Marco31 33 Geschrieben 4. Februar 2020 Melden Teilen Geschrieben 4. Februar 2020 Hallo Forum, ich habe mich die letzten Tage mit dem Einrichten des Attachment Blocking bei externen Mails auf unserem Exchange 2016 (mit Trendmicro SMEX14) beschäftigt. Die üblichen Verdächtigen habe ich gesperrt - ausführbare Dateien, PDF mit Javascript, Office-Dokumente mit Makro. Da bisher alle .doc, docx, xls, xlsx etc. durchgegangen sind, möchte ich das natürlich im Hinblick auf die Sicherheit optimieren. Die Empfehlung lautet ja auch, die "alten" Office-Formate zu blocken, .doc, .xls etc. Das habe ich auch umgesetzt. Jetzt ist aber die letzte Frage die ich mir stelle: Kann ich die Formate .docx und .xlsx freigeben? Welche Gefahren können hier lauern und wie wird das in eurer Umgebung gehandhabt? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 4. Februar 2020 Melden Teilen Geschrieben 4. Februar 2020 Wir blockieren gemäß der Vorgabe an uns (KRITIS) alle Office-Dokumente, auch Open-Office Da wir das am Gateway machen, können solche Mails bei Bedarf durchgelassen werden. Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 4. Februar 2020 Melden Teilen Geschrieben 4. Februar 2020 Die Trennung in docx und docm war eine gute Idee von Microsoft. Doch leider kann man in docx auch ausführbare Inhalte einbinden: als OLE-Objekt. Dieses wird zwar erst bei Doppelklick und nach einer Warnung ausgeführt, aber man weiss ja, wie die User sind... Man kann per Policy die Ausführung aber auch generell deaktivieren. Dann sollte docx soweit ich weiss sicher sein. (Bis auf enthaltene Links, aber die kann ein PDF ja auch enthalten.) Schön wäre es, wenn der Filter die Anhänge in PDF-Dateien umwandeln würde. Aber diese Funktion habe ich erst bei Office 365 ATP gesehen. Zitieren Link zu diesem Kommentar
Orangenjunge 2 Geschrieben 5. Februar 2020 Melden Teilen Geschrieben 5. Februar 2020 (bearbeitet) Wir setzen iQ.Suite Convert ein (https://www.gbs.com/de/email-sicherheit/convert). Damit können wir beliebige Dateianhänge in PDF umwandeln und einiges an Bedrohungspotenzial rausnehmen. Somit kommen z. B. Makros gar nicht beim Empfänger an. Funktioniert auch beim Versand von E-Mails ... Viele Grüße, Marc bearbeitet 5. Februar 2020 von Orangenjunge Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 5. Februar 2020 Melden Teilen Geschrieben 5. Februar 2020 Da ich das auf die SChnelle nicht rauslesen konnte. Wo genau läuft das dann? Vor dem Mailserver auf dem Mailserver? Zitieren Link zu diesem Kommentar
Orangenjunge 2 Geschrieben 5. Februar 2020 Melden Teilen Geschrieben 5. Februar 2020 Wenn ich mich recht erinnere, gehen beide Varianten. Davorgeschaltet als eigener Gateway oder auch direkt auf dem Mailserver. Bei uns läuft er als eigener Gateway vorne dran ... Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 5. Februar 2020 Melden Teilen Geschrieben 5. Februar 2020 (bearbeitet) Danke. Die Webseite ist irgendwie "umständlich" :) Noch eine Frage: Geht das für ein-/ausgehende Mails getrennt zu konfigurieren? Also bspw. ausgehend "normal" und eingehende Dokumente konvertieren nach pdf? bearbeitet 5. Februar 2020 von NorbertFe Zitieren Link zu diesem Kommentar
Orangenjunge 2 Geschrieben 5. Februar 2020 Melden Teilen Geschrieben 5. Februar 2020 (bearbeitet) Wenn ich das richtig weiß, können ein-/ausgehende E-Mails getrennt konfiguriert werden. Auch können bei ausgehenden E-Mails interne und externe Empfänger getrennt behandelt werden. Weiteres ist auch beispielhaft der PDF https://www.gbs.com/de/dokumentation/iqsuite?file=files/dokumentation/msx/iQ.Suite 18.1 Installation und Administration.pdf ab Kapitel 14 zu entnehmen. Genaueres müsste ich bei unseren Admin erfragen ;) bearbeitet 5. Februar 2020 von Orangenjunge Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 5. Februar 2020 Melden Teilen Geschrieben 5. Februar 2020 Alles klar. Schau ich mir bei Gelegenheit mal an. :) Dankeschön Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 6. Februar 2020 Melden Teilen Geschrieben 6. Februar 2020 Neulich erlebt, die Office-Extensions sind alle blockiert, kommt eine rtf rein, ist aber nur mit der Extension rtf versehen und in Wirklichkeit eine docm, Word erkennt dies selbständig und führt die Datei als docm aus. Welche "sicheren" Dateitypen bleiben uns denn noch? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 6. Februar 2020 Melden Teilen Geschrieben 6. Februar 2020 Die Frage ist, warum kommt eigentlich Makro aktivierter Mist bei dir durch den Spam/Virenfilter? Das zu blocken, sollte inzwischen eigentlich in fast allen Produkten möglich sein. Zitieren Link zu diesem Kommentar
Squire 261 Geschrieben 7. Februar 2020 Melden Teilen Geschrieben 7. Februar 2020 (bearbeitet) ja, aber leider im Geschäftsbetrieb nicht immer möglich ... was mich noch mehr nervt, sind irgendwelche Systeme, die heute noch xls Dateien generieren und zu Bestellabwicklungen notwendig sind. Ich würde den Schrott am liebsten sofort sperren, aber da laufen dann Vertrieb und Einkauf Amok bearbeitet 7. Februar 2020 von Squire 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 8. Februar 2020 Melden Teilen Geschrieben 8. Februar 2020 Ergänzend zu den bisherigen Tipps und so weiter, schaue dir mal die NoSpamProxy Suite von Netatwork an Wir werden diese demnächst vor unseren Reddoxx stellen https://www.nospamproxy.de/de/download Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 8. Februar 2020 Melden Teilen Geschrieben 8. Februar 2020 (bearbeitet) vor 17 Stunden schrieb Squire: ja, aber leider im Geschäftsbetrieb nicht immer möglich ... Gleiches in den Kommunal- und Landesverwaltungsnetzen, die über eine zentrale Mailbackbone angebunden sind: Seit über einem Jahr werden aus Sicherheitsgründen alle E-Mails mit alten Office-Formaten (eingehend) komplett (!) abgewiesen, was für den / die betroffenen Bürger da draußen nicht unbedingt sofort nachvollziehbar ist ... Man glaubt es kaum, wie viel alte Office-Instanzen da draußen noch am Start sind... :-( Von dem her bin ich aus Admin-Sicht fast schon ein bisschen dankbar, dass mit dem Support-Ende von Windows 7 und dem damit einhergehenden Wechsel (hoffentlich) die eine oder andere alte Office-Version verschwinden dürfte. Der SMEX ist im Übrigen echt ein gutes Produkt! Wir haben Ende letzten Jahres netzwerkweit zu ESET gewechselt - und die ESET Mail Security für Exchange ist da vergleichsweise lang nicht so komfortabel konfigurierbar. Auch wir haben uns durch den jüngsten Produktwechsel mit den Mail-Anhängen befasst und blockieren zusätzlich Dateitypen, die unserem klassischen Geschäftsfeld nichts zu tun haben (Videodateien). Damit zur Eingangsfrage: Zitat etzt ist aber die letzte Frage die ich mir stelle: Kann ich die Formate .docx und .xlsx freigeben? Welche Gefahren können hier lauern und wie wird das in eurer Umgebung gehandhabt? Alternativ könnte man darüber nachdenken, die Dokumente zwar durchzulassen, aber in den Junk-Mail-Ordner zu verschieben (Verschieben von eingehenden E-Mails in die Junk-Mails hatte mit SMEX funktioniert). Hätte den Vorteil, dass die User grundsätzlich sensibilisiert sind, wenn sie für's öffnen der E-Mails in den Junk-Mail-Ordner schauen "müssen". Eine Alternative könnte zusätzlich sein, dass man E-Mails mit riskanten Anhängen auch in eine vorgelagerte Quarantäne umleitet. Man erkennt ja meist am Absender bzw. am Betreff, ob die jeweilige E-Mail seriös sein könnte - und gibt diese E-Mails dann später frei (...oder eben auch nicht). Ist halt mit einem zusätzlichen Administrationsaufwand verbunden.... Just my 2 cent's. bearbeitet 8. Februar 2020 von Shao-Lee Änderungsgrund: ...Tippfehler bereinigt. Zitieren Link zu diesem Kommentar
Marco31 33 Geschrieben 9. Februar 2020 Autor Melden Teilen Geschrieben 9. Februar 2020 vor 22 Stunden schrieb Shao-Lee: Eine Alternative könnte zusätzlich sein, dass man E-Mails mit riskanten Anhängen auch in eine vorgelagerte Quarantäne umleitet. Man erkennt ja meist am Absender bzw. am Betreff, ob die jeweilige E-Mail seriös sein könnte - und gibt diese E-Mails dann später frei (...oder eben auch nicht). Ist halt mit einem zusätzlichen Administrationsaufwand verbunden.... Gerade hier liegt ein Problem - man erkennt nicht mehr am Absender bzw am Betreff ob die Mail seriös ist. Sonst könnte man ja "seriöse" Absender in eine Whitelist einpflegen. Grundsätzlich muss man mittlerweile ja grundsätzlich jeder Email mit Links und/oder Dateianhängen misstrauen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.