jo.wi 0 Geschrieben 27. September 2016 Melden Geschrieben 27. September 2016 Hallo zusammen, Ich verfolge momentan folgenden Gedankengang: Zusätzlich zum externen Spamfilter, welcher schon ca. 95% aller Mails abblockt, will ich eine Transportregel in Exchange erstellen um die letzten paar Spam-Mails die gefährliche Scripte in .zip Dateien verstecken abblockt. Eingesetzt wird Exchange 2010. Die Zip-Dateien enthalten meist .js oder .vbs dateien, welche ich aber nicht grundsätzlich aus der ZIP-Datei filtern lassen kann. ZIP-Dateien ansich möchte ich eigentlich auch nicht verbieten. Der Gedanke war nun: Wenn jemand eine ernst gemeinte Mail mit einem ZIP-Anhang schickt sollte die Datei ja schon eine gewisse Größe haben, was gäbe es sonst für einen Grund diese zu packen? .exe oder .bat kann auch einfach umbenannt werden und so durch sämtliche Regeln gejagt werden. ie Gefährlichen Scripte verstecken sich meist in 8-12 kb großen ZIP-Files und leider gibt es trotz wiederholtem Hinweis immernoch User, die diese dann in ihrem Arbeitswahn einfach mal doppelklicken. Nun bin ich auf die Transportregeln gestoßen. Hier habe ich aber nur gefunden "Dateianhänge größer oder gleich" und nicht "kleiner als"... Bin ich Blind oder gibts da noch nen Trick? Ich will also kurz gesagt über eine Transportregel zip-Anhänge die kleiner als 32 kb sind sperren. Alles was gepackt so klein ist braucht auch nicht gepackt werden und versteckt nur eine Datei die nicht gefunden werden soll. Ich bitte hier nicht um Alternativen wie APT-Blocker usw. diese kosten alle Geld (ja ich weiß, muss man manchmal investieren) ich möchte nur wissen ob mein Vorhaben so umsetzbar ist und ob einer eine Idee dazu hat, weil Exchange mir diese Option ja mehr oder weniger evtl. schon mit liefert ohne Geld auszugeben. Besten Dank für Ratschläge, Jörg
NorbertFe 2.290 Geschrieben 27. September 2016 Melden Geschrieben 27. September 2016 Das produziert in meinen Augen viel Zuviel false positives, als dass man das wirklich so umsetzen wollte. Ich würd mir da eher überlegen generell zip zu blocken, oder per virenscanner bestimmte Dateitypen innerhalb der Zips zu blockieren.
Nobbyaushb 1.595 Geschrieben 28. September 2016 Melden Geschrieben 28. September 2016 (bearbeitet) Kann dem Norbert nur zustimmen. Wir blocken alle zip und Office-Dokumente mit Macros, die gehen für 4 Tage in die Quarantäne. Diese werden von uns bei Bedarf / Anfrage freigegeben. Anfrage auf Freigabe Ist seltener, als man denkt. bearbeitet 28. September 2016 von Nobbyaushb
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden