Mailfilter und ausführbare Dateien in zip-/rar-Anhängen

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
SarOt
Beiträge: 25
Registriert: Mi 18.01.2017, 13:14

Mailfilter und ausführbare Dateien in zip-/rar-Anhängen

Beitrag von SarOt »

Hallo,

wir setzen seit einigen Wochen den Mailfilter der UTM 11.6 ein. Einige Kollegen berichten, dass Sie regelmäßig Mails mit *.zip und *.rar Anhängen erhalten, die ausführbare Malware enthalten und von der UTM gar nicht gefiltert bzw. max als 'Bulk' klassifiziert werden.
Wenn ich die Anhänge lokal abspeichere fängt mir Avira bzw. Bitdefender diese sofort weg.

Meine Frage: Werden die gepackten Anhänge überhaupt gescannt? Kann man den Umgang mit gepackten Anhängen irgendwie steuern? Im Wiki finde ich dazu leider nichts detailiertes. Zips und Rars grundsätzlich zu blockieren, ist KEINE Option, da wir regelmäßig *.exe und *.ps1 - Anhänge gezippt bekommen.

pcconsult
Beiträge: 9
Registriert: Fr 24.04.2015, 16:40

Beitrag von pcconsult »

Nach meinen Informationen werden Archive nicht gescannt bzw. können nicht gescannt werden.

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Vermutl. wäre hier ein Option, sich gezippte Archive automatisch in die Quarantäne schieben zu lassen und diese sich dann dort zu holen, wenn Sie benötigt werden.
Wie das geht steht hier.
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

SarOt
Beiträge: 25
Registriert: Mi 18.01.2017, 13:14

Beitrag von SarOt »

Warum werden die Archive eigentlich nicht gescannt? Von allen bisherigen Varianten/Anbietern, die wir im Einsatz hatten/haben ist man das gewöhnt und erwartet das auch. Das ist schon ein herber Tiefschlag!

HaPe
Beiträge: 56
Registriert: Di 09.05.2017, 22:40

Beitrag von HaPe »

Also ich habe hier bei unseren größeren Kunden im Sendmail-Template die RBL bl.spamcop.net aktiviert - das hat die Anzahl von Viren, die der ESET am Mailserver hinter der SP abfängt deutlich nach unten geschraubt (+ im Mailrelay Reverse-DNS - geht glaube ich erst ab 11.7 - sowie Greeting Pause aktiviert, im Mailfilter Viren und Spam: ablehnen).
Jetzt findet der ESET gerade mal eine Handvoll in 2 Wochen, wohingegen bei anderen Kunden ohne UTM im selben Zeitraum mind. 100-150 am Mailserver aufschlagen...

SarOt
Beiträge: 25
Registriert: Mi 18.01.2017, 13:14

Beitrag von SarOt »

Gibt es eine Möglichkeit Mails auf 'leeren Betreff', 'leeren Empfänger' oder 'leeren Text/Inhalt' zu filtern?

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo zusammen,

zunächst erstmal muss ich sagen dass auch Archive gescannt werden, die Frage wäre dann ob die Malware von den Virenscannern erkannt wird. Dies können Sie gerne einmal auf z.B. Virustotal prüfen. Dabei wäre zudem das Greylisting zu empfehlen, da es bei "neuen/unbekannten" Dateien den Virenscannern und dem Mailfilter Zeit verschafft die Mail und den Inhalt zu klassifizieren. So könnte eine Mail einige Minuten später schon als SPAM/Bulk erkannt werden, die vorher durchgegangen wäre.

Eine Mail mit einem leeren Betreff können Sie mit folgender Regel filtert:

Code: Alles auswählen

"und Header-Feld" - "Subject" - "passt auf regex" - "^$"
Leere Empfänger fangen Sie am besten mit der Option: "E-Mail-Adresse überprüfen" im Mailrelay -> SMTP Routen ab.

Beste Grüße
Christian

Antworten