1
- Member
-
- Groupe : Membres
- Messages : 76
- Inscrit(e) : 11-septembre 07
Posté 04 novembre 2007 - 11:56
Citation
Sacles,
Tu pourrais donner la source de cette information?
Tu pourrais donner la source de cette information?
La source de; pourquoi certains AV exigent d'accompagner le logiciel de messagerie au serveur pour inspection ... Alors que d'autres AV inspectent sur le PC.
Lorsque l'information est concise et assimilée, aucune trace (source) n'est conservée.
Elle apportait un complément d'information, au problème, réglé un mois plutôt.
Have a good day.
Ce message a été modifié par Mido1 - 04 novembre 2007 - 12:40 .
#5
Sacles
- Godlike Member
-
- Groupe : Equipe Sécurité
- Messages : 7604
- Inscrit(e) : 06-décembre 04
Posté 04 novembre 2007 - 01:09
Re,
Je ne vois pas très bien comment un AV qui a tous ses outils sur le PC analyserait les mails sans les rapatrier.
Salut.
Je ne vois pas très bien comment un AV qui a tous ses outils sur le PC analyserait les mails sans les rapatrier.
Salut.
Ne confiez jamais entièrement la sécurité de votre PC à des logiciels.
Je ne prends pas en charge les désinfections.
Je ne prends pas en charge les désinfections.
#6
Mido1
- Member
-
- Groupe : Membres
- Messages : 76
- Inscrit(e) : 11-septembre 07
Posté 04 novembre 2007 - 01:21
Citation
Sacles,
Je ne vois pas très bien comment un AV qui a tous ses outils sur le PC analyserait les mails sans les rapatrier.
Je ne vois pas très bien comment un AV qui a tous ses outils sur le PC analyserait les mails sans les rapatrier.
Peut-être un peu sur le même principe qu'un scan en ligne.
Peut-être n'utilise t-il que sa base définition et/ou un algorithme quelconque?
Have a good day.
#7
Sacles
- Godlike Member
-
- Groupe : Equipe Sécurité
- Messages : 7604
- Inscrit(e) : 06-décembre 04
Posté 04 novembre 2007 - 02:24
Re,
Scan en ligne ... qui installe des choses sur le PC à scanner.
Edité: ce que n'accepteront jamais les serveurs des fournisseurs d'adresses.
Salut.
Citation
Peut-être un peu sur le même principe qu'un scan en ligne.
Scan en ligne ... qui installe des choses sur le PC à scanner.
Edité: ce que n'accepteront jamais les serveurs des fournisseurs d'adresses.
Salut.
Ce message a été modifié par Sacles - 04 novembre 2007 - 04:43 .
Ne confiez jamais entièrement la sécurité de votre PC à des logiciels.
Je ne prends pas en charge les désinfections.
Je ne prends pas en charge les désinfections.
#8
Mido1
- Member
-
- Groupe : Membres
- Messages : 76
- Inscrit(e) : 11-septembre 07
Posté 04 novembre 2007 - 04:49
Citation
Sacles,
Scan en ligne ... qui installe des choses sur le PC à scanner.
Edité: ce que n'accepteront jamais les serveurs des fournisseurs d'adresses.
Scan en ligne ... qui installe des choses sur le PC à scanner.
Edité: ce que n'accepteront jamais les serveurs des fournisseurs d'adresses.
Puisqu'il ne s'agit pas d'un disque à scanner, mais de quelques fichiers.
Peut-être les copient t-ils en mémoire pour les traiter?
Salut.
#9
Sacles
- Godlike Member
-
- Groupe : Equipe Sécurité
- Messages : 7604
- Inscrit(e) : 06-décembre 04
Posté 04 novembre 2007 - 05:39
Re,
Mon avis: tous les AV téléchargent les mails pour les traiter.
Salut.
Mon avis: tous les AV téléchargent les mails pour les traiter.
Salut.
Ne confiez jamais entièrement la sécurité de votre PC à des logiciels.
Je ne prends pas en charge les désinfections.
Je ne prends pas en charge les désinfections.
#10
Mido1
- Member
-
- Groupe : Membres
- Messages : 76
- Inscrit(e) : 11-septembre 07
Posté 05 novembre 2007 - 10:36
Groupe,
Kaspersky Lab,
Support technique.
Kaspersky Lab,
Support technique.
Citation
Kaspersky Anti-Virus intercepte tous les flux de messagerie provenant directement de vos serveurs.
Notre logiciel place sa protection entre votre serveur et le client de messagerie.
Nous ne supprimons pas directement les messages sur les serveurs. Nous décontaminerons directement le message infecte ou nous le supprimerons si il n'est pas réparable. Mais cela se fera en local, avant que le message n'arrive dans votre client de messagerie.
Notre logiciel place sa protection entre votre serveur et le client de messagerie.
Nous ne supprimons pas directement les messages sur les serveurs. Nous décontaminerons directement le message infecte ou nous le supprimerons si il n'est pas réparable. Mais cela se fera en local, avant que le message n'arrive dans votre client de messagerie.
Ce message a été modifié par Mido1 - 05 novembre 2007 - 10:38 .
