Jump to content

Spamfilter für Exchange-Online (was taugt?)


Recommended Posts

Guten Abend,

 

ich werde wohl den lokalen Exchange nach Exchange-Online umziehen. Derzeit nutze ich einen Spamassassin mit vielen selber gebastelten Regeln und die Funktionen der Sophos UTM. Das funktioniert ziemlich gut. Bei Exchange-Online ist EOP standardmäßig aktiv und es kann das Microsoft ATP dazugekauft werden. Aber taugt EOP auch was?

 

Ich habe mir jetzt die Doku von Microsoft EOP und ATP angeschaut und bin der Meinung, dass das unzureichend bis unbequem ist. Hat da jemand Erfahrung ob Microsoft da einen so guten Job macht, dass ich nichts anderes benötige?

 

Ich spiele mit dem Gedanken einen NoSpamProxy davor zu setzen. Auf den ersten Blick gefällt mit gar nicht, dass es keine Quarantäne gibt, aber beim weiteren Nachdenken sollte das gar nicht so schlecht sein. Quarantäne ist ja doch ziemlich ätzend. Der User soll nicht und ich will nicht ständig die Quarantäne beobachten.

 

Also, nutzt jemand Exchange-Online ohne eine zusätzliches Tool um Spam zu filtern und ist völlig zufrieden damit?

 

Danke für eure Meinungen.

 

P.S.

Ich will es auch nicht ausprobieren, weil eine durchgerutschte Email die hätte blockiert werden können, könnte ziemlich blöde Folgen haben.

Link to post
vor 5 Minuten schrieb wznutzer:

Aber taugt EOP auch was?

Versuch macht kluch. So schlecht wirds nicht sein, aber wer vorher mit seinem eigenen Filter fast alles regeln konnte wird logischerweise mit einem Hosted Spam service meist weniger flexibel sein. Alternativ lass halt den mx bei dir und nutze ihn einfach weiter. ;)

vor 7 Minuten schrieb wznutzer:

dass es keine Quarantäne gibt

Das ist doch eindeutig ein Pluspunkt. :)

vor 7 Minuten schrieb wznutzer:

ist völlig zufrieden damit?

Haha kommt ja wohl auf die Ansprüche an. Ich hab einige Kunden mit Cisco esa vor o365. Da kann man zwar sehr viel, aber man sieht auch viele Probleme technischer bzw. Protokolltechnischer Natur. Wie gesagt, stell dir im Zweifel das davor, was dir am ehesten zusagt. Aber man kann natürlich auch mal das o365 eigene System testen.

Link to post

Der MX liegt derzeit auf einem hMailServer mit SpamAssassin. Der hMail leitet dann an den lokalen Exchange weiter und dazwischen ist dann Sophos. Das hätte ich gerne weg. Aber klar, würde gehen.

 

Testen? Da bekomme ich Bluthochdruck. Wenn da was durchrutscht? Meine User klicken leider auf alles was nicht bei drei auf dem Baum ist. Am ehesten sagt mir die Strategie doppelt und dreifach zu. Aber ich schaue halt auch immer, dass ich keine Ausgaben generiere die unnötig sind.

 

NoSpamProxy soll gar nicht schlecht sein. Redoxx soll auch nicht schlecht sein, aber dieses CISS? Wie sollen denn da automatisierte Emails jemals wieder empfangen werden?

Link to post

Die meisten meiner Kunden nutzen nur den Filter von Exchange Online. Der funktioniert sehr gut, es rutscht wenig durch und es gibt sehr selten False Positives. Microsoft hat den Vorteil, durch die Menge empfangener E-Mails Anomalien schnell feststellen zu können. Sie können dann auch rückwirkend E-Mails aus Postfächern löschen.

 

Durchrutschen wird überall etwas. Ich habe kürzlich für einen Kunden eine Phishing-Kampagne gefahren. Ganz simpel, gültige Domain mit SPF, Name vom Geschäftsführer und dessen Signatur, Text sinngemäss „wegen eventueller Umstellung zurück ins Homeoffice bitte hier klicken und Zugangsdaten eingeben“. Fazit: 80% haben den Link geklickt und 30% ihre Zugangsdaten eingegeben… Gegen zielgerichtete Kampagnen ist wohl jeder Filter ziemlich machtlos.

Link to post
vor 10 Minuten schrieb mwiederkehr:

Microsoft hat den Vorteil, durch die Menge empfangener E-Mails Anomalien schnell feststellen zu können.

Naja mein spamfilter sagt, dass diverse % von ms Konten versendet werden. ;) jede Menge Hotmail und Outlook Spam. Das wird intern in o365 vermutlich nur bedingt wirklich anders aussehen. Aber ansonsten würde ich deine Einschätzung teilen.

 

vor 12 Minuten schrieb mwiederkehr:

Fazit: 80% haben den Link geklickt und 30% ihre Zugangsdaten eingegeben


die Werte sehe ich in der Form auch immer wieder. Dazu gabs auf der ccc vor einiger Zeit mal nen interessanten Vortrag. ;)

https://media.ccc.de/v/36c3-11175-hirne_hacken#t=1696

Link to post

Danke für den Link! Hätte in einem MCSE-Forum nicht mit Kennern des CCC gerechnet. :D

 

Die hohe Quote hat mich sehr überrascht. Ich hätte mit max. 10% gerechnet, zumal alles Ingenieure waren, die zudem ein IT-Reglement unterschrieben haben. Ist schon krass, kurz eine E-Mail zusammenstellen und schon hat man Zugriff auf die E-Mail-Konten von jedem dritten Mitarbeiter.

 

An dem Fall sieht man, dass MFA nicht nur wegen schlechten Passwörtern eine gute Idee ist, sondern auch wegen unvorsichtigen Benutzern.

Link to post

Im it Systemhaus sieht die Quote nicht wirklich anders aus ;)

vor 17 Minuten schrieb mwiederkehr:

An dem Fall sieht man, dass MFA nicht nur wegen schlechten Passwörtern eine gute Idee ist, sondern auch wegen unvorsichtigen Benutzern.

Hilft trotzdem nicht, weil man vermutlich nie alle Services damit abdeckt und zweitens Angriffe ja auch von intern initiiert werden (nein nicht nur der böse Mitarbeiter) ;) aber ja mfa ist auf jeden Fall mehr als nix.

Link to post
vor 3 Stunden schrieb mwiederkehr:

Die meisten meiner Kunden nutzen nur den Filter von Exchange Online. Der funktioniert sehr gut, es rutscht wenig durch und es gibt sehr selten False Positives. Microsoft hat den Vorteil, durch die Menge empfangener E-Mails Anomalien schnell feststellen zu können. Sie können dann auch rückwirkend E-Mails aus Postfächern löschen.

 

Durchrutschen wird überall etwas. Ich habe kürzlich für einen Kunden eine Phishing-Kampagne gefahren. Ganz simpel, gültige Domain mit SPF, Name vom Geschäftsführer und dessen Signatur, Text sinngemäss „wegen eventueller Umstellung zurück ins Homeoffice bitte hier klicken und Zugangsdaten eingeben“. Fazit: 80% haben den Link geklickt und 30% ihre Zugangsdaten eingegeben… Gegen zielgerichtete Kampagnen ist wohl jeder Filter ziemlich machtlos.

Das Thema "Chef" schreibt an Buchhaltung und fordert zu einer Überweisung auf, hatte ich auch schon einuge Male.

In meinen Augen ist es eine gute Lösung, dass der echte Chef eine Email-Signatur bekommt und seine Mitarbeiter darüber informieert werden, dass nur Mails mit dieser Signatur als echt zu bewerten sind.

Das mag nicht 100%ig sein, aber ein Buchhalter sollte in der Lage sein, das zu beherzigen ;-)

 

  • Like 1
Link to post
vor 3 Stunden schrieb teletubbieland:

Das mag nicht 100%ig sein, aber ein Buchhalter sollte in der Lage sein, das zu beherzigen ;-)

 

Ach da gibts dann wieder "Kann grad nicht telefonieren und komme nicht an mein Notebook zum Signieren. Betrachten Sie das Anliegen als hyperdringend und fragen Sie nicht". ;)

Link to post
vor 44 Minuten schrieb NorbertFe:

Ach da gibts dann wieder "Kann grad nicht telefonieren und komme nicht an mein Notebook zum Signieren. Betrachten Sie das Anliegen als hyperdringend und fragen Sie nicht". ;)

ich sag ja: nicht 100%ig. Aber 100 Prozent heißt eben: Nehmen Sie Anweisungen dieser Art nur entgegen, wenn ich sie Ihnen in schriftform persönlich übergebe ;-)

Hat früher so auch funktioniert :-)

 

Link to post

Ich hatte dieses Thema neulich mal live in Action gesehen, wie die spearphishings vorbereitet wurden. Ist nur deswegen aufgefallen, weil der originale Absender (intern) nen Haufen ndrs bekommen hat, weil die dmarc Policy der kundedomain auf reject stand. Ansonsten wären diese Versuche zumindest im junkfolder der internen Empfänger gelandet. War dann der Grund endlich mal den backscatterfilter zu aktivieren. 

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...