EX2010: Transportregel zum Abfangen bestimmter Anhänge ... so machbar?

[Andre.Heisig 2]

Moin zusammen,

 

da sich leider immer noch häufiger mal die derzeit umgehenden Makroviren am Virenscanner vorbeischleichen können, wollte ich per Transportregel alle *.docm, *.xlsm, [ergänzbar] an das Adminpostfach zur Sichtung umleiten.

 

Grundsätzlich machbar?
Ist "Wenn Inhalt einer Anlage Wörter enthält" die richtige Bedingung?

 

Ich hab zum Testen grad keins der Macrodinger parat ... :-)

 

Gruß und Danke!

[Nobbyaushb 1.471]

Ich würde die Annehmen aber die Anhänge löschen.

 

Noch besser ist es, die ganze Mail mit Fehlermeldung abzulehnen.

 

Machen wir auf Grund der aktuellen Lage am Gateway, vor dem Exchange.

 

;)

[Andre.Heisig 2]

Hab leider nach dem Exchange-Virenscanner, der die Dinger nicht zuverlässig blockt, nur noch die Option per Exchange. Löschen per Transprtregel ginge wohl, ich würds im ersten Ansatz erstmal an ein Admin-Postfach umleiten, damit man die Bescherung zumindest vorab noch sichten kann.

[Nobbyaushb 1.471]

Aber dann nicht in ein Admin-Postfach, sondern in eine spezielle Mailbox von einem User mit fast keinen Rechten.

 

;)

[NorbertFe 2.035]

Interessanter wäre doch, welchen AV Scanner du einsetzt, bevor du mit Transport-Rules anfängst. Meiner Meinung nach der falsche Weg.

[tcpip 12]

 

Machen wir auf Grund der aktuellen Lage am Gateway, vor dem Exchange.

 

Reddoxx nicht? ;)  Haben wir auch gemacht. War ein riesen Aufschrei bei den Kunden und bei uns intern. :cry:  Hat nicht funktioniert mit dem Zip´n.

 

 

wollte ich per Transportregel alle *.docm, *.xlsm, [ergänzbar]

Auf jeden Fall. Die meisten kommen mit .doc .xls. Die m Varianten gibt es zwar auch schon, bei weiten aber nicht so viele.

 

Gruß

 

tcpip

[Cybquest 36]

oder per GPO nur signierte Makros zulassen?

 

Intern selbst signieren und wenn tatsächlich Externe was mit Makros schicken müssen, diese auffordern, zu signieren.

[Cosi 10]

Die AV Hersteller können leider immer nur reagieren. Wenn ich heute einen Virus schreibe, vergehen 1-5 Tage bevor die erste AV diesen erkennt.

Von daher sollte man nach anderen Lösungen suchen. Vielleicht Software, die Dateien/Programme anhand ihres Hashwertes erlauben oder blockieren.

So etwas gibt es ja heute auch schon.

Auf alle Fälle immer wieder die Mitarbeiter sensibilisieren.

[NorbertFe 2.035]

Man kann aber im AV meist attachments blocken und genau das wäre ja das, was auch per Transportrule läuft. ;)

[monstermania 53]

Moin zusammen,

 

da sich leider immer noch häufiger mal die derzeit umgehenden Makroviren am Virenscanner vorbeischleichen können, wollte ich per Transportregel alle *.docm, *.xlsm, [ergänzbar] an das Adminpostfach zur Sichtung umleiten.

 

Grundsätzlich machbar?

Ist "Wenn Inhalt einer Anlage Wörter enthält" die richtige Bedingung?

 

Ich hab zum Testen grad keins der Macrodinger parat ... :-)

 

Gruß und Danke!

 

Da ja offenbar keiner direkt auf die Frage antworten mag...

 

Ja, ist grundsätzlich problemlos per Transportregel machbar.

Ich würde aber auch nicht unbedingt ein Postfach nehmen, dessen User administrative Rechte hat! ;)

Außerdem würde ich alle diese Mails dann automatisch als 'Junk-Mail' = SCL9 kennzeichnen. Damit die Mails dann zusätzlich noch im Junk-Mail Ordner landen (besondere Rechte).

Bitte beachte die Besonderheiten der MS Bearbeitung von regulären Ausdrücken in den Transportregeln: https://technet.microsoft.com/de-de/library/aa997187(v=exchg.141).aspx

MS verhält sich hier leider nicht Standardkonform.

 

Und ja, wir haben 2 unabhängige AV und Spamfilter hier (UTM und GData Mailgateway). Trotzdem rutscht immer mal wieder eine solche Mail durch und wird erst per Transportregel umgebogen.

Ein grundsätzliches Blocken aller problematischen Anhänge ist gemäß Geschäftsführung nicht gewünscht. Schön, wenn dass bei Euch im Unternehmen anders ist!

bearbeitet 18. Februar 2016 von monstermania

[NorbertFe 2.035]

Weil die Antwort so in der Form einfach eine Sackgasse ist. Und genau deswegen fragt hier fast jeder mal nach, ob es ggf. mit vorhandenen Mitteln (die nicht beantwortete Frage nach dem Hersteller ist natürlich hinderlich) ein sinnvollerer Weg besteht. Aber ne alles gut. ;)

 

Bye

Norbert

[Andre.Heisig 2]

Moin @ all,

 

danke fürs Feedback & ruhig Blut ...

 

Eingesetztes AV-Produkt ist die Avira SBE auf einem SBS 2011. Ich hab im Exchange-Modul der Avira SBE nur die Möglichkeit, in einer Reihe vorgegebener Anhangs-Extensions bestimmte Reaktionen zu setzen, doc(m) und und xls(m) sind da leider nicht bei, und lassen sich auch (vom Support bestätigt) nicht hinzufügen.

 

Das ein Virenscanner möglichen Viren grundlegend "hinterherrennt", ist mir durchaus klar, ich wollte auch kein Produkt-Bashing anstossen, sondern eine die vorhandene Avira-Lösung flankierende Möglichkeit haben, die aktuell sehr pestigen Word-Mails zu blocken. Mir fiel in der Konstellation Avira SBE - SBS2011/Exc2010 - Client/Avira Pro keine andere, zentral verwaltbare Möglichkeit ein, als per Exchange Transportregel.

 

Es ist eine Krücke, ab und an geht ja durchaus mal ein harmloses Word-Dokument per Mail rum, allerdings ist die Nichterkenn-Quote der Avira SBE - bezogen auf den Word-Makro-Mist - aktuell recht hoch. Als Spam geflaggt werden sie zumeist noch, empfundene 50% kassiert aber der Virenscanner nicht ein. Das sind aktuell halt schon mal 2stellige Anzahl an Mails beim Emfänger.

[RalphT 15]

Hallo,

 

was fürn Zufall. Habe hier einen Exchange 2010 und wollte dort eine Transportregel entsprechend erstellen. Ich habe die Bedingung "wenn der Inhalt einer Anlage Textmustern entspricht" ausgewählt und als Wert ".doc oder .zip oder .rar" eingestellt. Das ist jetzt nur ein Beispiel um das zu testen.

Bei einem ZIP-Anhang funktioniert die Regel. Bei doc, docx, rar und dot funktioniert diese Regel nicht.

 

Ich sehe hier momentan keinen Zusammenhang, warum hier gerade ZIP und der Rest nicht funktioniert.

 

Warum funktionieren die anderen Endungen nicht?

bearbeitet 18. Februar 2016 von RalphT

[monstermania 53]

Bei einem ZIP-Anhang funktioniert die Regel. Bei doc, docx, rar und dot funktioniert diese Regel nicht.

 

Ich sehe hier momentan keinen Zusammenhang, warum hier gerade ZIP und der Rest nicht funktioniert.

Setz mal ein '$'-Zeichen hinter die Dateiendeungen (.zip$, .doc$, .docx$, usw.).

Dann klappt das auch.

[RalphT 15]

Setz mal ein '$'-Zeichen hinter die Dateiendeungen (.zip$, .doc$, .docx$, usw.).

Dann klappt das auch.

 

So, habe das heute morgen gleich mal abgeändert. Funktioniert leider auch nicht. :confused:  Jetzt funktioniert auch die Endung ZIP nicht mehr. Habe auch die Regel entfernt und wieder neu angelegt, aber das wars nicht.

Wie gesagt als Regelbedingung habe ich "wenn der Inhalt einer Anlage Textmustern entspricht" ausgewählt.