Jump to content

Ransomware: Euer Umgang damit


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Okay, das trifft jetzt zwar nicht direkt nur Exchange, aber ich denke das könnte ganz interessant sein, auch als kleine Anregung.

Hintergrund:

Seit Februar/März diesen Jahres ist ja massiv Ransomware aller Art per Mail im Umlauf.

Ich persönlich habe bei uns am ersten Tag wo sowas auf unserem Mailserver (Exchange 2013) aufgeschlagen ist reagiert, und umgehend diverse Filterregeln mit unserer AV-Lösung am Mailserver (Sophos) gebastelt, und auch die Ausführung von Office-Makros stark beschnitten per GPO.

Fazit: Kein einziges Problem damit, der Mist kommt gar nicht durch bis zum Client.

Aktuell laufen alle Mails die gewisse Kriterien aufweisen in eine Quarantäne, welche von uns in der EDV mehrfach täglich durchgesehen werden, ob nicht doch "richtige" Mails drin gelandet sind.

Läßt sich leider nicht vermeiden, zumindest habe ich bisher keinen Weg gefunden das zu lösen.

Und genau da liegt mein aktuelles Problem. Den Aufwand eine Quarantäne durchzusehen, würde ich gerne vermeiden.

Wie handhabt ihr das?

Für ein paar Anregungen wäre ich dankbar.

Link zu diesem Kommentar

Moin,

 

bei uns werden die Empfänger benachrichtigt, dass eine an sie gerichtete Mail aus diesem oder jenem Grund (Häufigster Grund: Ausführbare Inhalte ;) ) in Quarantäne gelandet ist.

Wird die Mail vom Anwender als wichtig erachtet, können sie sich ans Helldesk wenden. Nur dann wird die Mail manuell geprüft.

Ihr habt ein Helldesk - cool :cool: ;)

 

Spaß beiseite - machen wir genauso, bei uns der Reddoxx.

Allerdings das Helpdesk :)

bearbeitet von Nobbyaushb
Link zu diesem Kommentar

Reject und für ne Whitelist eine Quarantäne für bestimmte Formate (z.B. alte Office Dokumente).

 

Ausführbare Dateien, Makros, htm, Office 2003 usw. gehören erst garnicht rein und haben in der heutigen Zeit nix mehr verloren - Auch bei Großbanken.

 

Wie habt ihr das gelöst?

Wir haben ne Gateprotect Firewall, die leider nur Black/Whitelists auf Mailadressebene od. Domain/IP-Adresse kann.

Das ist schon mal mein erstes Problem. Da wird man mit der Pflege irre, bzw. ist eigentlich nicht zu machen.

Die GP kann leider auch nur Spam signaturbasiert markieren, mehr nicht.

Somit läuft das bei mir aktuell folgendermaßen:

GP markiert Spam, nimmt aber erst mal alles was an eine wirklich existierene Mailadresse geht an.

Das geht dann weiter zu Sophos PureMessage, wo es auf Viren gecheckt wird, und eben bestimmt Anhänge in Quarantäne gehen.

Funktioniert zwar gut, aber letzteres ist bei der aktuellen Masse genau mein Problem.

Bestimmte Anhänge generell gar nicht anzunehmen ist völlig unmöglich, da wir Anfragen in nahezu jedem auch nur halbwegs sinnvollen Format bekommen. Und die sollten halt (bereinigt vom Müll) ins Postfach der entsprechenden Nutzer.

bearbeitet von scirocco790
Link zu diesem Kommentar

Das man das nicht ganz 100% in den Griff bekommt ist klar.

Mir ist nur der Aufwand bei der aktuellen Welle an Ransomware mal wieder ein Dorn im Auge.

Zum Thema Spamfilter: Bis vor einem dreiviertel Jahr, als das mit der Ransomware so richtig los ging, war das nie ein großes Problem.

Die GP hat markiert, und dann ists nach Virencheck in den Benutzerpostfächern in den JunkMailordner gelaufen.

Das hat bis zu diesem Zeitpunkt tadellos funktioniert.

Mails die versehentlich als Spam markiert wurden, konnte der Benutzer selbst aus dem Junkmail ziehen, fertig.

Link zu diesem Kommentar

Wir haben Eset Mailsecurity im Einsatz und diverse Dnsbl noch ergänzt. Spam und Viren werden vorab rejected.

Danach laufen diverse Regeln durch.

 

 

1. Spoofing löschen

2. Interne Mails bypass

3. ausführbare und kritische Erweiterungen rejecten

4. Bypass für bestimmte sende Domains- Whitelist (Blockierung kritischer Erweiterungen reduziert)

5. Rejecten von Office 2003 Erweiterungen und weiteren kritischen Erweiterungen

6.sämtliche Emails mit Virenerkennung rejecten ( auch bereinigt)

 

Funktioniert wirklich gut.

Link zu diesem Kommentar

Ich brauche keinen Spam in den Junkfoldern, der eindeutig vorher bereits als Spam markiert werden kann. Dann kann ich ihn auch ablehnen. Aber das mag der eine, und der andere bin ich. ;) Trotzdem wirst du eben mit deiner GP nicht wirklich weiter springen können, wenn die nicht nachlegen. Ich würde mir da einfach mal Alternativen anschauen. Gibt's ja wirklich genug.

Link zu diesem Kommentar

@blub:

Ja, das ist auch noch ein Problem, aber ein anderes. :-)

Hab ich auch schon einige male gesehen, aber ist sehr, sehr selten.

Da greift unsere Antivirenlösung, das blocken von Makros etc.

Klappt bisher ganz gut.

Mir geht es aktuell hier hauptsächlich um den Aufwand die Quarantäne zu pflegen, bzw. evtl. Wege das zu vermeiden.

 

@NorbertFE:

Hast schon recht, aber das Problem ist, das 99% der User einfach zu unbedarft (um nicht zu sagen bescheuert) sind.

Ich hab auch die wunderbare Aufgabenstellung das alles völlig problemlos funktionieren soll, aber natürlich total sicher, und das ohne Einschränkungen des Bedienkomforts.

... denke Du verstehst was ich meine. ;-)

bearbeitet von scirocco790
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...