Jump to content

Spamfilter für Exchange-Online (was taugt?)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Abend,

 

ich werde wohl den lokalen Exchange nach Exchange-Online umziehen. Derzeit nutze ich einen Spamassassin mit vielen selber gebastelten Regeln und die Funktionen der Sophos UTM. Das funktioniert ziemlich gut. Bei Exchange-Online ist EOP standardmäßig aktiv und es kann das Microsoft ATP dazugekauft werden. Aber taugt EOP auch was?

 

Ich habe mir jetzt die Doku von Microsoft EOP und ATP angeschaut und bin der Meinung, dass das unzureichend bis unbequem ist. Hat da jemand Erfahrung ob Microsoft da einen so guten Job macht, dass ich nichts anderes benötige?

 

Ich spiele mit dem Gedanken einen NoSpamProxy davor zu setzen. Auf den ersten Blick gefällt mit gar nicht, dass es keine Quarantäne gibt, aber beim weiteren Nachdenken sollte das gar nicht so schlecht sein. Quarantäne ist ja doch ziemlich ätzend. Der User soll nicht und ich will nicht ständig die Quarantäne beobachten.

 

Also, nutzt jemand Exchange-Online ohne eine zusätzliches Tool um Spam zu filtern und ist völlig zufrieden damit?

 

Danke für eure Meinungen.

 

P.S.

Ich will es auch nicht ausprobieren, weil eine durchgerutschte Email die hätte blockiert werden können, könnte ziemlich blöde Folgen haben.

Link zu diesem Kommentar
vor 5 Minuten schrieb wznutzer:

Aber taugt EOP auch was?

Versuch macht kluch. So schlecht wirds nicht sein, aber wer vorher mit seinem eigenen Filter fast alles regeln konnte wird logischerweise mit einem Hosted Spam service meist weniger flexibel sein. Alternativ lass halt den mx bei dir und nutze ihn einfach weiter. ;)

vor 7 Minuten schrieb wznutzer:

dass es keine Quarantäne gibt

Das ist doch eindeutig ein Pluspunkt. :)

vor 7 Minuten schrieb wznutzer:

ist völlig zufrieden damit?

Haha kommt ja wohl auf die Ansprüche an. Ich hab einige Kunden mit Cisco esa vor o365. Da kann man zwar sehr viel, aber man sieht auch viele Probleme technischer bzw. Protokolltechnischer Natur. Wie gesagt, stell dir im Zweifel das davor, was dir am ehesten zusagt. Aber man kann natürlich auch mal das o365 eigene System testen.

Link zu diesem Kommentar

Der MX liegt derzeit auf einem hMailServer mit SpamAssassin. Der hMail leitet dann an den lokalen Exchange weiter und dazwischen ist dann Sophos. Das hätte ich gerne weg. Aber klar, würde gehen.

 

Testen? Da bekomme ich Bluthochdruck. Wenn da was durchrutscht? Meine User klicken leider auf alles was nicht bei drei auf dem Baum ist. Am ehesten sagt mir die Strategie doppelt und dreifach zu. Aber ich schaue halt auch immer, dass ich keine Ausgaben generiere die unnötig sind.

 

NoSpamProxy soll gar nicht schlecht sein. Redoxx soll auch nicht schlecht sein, aber dieses CISS? Wie sollen denn da automatisierte Emails jemals wieder empfangen werden?

Link zu diesem Kommentar

Die meisten meiner Kunden nutzen nur den Filter von Exchange Online. Der funktioniert sehr gut, es rutscht wenig durch und es gibt sehr selten False Positives. Microsoft hat den Vorteil, durch die Menge empfangener E-Mails Anomalien schnell feststellen zu können. Sie können dann auch rückwirkend E-Mails aus Postfächern löschen.

 

Durchrutschen wird überall etwas. Ich habe kürzlich für einen Kunden eine Phishing-Kampagne gefahren. Ganz simpel, gültige Domain mit SPF, Name vom Geschäftsführer und dessen Signatur, Text sinngemäss „wegen eventueller Umstellung zurück ins Homeoffice bitte hier klicken und Zugangsdaten eingeben“. Fazit: 80% haben den Link geklickt und 30% ihre Zugangsdaten eingegeben… Gegen zielgerichtete Kampagnen ist wohl jeder Filter ziemlich machtlos.

Link zu diesem Kommentar
vor 10 Minuten schrieb mwiederkehr:

Microsoft hat den Vorteil, durch die Menge empfangener E-Mails Anomalien schnell feststellen zu können.

Naja mein spamfilter sagt, dass diverse % von ms Konten versendet werden. ;) jede Menge Hotmail und Outlook Spam. Das wird intern in o365 vermutlich nur bedingt wirklich anders aussehen. Aber ansonsten würde ich deine Einschätzung teilen.

 

vor 12 Minuten schrieb mwiederkehr:

Fazit: 80% haben den Link geklickt und 30% ihre Zugangsdaten eingegeben


die Werte sehe ich in der Form auch immer wieder. Dazu gabs auf der ccc vor einiger Zeit mal nen interessanten Vortrag. ;)

https://media.ccc.de/v/36c3-11175-hirne_hacken#t=1696

Link zu diesem Kommentar

Danke für den Link! Hätte in einem MCSE-Forum nicht mit Kennern des CCC gerechnet. :D

 

Die hohe Quote hat mich sehr überrascht. Ich hätte mit max. 10% gerechnet, zumal alles Ingenieure waren, die zudem ein IT-Reglement unterschrieben haben. Ist schon krass, kurz eine E-Mail zusammenstellen und schon hat man Zugriff auf die E-Mail-Konten von jedem dritten Mitarbeiter.

 

An dem Fall sieht man, dass MFA nicht nur wegen schlechten Passwörtern eine gute Idee ist, sondern auch wegen unvorsichtigen Benutzern.

Link zu diesem Kommentar

Im it Systemhaus sieht die Quote nicht wirklich anders aus ;)

vor 17 Minuten schrieb mwiederkehr:

An dem Fall sieht man, dass MFA nicht nur wegen schlechten Passwörtern eine gute Idee ist, sondern auch wegen unvorsichtigen Benutzern.

Hilft trotzdem nicht, weil man vermutlich nie alle Services damit abdeckt und zweitens Angriffe ja auch von intern initiiert werden (nein nicht nur der böse Mitarbeiter) ;) aber ja mfa ist auf jeden Fall mehr als nix.

Link zu diesem Kommentar
vor 3 Stunden schrieb mwiederkehr:

Die meisten meiner Kunden nutzen nur den Filter von Exchange Online. Der funktioniert sehr gut, es rutscht wenig durch und es gibt sehr selten False Positives. Microsoft hat den Vorteil, durch die Menge empfangener E-Mails Anomalien schnell feststellen zu können. Sie können dann auch rückwirkend E-Mails aus Postfächern löschen.

 

Durchrutschen wird überall etwas. Ich habe kürzlich für einen Kunden eine Phishing-Kampagne gefahren. Ganz simpel, gültige Domain mit SPF, Name vom Geschäftsführer und dessen Signatur, Text sinngemäss „wegen eventueller Umstellung zurück ins Homeoffice bitte hier klicken und Zugangsdaten eingeben“. Fazit: 80% haben den Link geklickt und 30% ihre Zugangsdaten eingegeben… Gegen zielgerichtete Kampagnen ist wohl jeder Filter ziemlich machtlos.

Das Thema "Chef" schreibt an Buchhaltung und fordert zu einer Überweisung auf, hatte ich auch schon einuge Male.

In meinen Augen ist es eine gute Lösung, dass der echte Chef eine Email-Signatur bekommt und seine Mitarbeiter darüber informieert werden, dass nur Mails mit dieser Signatur als echt zu bewerten sind.

Das mag nicht 100%ig sein, aber ein Buchhalter sollte in der Lage sein, das zu beherzigen ;-)

 

Link zu diesem Kommentar
vor 44 Minuten schrieb NorbertFe:

Ach da gibts dann wieder "Kann grad nicht telefonieren und komme nicht an mein Notebook zum Signieren. Betrachten Sie das Anliegen als hyperdringend und fragen Sie nicht". ;)

ich sag ja: nicht 100%ig. Aber 100 Prozent heißt eben: Nehmen Sie Anweisungen dieser Art nur entgegen, wenn ich sie Ihnen in schriftform persönlich übergebe ;-)

Hat früher so auch funktioniert :-)

 

Link zu diesem Kommentar

Ich hatte dieses Thema neulich mal live in Action gesehen, wie die spearphishings vorbereitet wurden. Ist nur deswegen aufgefallen, weil der originale Absender (intern) nen Haufen ndrs bekommen hat, weil die dmarc Policy der kundedomain auf reject stand. Ansonsten wären diese Versuche zumindest im junkfolder der internen Empfänger gelandet. War dann der Grund endlich mal den backscatterfilter zu aktivieren. 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...