Jump to content

Mail-Anhänge blockieren - was ist sinnvoll?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Forum,

 

ich habe mich die letzten Tage mit dem Einrichten des Attachment Blocking bei externen Mails auf unserem Exchange 2016 (mit Trendmicro SMEX14) beschäftigt. Die üblichen Verdächtigen habe ich gesperrt - ausführbare Dateien, PDF mit Javascript, Office-Dokumente mit Makro. 

Da bisher alle .doc, docx, xls, xlsx etc. durchgegangen sind, möchte ich das natürlich im Hinblick auf die Sicherheit optimieren. Die Empfehlung lautet ja auch, die "alten" Office-Formate zu blocken, .doc, .xls etc. Das habe ich auch umgesetzt.

Jetzt ist aber die letzte Frage die ich mir stelle: Kann ich die Formate .docx und .xlsx freigeben? Welche Gefahren können hier lauern und wie wird das in eurer Umgebung gehandhabt?

Link zu diesem Kommentar

Die Trennung in docx und docm war eine gute Idee von Microsoft. Doch leider kann man in docx auch ausführbare Inhalte einbinden: als OLE-Objekt. Dieses wird zwar erst bei Doppelklick und nach einer Warnung ausgeführt, aber man weiss ja, wie die User sind... Man kann per Policy die Ausführung aber auch generell deaktivieren. Dann sollte docx soweit ich weiss sicher sein. (Bis auf enthaltene Links, aber die kann ein PDF ja auch enthalten.)

 

Schön wäre es, wenn der Filter die Anhänge in PDF-Dateien umwandeln würde. Aber diese Funktion habe ich erst bei Office 365 ATP gesehen.

Link zu diesem Kommentar

Wir setzen iQ.Suite Convert ein (https://www.gbs.com/de/email-sicherheit/convert). Damit können wir beliebige Dateianhänge in PDF umwandeln und einiges an Bedrohungspotenzial rausnehmen. Somit kommen z. B. Makros gar nicht beim Empfänger an. Funktioniert auch beim Versand von E-Mails ...

 

Viele Grüße, Marc

bearbeitet von Orangenjunge
Link zu diesem Kommentar

Wenn ich das richtig weiß, können ein-/ausgehende E-Mails getrennt konfiguriert werden. Auch können bei ausgehenden E-Mails interne und externe Empfänger getrennt behandelt werden. Weiteres ist auch beispielhaft der PDF https://www.gbs.com/de/dokumentation/iqsuite?file=files/dokumentation/msx/iQ.Suite 18.1 Installation und Administration.pdf ab Kapitel 14 zu entnehmen.

 

Genaueres müsste ich bei unseren Admin erfragen ;)

bearbeitet von Orangenjunge
Link zu diesem Kommentar

ja, aber leider im Geschäftsbetrieb nicht immer möglich ...

 

was mich noch mehr nervt, sind irgendwelche Systeme, die heute noch xls Dateien generieren und zu Bestellabwicklungen notwendig sind. Ich würde den Schrott am liebsten sofort sperren, aber da laufen dann Vertrieb und Einkauf Amok

bearbeitet von Squire
Link zu diesem Kommentar
vor 17 Stunden schrieb Squire:

ja, aber leider im Geschäftsbetrieb nicht immer möglich ...

Gleiches in den Kommunal- und Landesverwaltungsnetzen, die über eine zentrale Mailbackbone angebunden sind: Seit über einem Jahr werden aus Sicherheitsgründen alle E-Mails mit alten Office-Formaten (eingehend) komplett (!) abgewiesen, was für den / die betroffenen Bürger da draußen nicht unbedingt sofort nachvollziehbar ist ...  

Man glaubt es kaum, wie viel alte Office-Instanzen da draußen noch am Start sind... :-(

Von dem her bin ich aus Admin-Sicht fast schon ein bisschen dankbar, dass mit dem Support-Ende von Windows 7 und dem damit einhergehenden Wechsel (hoffentlich) die eine oder andere alte Office-Version verschwinden dürfte. 

 

Der SMEX ist im Übrigen echt ein gutes Produkt! Wir haben Ende letzten Jahres netzwerkweit zu ESET gewechselt - und die ESET Mail Security für Exchange ist da vergleichsweise lang nicht so komfortabel konfigurierbar. Auch wir haben uns durch den jüngsten Produktwechsel mit den Mail-Anhängen befasst und blockieren zusätzlich Dateitypen, die unserem klassischen Geschäftsfeld nichts zu tun haben (Videodateien). 

 

Damit zur Eingangsfrage:

Zitat

etzt ist aber die letzte Frage die ich mir stelle: Kann ich die Formate .docx und .xlsx freigeben? Welche Gefahren können hier lauern und wie wird das in eurer Umgebung gehandhabt?

 

Alternativ könnte man darüber nachdenken, die Dokumente zwar durchzulassen, aber in den Junk-Mail-Ordner zu verschieben (Verschieben von eingehenden E-Mails in die Junk-Mails hatte mit SMEX funktioniert). Hätte den Vorteil, dass die User grundsätzlich sensibilisiert sind, wenn sie für's öffnen der E-Mails in den Junk-Mail-Ordner schauen "müssen".

 

Eine Alternative könnte zusätzlich sein, dass man E-Mails mit riskanten Anhängen auch in eine vorgelagerte Quarantäne umleitet. Man erkennt ja meist am Absender bzw. am Betreff, ob die jeweilige E-Mail seriös sein könnte - und gibt diese E-Mails dann später frei (...oder eben auch nicht). Ist halt mit einem zusätzlichen Administrationsaufwand verbunden....

 

Just my 2 cent's.

bearbeitet von Shao-Lee
Änderungsgrund: ...Tippfehler bereinigt.
Link zu diesem Kommentar
vor 22 Stunden schrieb Shao-Lee:

 

Eine Alternative könnte zusätzlich sein, dass man E-Mails mit riskanten Anhängen auch in eine vorgelagerte Quarantäne umleitet. Man erkennt ja meist am Absender bzw. am Betreff, ob die jeweilige E-Mail seriös sein könnte - und gibt diese E-Mails dann später frei (...oder eben auch nicht). Ist halt mit einem zusätzlichen Administrationsaufwand verbunden....

 

Gerade hier liegt ein Problem - man erkennt nicht mehr am Absender bzw am Betreff ob die Mail seriös ist. Sonst könnte man ja "seriöse" Absender in eine Whitelist einpflegen. 

Grundsätzlich muss man mittlerweile ja grundsätzlich jeder Email mit Links und/oder Dateianhängen misstrauen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...