Jump to content

O365: Anhänge in Quarantäne, Nachricht zustellen möglich?

acesulfam

Von acesulfam
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

acesulfam Fellow

acesulfam   10

Geschrieben
Geschrieben

Hi,

 

ich bereite gerade den Umstieg vom SBS2011 (mit Trend Micro Worry-Free Business Advanced) auf Server 2019 + Office365 vor.

 

Dabei stehe icht jetzt gerade vor den Räsel wie ich folgendes Verhalten "nachgebaut" bekommen soll:

Alle Emails mit Anhängen werden prinzipiell zugestellt. ABER: entspricht ein Anhang nicht der Whitelist (z. Bsp. .jpg;.pdf) oder enthält Schadsoftware wird diese Datei in Quarantäne verschoben und kann nachträglich zugesendet/freigegeben werden. Die Nachricht ansich und unkritische Anhänge werden also zugestellt. Der Empfänger bekommt statt des ursprünglichen Anhangs eine .txt mit den Hinweis, dass etwas gelöscht wurde.

 

In Office365/ Exchange Admin Center habe ich zur Verfügung:

1) Schadsoftwarefilter. Setzt die gesamt Nachricht in Qurantäne und ist limitiert auf die vorgebenenen Dateianhangstypen. Die Liste der Dateitypen mir die von Outlook zu sein.

2) Nachrichtenflussregeln. Dort finde ich aber auch keine Option nur den Anhang in Qurantäne zu verschieben. Dazu erscheint mir die Konfiguration sehr kompliziert und damit fehleranfällig.

https://docs.microsoft.com/de-de/exchange/security-and-compliance/mail-flow-rules/inspect-message-attachments

https://docs.microsoft.com/de-de/exchange/security-and-compliance/mail-flow-rules/common-attachment-blocking-scenarios

 

Könnt ihr mir auf die Sprünge helfen?

 

Vielen Dank

aces

 

 

Link zu diesem Kommentar
acesulfam Fellow

acesulfam   10

Geschrieben
  • Autor
Geschrieben

Hi,

 

warum schräg?

Bislang war es mir unbekannt, aber MS scheint in Azure/Office 365 ja jede Menge Schnittstellen bereit zu stellen. Sie bieten sogar einen gut gefüllten Shop für solche Produkte an:

https://azuremarketplace.microsoft.com/en-us

 

Hier der betreffende Teil der Anleitung von Trend Micro Worry-free Businees Advanced (on-premise):

https://docs.trendmicro.com/de-de/smb/worry-free-business-security-100-service-pack-1-server-help/managing-basic-secur_003/attachment-blocking/configuring-attachme.aspx

Es funktioniert wirklich einfach. Dadurch, dass die Nachricht ansich direkt zugestellt wird halten sich die Nachfragen der User extrem im Rahmen. Zugleich treffen sie eine Vorauswahl, denn fehlende Anhänge müssen aktiv bei mir angefordert werden. Und man muss Kunden nicht "zumuten" korrekte Dateitypen zusenden.

Das Office 365 kompatible Produkt bei Trend Micro heißt wohl "Hosted Email Security" (Teil der Worry-Free Services Advanced)
In der dortigen Anleitung finde ich spontan leider keine Entsprechung. Das werde ich wohl um eine weitere Testinstallation nicht drumherum kommen.

https://docs.trendmicro.com/de-de/enterprise/hosted-email-security-administrator-guide/configuring-policies.aspx

 

mfg

aces

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.032

Geschrieben
Geschrieben
vor 4 Minuten schrieb acesulfam:

warum schräg?

Weil ich in die Cloud wechsle und den lokalen MX behalte (zumindest bei obigem erwähnten Produkt handelt es sich afaik nicht um einen cloudservice, sondern einen on premise MTA), und das ist zwar möglich und von MS auch so beschrieben, aber logischerweise mit dem Hinweis "empfohlen" ist es, direkt bei MS den MX zu haben.

https://docs.microsoft.com/de-de/exchange/transport-routing

 

Dass es cloudlösungen gibt, is mir auch klar. Evtl. einen Blick wert: https://www.hornetsecurity.com/de/services/365-total-protection/

Link zu diesem Kommentar
acesulfam Fellow

acesulfam   10

Geschrieben
  • Autor
Geschrieben

Hi,

 

ich glaube da kam was durcheinander. Ist bei der vor Marketing-Bla-Bla überquellenden Website und der Namensgebung der Produkte auch kein Wunder.

 

1) Das "alte" Worry-free (Business) Advanced

Installation der Verwaltung on-premise. Es gibt normale Suchagents für Server & Clients, dazu einen extra Agent für einen on-premise Exchange.

 

2) Das "neue" Worry-Free Services Advanced

Die Verwaltung liegt in der Cloud bei Trend-Micro (SaaS). Die Suchagents für Server, Clients und ggfs. on-premise Exchange werden lokal installiert. Bis auf den Ort der Verwaltung entspricht es somit dem "alten". Auf einen on-premise Exchange kannt verzichtet werden:

Zusätzlich ist das Produkt "Hosted Email Security" mit enthalten, das sich bei Office365/Azure einklinkt. Die Verwaltung scheint über ein von Worry-Free getrenntes, bei Trend Micro gehostetes, System zu laufen.

Nu weiß ich noch nicht ob mein gewünschtes Verhalten für das Blockieren von Anhängen darüber möglich ist.

 

 

mfg

aces

Link zu diesem Kommentar
Gu4rdi4n Mentor

Gu4rdi4n   58

Geschrieben
Geschrieben (bearbeitet)

Ich stelle mir dein Vorhaben etwas kritisch vor.

 

Denn wäre bei deiner Wunschkonfig nicht jede Spam mail, die auch Phishing Links enthalten kann, dann im Postfach des Users?

In der Regel sind Mails, die gefiltert werden eben Schadhaft.

 

Hast du Absender, die dir regelmäßig verdächtige, aber legitime Anhänge schicken?

Dann wäre es sinnvoller den Absender auf die Whitelist zu setzen, als generell jeglichen Müll durchzulassen

bearbeitet von Gu4rdi4n
Link zu diesem Kommentar
MrCocktail Veteran

MrCocktail   192

Geschrieben
Geschrieben

Hi,

 

und vielleicht ist es auch einfach an der Zeit, noch einmal über bestimmte Dinge nachzudenken... Nicht alles was geht, und in der Vergangenheit gemacht wurde, ist sinnvoll.

 

Wobei für ein paar Kunden haben wir tatäschlich auch nach der Migration in die Cloud OnPremise Gateways im Einsatz, dieses hängt aber eher mit den Limits von Exchange Online zusammen, als mit den nichtvertrauen in die Cloud.

 

Gruß

J

Link zu diesem Kommentar
acesulfam Fellow

acesulfam   10

Geschrieben
  • Autor
Geschrieben

Hi,

 

das Sperren von Anhängen passiert ja nicht anstatt, sondern zusätzlich zu den Spam, Viren, etc. Filtern die laufen.

Es ist nur die erste Hürde. Da die Regel auch für ausgehende und interne Email gilt kann ich so auch ein wenig ausschließen, dass offene Dateien unser Haus auf diesem Weg verlassen. Von der Regel sind nur Bilddateien und .pdfs ausgenommen.

 

Eine Whitelist für vermeintlich vertrauenswürdige Absender halte ich für sehr problematisch. Die besten Versuche kamen bislang von Adressen die auf der Whitelist gestanden hätten und damit womöglich auch durch die anderen Filter gerutscht wären.

Das komplette Blockieren oder unter Quarantäne stellen will ich unbedingt vermeiden, dann wird der Verwaltungsaufwand zu groß. Wir bekommen viele Emails von Kunden die Fotos oder Anschreiben gerne in .zip oder .doc übersenden. Aus Servicesicht also b***d. Auch viele unserer Lieferanten verschicken Preislisten und manche sogar noch Rechnungen/Lieferscheine als Office-Dokumente.
Dadurch, dass die eigentliche Nachricht ohne Anhang zugestellt wird "trainiere" ich unsere Mitarbeiter und die ihre die regelmäßigen Kontakte von selbst. Für die Freigabe der sonstigen Emails verwende ich keine 10 Minuten in der Woche.

Ob das irgendwie noch on-premise oder nur cloudbasiert passiert ist mir herzlich egal. Office 365 kann halt nur die Emails nicht wie gewünscht vorfiltern und ich muss ein weiteres Produkt lizenzieren und warten - so ich den eines finde :)

 

mfg

aces

Link zu diesem Kommentar
MrCocktail Veteran

MrCocktail   192

Geschrieben
Geschrieben

Schau dir mal NoSpamProxy an, dieses kann Worddateien direkt während des Transportes in PDF Dateien wandeln und speichert die Word Datei dann weg.

vor 8 Minuten schrieb NorbertFe:

Manchmal sind eben andere Dinge notwendig, als die von Microsoft bereitgestellten. Ja, das soll tatsächlich in der realen Welt vorkommen. ;)

Korrekt :-)

Wir haben dummerweise Kunden die bekommen deutlich mehr als 3.600 Mails je Stunde je Empfänger .... Allerdings sind das auch keine Menschen, die sich da unterhalten

Link zu diesem Kommentar
acesulfam Fellow

acesulfam   10

Geschrieben
  • Autor
Geschrieben

Hi,

 

nach eine  Gespräch mit dem Vertrieb/Support von Trend Micro kann ich folgendes berichten:

 

1) Worry-Free Services Advanced besteht aus diesen Teilprodukten:

  • Worry-Free Services: Virenscanner für Clients/Server. Administriert über eine Cloudlösung.
  • Hosted Email Security: Ein virtueller Gateway der zwischen O365 und den Clients sitzt. Emails werden also umgeleitet.

  • Trend Micro Email Security: Ähnlich bzw. der Nochfolger von Hosted Email Security

  • Cloud App Security (for Office 365): Dockt per API direkt in O365/Azure an

2) Cloud App Security verfügt wohl über die gewünschten Funktion:

https://docs.trendmicro.com/en-us/enterprise/cloud-app-security-online-help/advanced-threat-prot_003/adding-atp-policies/file-blocking.aspx

 

 

mfg

aces

 

 

Link zu diesem Kommentar
jreckzigel Fellow

jreckzigel   10

Geschrieben
Geschrieben

Hallo!

 

Du kannst in Office 365 - Exchange Online - eine Nachrichtenflussregel definieren, welche bei Vorhandensein eines unerwünschten Mailanhangs die Nachricht in Quarantäne umleitet.

Du kannst den Empfänger darüber benachrichtigen und im Benachrichtigungsfeld mittels HTML-Tags zusätzliche Informationen übermitteln.

 

%%From%%

%%To%%

%%Cc%%

%%Subject%%

%%MessageDate%%

 

mfg Jochen

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...