Jump to content

EX2010: Transportregel zum Abfangen bestimmter Anhänge ... so machbar?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin zusammen,

 

da sich leider immer noch häufiger mal die derzeit umgehenden Makroviren am Virenscanner vorbeischleichen können, wollte ich per Transportregel alle *.docm, *.xlsm, [ergänzbar] an das Adminpostfach zur Sichtung umleiten.

 

Grundsätzlich machbar?
Ist "Wenn Inhalt einer Anlage Wörter enthält" die richtige Bedingung?

 

Ich hab zum Testen grad keins der Macrodinger parat ... :-)

 

Gruß und Danke!

Link zu diesem Kommentar

 

Machen wir auf Grund der aktuellen Lage am Gateway, vor dem Exchange.

 

Reddoxx nicht? ;)  Haben wir auch gemacht. War ein riesen Aufschrei bei den Kunden und bei uns intern. :cry:  Hat nicht funktioniert mit dem Zip´n.

 

 

wollte ich per Transportregel alle *.docm, *.xlsm, [ergänzbar]

Auf jeden Fall. Die meisten kommen mit .doc .xls. Die m Varianten gibt es zwar auch schon, bei weiten aber nicht so viele.

 

Gruß

 

tcpip

Link zu diesem Kommentar

Die AV Hersteller können leider immer nur reagieren. Wenn ich heute einen Virus schreibe, vergehen 1-5 Tage bevor die erste AV diesen erkennt.

Von daher sollte man nach anderen Lösungen suchen. Vielleicht Software, die Dateien/Programme anhand ihres Hashwertes erlauben oder blockieren.

So etwas gibt es ja heute auch schon.

Auf alle Fälle immer wieder die Mitarbeiter sensibilisieren.

Link zu diesem Kommentar

Moin zusammen,

 

da sich leider immer noch häufiger mal die derzeit umgehenden Makroviren am Virenscanner vorbeischleichen können, wollte ich per Transportregel alle *.docm, *.xlsm, [ergänzbar] an das Adminpostfach zur Sichtung umleiten.

 

Grundsätzlich machbar?

Ist "Wenn Inhalt einer Anlage Wörter enthält" die richtige Bedingung?

 

Ich hab zum Testen grad keins der Macrodinger parat ... :-)

 

Gruß und Danke!

 

Da ja offenbar keiner direkt auf die Frage antworten mag...

 

Ja, ist grundsätzlich problemlos per Transportregel machbar.

Ich würde aber auch nicht unbedingt ein Postfach nehmen, dessen User administrative Rechte hat! ;)

Außerdem würde ich alle diese Mails dann automatisch als 'Junk-Mail' = SCL9 kennzeichnen. Damit die Mails dann zusätzlich noch im Junk-Mail Ordner landen (besondere Rechte).

Bitte beachte die Besonderheiten der MS Bearbeitung von regulären Ausdrücken in den Transportregeln: https://technet.microsoft.com/de-de/library/aa997187(v=exchg.141).aspx

MS verhält sich hier leider nicht Standardkonform.

 

Und ja, wir haben 2 unabhängige AV und Spamfilter hier (UTM und GData Mailgateway). Trotzdem rutscht immer mal wieder eine solche Mail durch und wird erst per Transportregel umgebogen.

Ein grundsätzliches Blocken aller problematischen Anhänge ist gemäß Geschäftsführung nicht gewünscht. Schön, wenn dass bei Euch im Unternehmen anders ist!

bearbeitet von monstermania
Link zu diesem Kommentar

Moin @ all,

 

danke fürs Feedback & ruhig Blut ...

 

Eingesetztes AV-Produkt ist die Avira SBE auf einem SBS 2011. Ich hab im Exchange-Modul der Avira SBE nur die Möglichkeit, in einer Reihe vorgegebener Anhangs-Extensions bestimmte Reaktionen zu setzen, doc(m) und und xls(m) sind da leider nicht bei, und lassen sich auch (vom Support bestätigt) nicht hinzufügen.

 

Das ein Virenscanner möglichen Viren grundlegend "hinterherrennt", ist mir durchaus klar, ich wollte auch kein Produkt-Bashing anstossen, sondern eine die vorhandene Avira-Lösung flankierende Möglichkeit haben, die aktuell sehr pestigen Word-Mails zu blocken. Mir fiel in der Konstellation Avira SBE - SBS2011/Exc2010 - Client/Avira Pro keine andere, zentral verwaltbare Möglichkeit ein, als per Exchange Transportregel.

 

Es ist eine Krücke, ab und an geht ja durchaus mal ein harmloses Word-Dokument per Mail rum, allerdings ist die Nichterkenn-Quote der Avira SBE - bezogen auf den Word-Makro-Mist - aktuell recht hoch. Als Spam geflaggt werden sie zumeist noch, empfundene 50% kassiert aber der Virenscanner nicht ein. Das sind aktuell halt schon mal 2stellige Anzahl an Mails beim Emfänger.

Link zu diesem Kommentar

Hallo,

 

was fürn Zufall. Habe hier einen Exchange 2010 und wollte dort eine Transportregel entsprechend erstellen. Ich habe die Bedingung "wenn der Inhalt einer Anlage Textmustern entspricht" ausgewählt und als Wert ".doc oder .zip oder .rar" eingestellt. Das ist jetzt nur ein Beispiel um das zu testen.

Bei einem ZIP-Anhang funktioniert die Regel. Bei doc, docx, rar und dot funktioniert diese Regel nicht.

 

Ich sehe hier momentan keinen Zusammenhang, warum hier gerade ZIP und der Rest nicht funktioniert.

 

Warum funktionieren die anderen Endungen nicht?

bearbeitet von RalphT
Link zu diesem Kommentar

Setz mal ein '$'-Zeichen hinter die Dateiendeungen (.zip$, .doc$, .docx$, usw.).

Dann klappt das auch.

 

So, habe das heute morgen gleich mal abgeändert. Funktioniert leider auch nicht. :confused:  Jetzt funktioniert auch die Endung ZIP nicht mehr. Habe auch die Regel entfernt und wieder neu angelegt, aber das wars nicht.

Wie gesagt als Regelbedingung habe ich "wenn der Inhalt einer Anlage Textmustern entspricht" ausgewählt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...