Jump to content
Marco31

Mail-Anhänge blockieren - was ist sinnvoll?

Recommended Posts

Hallo Forum,

 

ich habe mich die letzten Tage mit dem Einrichten des Attachment Blocking bei externen Mails auf unserem Exchange 2016 (mit Trendmicro SMEX14) beschäftigt. Die üblichen Verdächtigen habe ich gesperrt - ausführbare Dateien, PDF mit Javascript, Office-Dokumente mit Makro. 

Da bisher alle .doc, docx, xls, xlsx etc. durchgegangen sind, möchte ich das natürlich im Hinblick auf die Sicherheit optimieren. Die Empfehlung lautet ja auch, die "alten" Office-Formate zu blocken, .doc, .xls etc. Das habe ich auch umgesetzt.

Jetzt ist aber die letzte Frage die ich mir stelle: Kann ich die Formate .docx und .xlsx freigeben? Welche Gefahren können hier lauern und wie wird das in eurer Umgebung gehandhabt?

Share this post


Link to post

Wir blockieren gemäß der Vorgabe an uns (KRITIS) alle Office-Dokumente, auch Open-Office

 

Da wir das am Gateway machen, können solche Mails bei Bedarf durchgelassen werden. :-)

Share this post


Link to post

Die Trennung in docx und docm war eine gute Idee von Microsoft. Doch leider kann man in docx auch ausführbare Inhalte einbinden: als OLE-Objekt. Dieses wird zwar erst bei Doppelklick und nach einer Warnung ausgeführt, aber man weiss ja, wie die User sind... Man kann per Policy die Ausführung aber auch generell deaktivieren. Dann sollte docx soweit ich weiss sicher sein. (Bis auf enthaltene Links, aber die kann ein PDF ja auch enthalten.)

 

Schön wäre es, wenn der Filter die Anhänge in PDF-Dateien umwandeln würde. Aber diese Funktion habe ich erst bei Office 365 ATP gesehen.

Share this post


Link to post

Da ich das auf die SChnelle nicht rauslesen konnte. Wo genau läuft das dann? Vor dem Mailserver auf dem Mailserver?

Share this post


Link to post

Wenn ich mich recht erinnere, gehen beide Varianten. Davorgeschaltet als eigener Gateway oder auch direkt auf dem Mailserver. Bei uns läuft er als eigener Gateway vorne dran ...

Share this post


Link to post

Danke. Die Webseite ist irgendwie "umständlich" :)

Noch eine Frage: Geht das für ein-/ausgehende Mails getrennt zu konfigurieren? Also bspw. ausgehend "normal" und eingehende Dokumente konvertieren nach pdf?

 

Edited by NorbertFe

Share this post


Link to post

Wenn ich das richtig weiß, können ein-/ausgehende E-Mails getrennt konfiguriert werden. Auch können bei ausgehenden E-Mails interne und externe Empfänger getrennt behandelt werden. Weiteres ist auch beispielhaft der PDF https://www.gbs.com/de/dokumentation/iqsuite?file=files/dokumentation/msx/iQ.Suite 18.1 Installation und Administration.pdf ab Kapitel 14 zu entnehmen.

 

Genaueres müsste ich bei unseren Admin erfragen ;)

Edited by Orangenjunge

Share this post


Link to post

Neulich erlebt, die Office-Extensions sind alle blockiert, kommt eine rtf rein, ist aber nur mit der Extension rtf versehen und in Wirklichkeit eine docm, Word erkennt dies selbständig und führt die Datei als docm aus. Welche "sicheren" Dateitypen bleiben uns denn noch?

Share this post


Link to post

Die Frage ist, warum kommt eigentlich Makro aktivierter Mist bei dir durch den Spam/Virenfilter? Das zu blocken, sollte inzwischen eigentlich in fast allen Produkten möglich sein.

Share this post


Link to post

ja, aber leider im Geschäftsbetrieb nicht immer möglich ...

 

was mich noch mehr nervt, sind irgendwelche Systeme, die heute noch xls Dateien generieren und zu Bestellabwicklungen notwendig sind. Ich würde den Schrott am liebsten sofort sperren, aber da laufen dann Vertrieb und Einkauf Amok

Edited by Squire
  • Like 1

Share this post


Link to post
vor 17 Stunden schrieb Squire:

ja, aber leider im Geschäftsbetrieb nicht immer möglich ...

Gleiches in den Kommunal- und Landesverwaltungsnetzen, die über eine zentrale Mailbackbone angebunden sind: Seit über einem Jahr werden aus Sicherheitsgründen alle E-Mails mit alten Office-Formaten (eingehend) komplett (!) abgewiesen, was für den / die betroffenen Bürger da draußen nicht unbedingt sofort nachvollziehbar ist ...  

Man glaubt es kaum, wie viel alte Office-Instanzen da draußen noch am Start sind... :-(

Von dem her bin ich aus Admin-Sicht fast schon ein bisschen dankbar, dass mit dem Support-Ende von Windows 7 und dem damit einhergehenden Wechsel (hoffentlich) die eine oder andere alte Office-Version verschwinden dürfte. 

 

Der SMEX ist im Übrigen echt ein gutes Produkt! Wir haben Ende letzten Jahres netzwerkweit zu ESET gewechselt - und die ESET Mail Security für Exchange ist da vergleichsweise lang nicht so komfortabel konfigurierbar. Auch wir haben uns durch den jüngsten Produktwechsel mit den Mail-Anhängen befasst und blockieren zusätzlich Dateitypen, die unserem klassischen Geschäftsfeld nichts zu tun haben (Videodateien). 

 

Damit zur Eingangsfrage:

Zitat

etzt ist aber die letzte Frage die ich mir stelle: Kann ich die Formate .docx und .xlsx freigeben? Welche Gefahren können hier lauern und wie wird das in eurer Umgebung gehandhabt?

 

Alternativ könnte man darüber nachdenken, die Dokumente zwar durchzulassen, aber in den Junk-Mail-Ordner zu verschieben (Verschieben von eingehenden E-Mails in die Junk-Mails hatte mit SMEX funktioniert). Hätte den Vorteil, dass die User grundsätzlich sensibilisiert sind, wenn sie für's öffnen der E-Mails in den Junk-Mail-Ordner schauen "müssen".

 

Eine Alternative könnte zusätzlich sein, dass man E-Mails mit riskanten Anhängen auch in eine vorgelagerte Quarantäne umleitet. Man erkennt ja meist am Absender bzw. am Betreff, ob die jeweilige E-Mail seriös sein könnte - und gibt diese E-Mails dann später frei (...oder eben auch nicht). Ist halt mit einem zusätzlichen Administrationsaufwand verbunden....

 

Just my 2 cent's.

Edited by Shao-Lee
Änderungsgrund: ...Tippfehler bereinigt.

Share this post


Link to post
vor 22 Stunden schrieb Shao-Lee:

 

Eine Alternative könnte zusätzlich sein, dass man E-Mails mit riskanten Anhängen auch in eine vorgelagerte Quarantäne umleitet. Man erkennt ja meist am Absender bzw. am Betreff, ob die jeweilige E-Mail seriös sein könnte - und gibt diese E-Mails dann später frei (...oder eben auch nicht). Ist halt mit einem zusätzlichen Administrationsaufwand verbunden....

 

Gerade hier liegt ein Problem - man erkennt nicht mehr am Absender bzw am Betreff ob die Mail seriös ist. Sonst könnte man ja "seriöse" Absender in eine Whitelist einpflegen. 

Grundsätzlich muss man mittlerweile ja grundsätzlich jeder Email mit Links und/oder Dateianhängen misstrauen.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...