Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
SarOt
Themen-Autor
Beiträge: 19
Registriert: Mi 18.01.2017, 13:14

Mailfilter und ausführbare Dateien in zip-/rar-Anhängen

Mi 16.08.2017, 10:59

Hallo,

wir setzen seit einigen Wochen den Mailfilter der UTM 11.6 ein. Einige Kollegen berichten, dass Sie regelmäßig Mails mit *.zip und *.rar Anhängen erhalten, die ausführbare Malware enthalten und von der UTM gar nicht gefiltert bzw. max als 'Bulk' klassifiziert werden.
Wenn ich die Anhänge lokal abspeichere fängt mir Avira bzw. Bitdefender diese sofort weg.

Meine Frage: Werden die gepackten Anhänge überhaupt gescannt? Kann man den Umgang mit gepackten Anhängen irgendwie steuern? Im Wiki finde ich dazu leider nichts detailiertes. Zips und Rars grundsätzlich zu blockieren, ist KEINE Option, da wir regelmäßig *.exe und *.ps1 - Anhänge gezippt bekommen.
 
pcconsult
Beiträge: 7
Registriert: Fr 24.04.2015, 16:40

Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen

Fr 18.08.2017, 15:19

Nach meinen Informationen werden Archive nicht gescannt bzw. können nicht gescannt werden.
 
Benutzeravatar
David
Securepoint
Beiträge: 400
Registriert: Di 09.02.2016, 14:01

Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen

Fr 18.08.2017, 17:46

Vermutl. wäre hier ein Option, sich gezippte Archive automatisch in die Quarantäne schieben zu lassen und diese sich dann dort zu holen, wenn Sie benötigt werden.
Wie das geht steht hier.
Mit freundlichen Grüßen

David Gundermann
Technischer Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
 
SarOt
Themen-Autor
Beiträge: 19
Registriert: Mi 18.01.2017, 13:14

Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen

Do 24.08.2017, 16:37

Warum werden die Archive eigentlich nicht gescannt? Von allen bisherigen Varianten/Anbietern, die wir im Einsatz hatten/haben ist man das gewöhnt und erwartet das auch. Das ist schon ein herber Tiefschlag!
 
HaPe
Beiträge: 50
Registriert: Di 09.05.2017, 22:40

Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen

Mi 30.08.2017, 20:43

Also ich habe hier bei unseren größeren Kunden im Sendmail-Template die RBL bl.spamcop.net aktiviert - das hat die Anzahl von Viren, die der ESET am Mailserver hinter der SP abfängt deutlich nach unten geschraubt (+ im Mailrelay Reverse-DNS - geht glaube ich erst ab 11.7 - sowie Greeting Pause aktiviert, im Mailfilter Viren und Spam: ablehnen).
Jetzt findet der ESET gerade mal eine Handvoll in 2 Wochen, wohingegen bei anderen Kunden ohne UTM im selben Zeitraum mind. 100-150 am Mailserver aufschlagen...
 
SarOt
Themen-Autor
Beiträge: 19
Registriert: Mi 18.01.2017, 13:14

Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen

Mi 01.11.2017, 10:14

Gibt es eine Möglichkeit Mails auf 'leeren Betreff', 'leeren Empfänger' oder 'leeren Text/Inhalt' zu filtern?
 
Benutzeravatar
Christian E.
Securepoint
Beiträge: 237
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen

Mi 01.11.2017, 10:34

Hallo zusammen,

zunächst erstmal muss ich sagen dass auch Archive gescannt werden, die Frage wäre dann ob die Malware von den Virenscannern erkannt wird. Dies können Sie gerne einmal auf z.B. Virustotal prüfen. Dabei wäre zudem das Greylisting zu empfehlen, da es bei "neuen/unbekannten" Dateien den Virenscannern und dem Mailfilter Zeit verschafft die Mail und den Inhalt zu klassifizieren. So könnte eine Mail einige Minuten später schon als SPAM/Bulk erkannt werden, die vorher durchgegangen wäre.

Eine Mail mit einem leeren Betreff können Sie mit folgender Regel filtert:

"und Header-Feld" - "Subject" - "passt auf regex" - "^$"

Leere Empfänger fangen Sie am besten mit der Option: "E-Mail-Adresse überprüfen" im Mailrelay -> SMTP Routen ab.

Beste Grüße
Christian

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste