《分享》乾淨郵件被移到隔離區？

PoC的客戶提了個Sophos XG Email Protection的問題，
為什麼乾淨郵件會被移到隔離區？

這個問題著實困擾了我，
最後在原廠協助處理後，發現是Sophos XG中對“有密碼保護夾檔的郵件”的一個處理方式。

只要在Malware Filter的 Action 中有勾選保留一份在隔離區中的話，
當email附件中的檔案有設定密碼保護，郵件防護引擎無法掃描時，就會觸發這個動作，
主動的將將該郵件保留一份在隔離中。



在這類郵件(Protected Attachment)的處理上，Sophos提供了三種處理動作，
分別是Don't Deliver不要傳送，Deliver Original傳送(預設)與Remove and Deliver刪除夾檔後傳送。
但不論採用哪一種方式，只要在 Action 中有勾選要保留一份在隔離區的話，
就會採取跟病毒郵件一樣的處理方式，在隔離區中保留該郵件！

若採用Remove and Deliver刪除夾檔後傳送這種方式，
則收件者收到信後，夾檔將被刪除，且主旨會被加上[Protected Attachment Removed]字串以通知收件者。




另外在隔離區中也可以發現，
這類郵件與真正病毒郵件最大的不同，在於這種密碼保護夾檔的郵件是可以透過“釋出按鈕”來釋出郵件，
而真正被判斷為病毒的郵件則不提供釋出按鈕，只能透過主旨連結來進行下載。




這類郵件若在log viewer裏查看的話，不會出現在Email這個類別中，
而是出現在Malware這個類別裏，
只是...Virus欄位會顯示空白(因為偵測不出來)。




至於能否“傳送了，就不要在隔離區中出現”？
很抱歉，這是對應到Malware Filter中的Action處理方式，
您是可以選擇不要保留一份在隔離區中，
但這會連帶影響到病毒郵件跟密碼保護夾檔郵件的處理方式。

一旦沒有保留一份在隔離區中，直接套用了病毒郵件跟密碼保護夾檔郵件的對應處理方式後，
這類郵件在XG的隔離區中就沒有副本，想救也救不回來！
需不需要保留一份在隔離區中，請自行決定吧。


看到乾淨郵件卻出現在隔離區時，不用心急，
先確認一下Malware Filter的Action是否有勾選保留在隔離區中，
接著再確認一下該郵件是否有夾檔？夾檔是否有密碼保護？
這樣應該就真相大白了～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!