jo.wi 0 Geschrieben 27. September 2016 Melden Teilen Geschrieben 27. September 2016 Hallo zusammen, Ich verfolge momentan folgenden Gedankengang: Zusätzlich zum externen Spamfilter, welcher schon ca. 95% aller Mails abblockt, will ich eine Transportregel in Exchange erstellen um die letzten paar Spam-Mails die gefährliche Scripte in .zip Dateien verstecken abblockt. Eingesetzt wird Exchange 2010. Die Zip-Dateien enthalten meist .js oder .vbs dateien, welche ich aber nicht grundsätzlich aus der ZIP-Datei filtern lassen kann. ZIP-Dateien ansich möchte ich eigentlich auch nicht verbieten. Der Gedanke war nun: Wenn jemand eine ernst gemeinte Mail mit einem ZIP-Anhang schickt sollte die Datei ja schon eine gewisse Größe haben, was gäbe es sonst für einen Grund diese zu packen? .exe oder .bat kann auch einfach umbenannt werden und so durch sämtliche Regeln gejagt werden. ie Gefährlichen Scripte verstecken sich meist in 8-12 kb großen ZIP-Files und leider gibt es trotz wiederholtem Hinweis immernoch User, die diese dann in ihrem Arbeitswahn einfach mal doppelklicken. Nun bin ich auf die Transportregeln gestoßen. Hier habe ich aber nur gefunden "Dateianhänge größer oder gleich" und nicht "kleiner als"... Bin ich Blind oder gibts da noch nen Trick? Ich will also kurz gesagt über eine Transportregel zip-Anhänge die kleiner als 32 kb sind sperren. Alles was gepackt so klein ist braucht auch nicht gepackt werden und versteckt nur eine Datei die nicht gefunden werden soll. Ich bitte hier nicht um Alternativen wie APT-Blocker usw. diese kosten alle Geld (ja ich weiß, muss man manchmal investieren) ich möchte nur wissen ob mein Vorhaben so umsetzbar ist und ob einer eine Idee dazu hat, weil Exchange mir diese Option ja mehr oder weniger evtl. schon mit liefert ohne Geld auszugeben. Besten Dank für Ratschläge, Jörg Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben 27. September 2016 Melden Teilen Geschrieben 27. September 2016 Das produziert in meinen Augen viel Zuviel false positives, als dass man das wirklich so umsetzen wollte. Ich würd mir da eher überlegen generell zip zu blocken, oder per virenscanner bestimmte Dateitypen innerhalb der Zips zu blockieren. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 28. September 2016 Melden Teilen Geschrieben 28. September 2016 (bearbeitet) Kann dem Norbert nur zustimmen. Wir blocken alle zip und Office-Dokumente mit Macros, die gehen für 4 Tage in die Quarantäne. Diese werden von uns bei Bedarf / Anfrage freigegeben. Anfrage auf Freigabe Ist seltener, als man denkt. bearbeitet 28. September 2016 von Nobbyaushb Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.