8
Checkpoint Firewall lehnt ständig PDF Dateien ab
Hallo zusammen,
wir setzen eine Checkpoint Firewall ein und bekommen seit Monaten immer wieder Useranfragen, dass PDF Dateien per Mail durch den Virenscan blockiert werden. Der User bekommt dann nur eine txt-Datei mit einer Info statt der PDF. Im Log steht dann "file is corrupted - could not be cleaned". Die Absender sind seriöse Firmen, da ist auch keine Schadsoftware zu erwarten (was natürlich nie auszuschließen ist). Checkpoint sagt aber auch nicht genau, wie genau die Datei "defekt" sein soll. Es sind nicht verschlüsselte PDFs ohne Passwort. Das habe ich prüfen lassen. Kennt jemand dieses Problem? In dieser Masse ist es schon ungewöhnlich. Das Thema kommt wöchentlich auf, seit vielen Monaten. IT-Leitung sagt, dass das eben so sei und es keine Whitelist geben wird.
wir setzen eine Checkpoint Firewall ein und bekommen seit Monaten immer wieder Useranfragen, dass PDF Dateien per Mail durch den Virenscan blockiert werden. Der User bekommt dann nur eine txt-Datei mit einer Info statt der PDF. Im Log steht dann "file is corrupted - could not be cleaned". Die Absender sind seriöse Firmen, da ist auch keine Schadsoftware zu erwarten (was natürlich nie auszuschließen ist). Checkpoint sagt aber auch nicht genau, wie genau die Datei "defekt" sein soll. Es sind nicht verschlüsselte PDFs ohne Passwort. Das habe ich prüfen lassen. Kennt jemand dieses Problem? In dieser Masse ist es schon ungewöhnlich. Das Thema kommt wöchentlich auf, seit vielen Monaten. IT-Leitung sagt, dass das eben so sei und es keine Whitelist geben wird.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3926486898
Url: https://administrator.de/contentid/3926486898
Printed on: April 16, 2024 at 07:04 o'clock
8 Comments
Latest comment
Moin,
gehörst du zur IT? Wenn ja, wirst du die Entscheidung akzeptieren müssen, wenn nein, auch akzeptieren müssen. PDFs sind im Ansatz genauso gefährlich, wie Word, Excel, etc. Ansonsten kann euch nur Checkpoint helfen.
Stimmt euch als Alternative über eine Austauschplattform ab, Nextcloud etc.
VG
IT-Leitung sagt, dass das eben so sei und es keine Whitelist geben wird
gehörst du zur IT? Wenn ja, wirst du die Entscheidung akzeptieren müssen, wenn nein, auch akzeptieren müssen. PDFs sind im Ansatz genauso gefährlich, wie Word, Excel, etc. Ansonsten kann euch nur Checkpoint helfen.
Stimmt euch als Alternative über eine Austauschplattform ab, Nextcloud etc.
VG
Moin,
Die IT ist grundsätzlich dafür da, das Arbeisleben zu unterstützen und vereinfachen. Das Verhalten sollte durch aus durch die IT und/oder dem Hersteller verifiziert werden um auch den (un)begründeten Ablehnung zu finden. So dass evtl. der Absender hier nachbessern kann und somit in Zukunft die Dateien auch wieder zugestellt werden.
Gruß,
Dani
IT-Leitung sagt, dass das eben so sei und es keine Whitelist geben wird.
wenn es auch in der täglichen Arbeit behindert, würde ich das ganze über die Teamleitung eskalieren bzw. klären lassen. Evtl. findet sich so über den Frührungskreis weitere Bereiche die davon betroffen sind und bisher auch bedeckt gehalten haben.Die IT ist grundsätzlich dafür da, das Arbeisleben zu unterstützen und vereinfachen. Das Verhalten sollte durch aus durch die IT und/oder dem Hersteller verifiziert werden um auch den (un)begründeten Ablehnung zu finden. So dass evtl. der Absender hier nachbessern kann und somit in Zukunft die Dateien auch wieder zugestellt werden.
Gruß,
Dani
Ja, gehöre zur IT. Mich nervt es nur, dass dieses Thema seit einem Jahr immer und immer wieder aufkommt und die User genervt sind. Aber Du hast schon Recht: PDF ist und bleibt gefährlich und wenn der Virenscanner kein OK gibt, darf die Mail nicht rein. Die Frage ist auch eher zu verstehen als "was kann dazu führen, dass eine PDF von der Checkpoint als korrupt gemeldet wird"...
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_do ...
Das kenne ich wenn die verwendete PDF Bibliothek manche Komprimierungs-Algorithmen innerhlab des PDF wie bspw. LZW usw nicht unterstützt. Das wird wohl an deren verwendeter PDF-Bibliothek liegen die neuere PDF Formate nicht vollständig supporten. Ich würde also mal die PDF-Versionen der Dateien checken ob es hier einen Zusammenhang gibt.
Wenn es kein Update von seitens Checkpoint diesbezüglich gibt hilft wohl nur die Files signieren oder verschlüsseln zu lassen, oder den Partner bitten die Files in passwortgeschützte ZIP-Files zu packen.
Denn ein Durchlassen von für die Firewall "korrupten" Files nur weil die FW es nicht lesen kann wäre ein Himmelfahrtskommando, dann kann man das Teil gleich komplett abschalten.
Ein Grund warum ich diese Module auf Firewalls hasse, da bist du auf Gedeih und Verderb auf den Hersteller angewiesen und kannst nicht mehr oder nur sehr eingeschränkt selbst eingreifen.
Cheers
certguy
Notes:
Some files may be determined by Threat Extraction blade to be corrupted. As a result, they cannot be cleaned. By default, Threat Extraction blade would wait for Threat Emulation blade's verdict for such files. However, some of the files mentioned in this article are not supported by Threat Emulation blade. The administrator should choose whether to allow or block corrupted files.
Instructions for blocking all corrupted files are provided below in the "How to block all corrupted files" section.
Some files may be determined by Threat Extraction blade to be corrupted. As a result, they cannot be cleaned. By default, Threat Extraction blade would wait for Threat Emulation blade's verdict for such files. However, some of the files mentioned in this article are not supported by Threat Emulation blade. The administrator should choose whether to allow or block corrupted files.
Instructions for blocking all corrupted files are provided below in the "How to block all corrupted files" section.
Das kenne ich wenn die verwendete PDF Bibliothek manche Komprimierungs-Algorithmen innerhlab des PDF wie bspw. LZW usw nicht unterstützt. Das wird wohl an deren verwendeter PDF-Bibliothek liegen die neuere PDF Formate nicht vollständig supporten. Ich würde also mal die PDF-Versionen der Dateien checken ob es hier einen Zusammenhang gibt.
Wenn es kein Update von seitens Checkpoint diesbezüglich gibt hilft wohl nur die Files signieren oder verschlüsseln zu lassen, oder den Partner bitten die Files in passwortgeschützte ZIP-Files zu packen.
Denn ein Durchlassen von für die Firewall "korrupten" Files nur weil die FW es nicht lesen kann wäre ein Himmelfahrtskommando, dann kann man das Teil gleich komplett abschalten.
Ein Grund warum ich diese Module auf Firewalls hasse, da bist du auf Gedeih und Verderb auf den Hersteller angewiesen und kannst nicht mehr oder nur sehr eingeschränkt selbst eingreifen.
Cheers
certguy
Gerade wieder einen Fall gehabt. PDF sei korrupt und kann deswegen nichts gescannt werden. Ich kann die Datei leider auch nicht prüfen, welche Version die hat, weil sie blockiert wird. In einem Fall vorgestern habe ich beim Absender nachgefragt, welche Software die PDF erstellt hat. Es war Adobe Acrobat. Also mehr Standard geht doch nicht...
Zitat von @Gwaihir:
Gerade wieder einen Fall gehabt. PDF sei korrupt und kann deswegen nichts gescannt werden. Ich kann die Datei leider auch nicht prüfen, welche Version die hat, weil sie blockiert wird.
Dann lass sie dir doch anderweitig zum Download bereit stellen! Das ist doch kein Thema, mal ehrlich ...Gerade wieder einen Fall gehabt. PDF sei korrupt und kann deswegen nichts gescannt werden. Ich kann die Datei leider auch nicht prüfen, welche Version die hat, weil sie blockiert wird.
In einem Fall vorgestern habe ich beim Absender nachgefragt, welche Software die PDF erstellt hat. Es war Adobe Acrobat. Also mehr Standard geht doch nicht...
Ja davon war aber nicht die Rede, sondern von der PDF Version, da gibt's nämlich unterschiedliche Versionen, des weiteren unterschiedliche Kompressionsalgorithmen, und ich meine nicht die Version von Acrobat.Die PDF Version lässt sich über die Dokumenteigenschaften anzeigen.
Ansonsten an den Support von Checkpoint wenden, die haben sicher auch ein Interesse daran das die Filter vernünftig arbeiten.
Wenn nicht, in die Tonne kloppen.
1
Genau so wird es jetzt auch gemacht. Warte gerade auf eine PDF-Datei über unsere Cloud. Da kommt sie ja rein. Schicke die dann an Checkpoint und bin gespannt, wieso sie fehlerhaft sein soll.
Super, wieder was gelernt. Die PDF-Datei von letzter Woche hat die Version 1.3, also über 20 Jahre alt. Dass die Checkpoint sowas nicht mag, kann ich dann verstehen 
Habe jetzt also ein gutes Argument für weitere künftige Tickets...
Habe jetzt also ein gutes Argument für weitere künftige Tickets...