Seite 1 von 1
Mailfilter und ausführbare Dateien in zip-/rar-Anhängen
Verfasst: Mi 16.08.2017, 10:59
von SarOt
Hallo,
wir setzen seit einigen Wochen den Mailfilter der UTM 11.6 ein. Einige Kollegen berichten, dass Sie regelmäßig Mails mit *.zip und *.rar Anhängen erhalten, die ausführbare Malware enthalten und von der UTM gar nicht gefiltert bzw. max als 'Bulk' klassifiziert werden.
Wenn ich die Anhänge lokal abspeichere fängt mir Avira bzw. Bitdefender diese sofort weg.
Meine Frage: Werden die gepackten Anhänge überhaupt gescannt? Kann man den Umgang mit gepackten Anhängen irgendwie steuern? Im Wiki finde ich dazu leider nichts detailiertes. Zips und Rars grundsätzlich zu blockieren, ist KEINE Option, da wir regelmäßig *.exe und *.ps1 - Anhänge gezippt bekommen.
Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen
Verfasst: Fr 18.08.2017, 15:19
von pcconsult
Nach meinen Informationen werden Archive nicht gescannt bzw. können nicht gescannt werden.
Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen
Verfasst: Fr 18.08.2017, 17:46
von David
Vermutl. wäre hier ein Option, sich gezippte Archive automatisch in die Quarantäne schieben zu lassen und diese sich dann dort zu holen, wenn Sie benötigt werden.
Wie das geht steht
hier.
Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen
Verfasst: Do 24.08.2017, 16:37
von SarOt
Warum werden die Archive eigentlich nicht gescannt? Von allen bisherigen Varianten/Anbietern, die wir im Einsatz hatten/haben ist man das gewöhnt und erwartet das auch. Das ist schon ein herber Tiefschlag!
Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen
Verfasst: Mi 30.08.2017, 20:43
von HaPe
Also ich habe hier bei unseren größeren Kunden im Sendmail-Template die RBL bl.spamcop.net aktiviert - das hat die Anzahl von Viren, die der ESET am Mailserver hinter der SP abfängt deutlich nach unten geschraubt (+ im Mailrelay Reverse-DNS - geht glaube ich erst ab 11.7 - sowie Greeting Pause aktiviert, im Mailfilter Viren und Spam: ablehnen).
Jetzt findet der ESET gerade mal eine Handvoll in 2 Wochen, wohingegen bei anderen Kunden ohne UTM im selben Zeitraum mind. 100-150 am Mailserver aufschlagen...
Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen
Verfasst: Mi 01.11.2017, 10:14
von SarOt
Gibt es eine Möglichkeit Mails auf 'leeren Betreff', 'leeren Empfänger' oder 'leeren Text/Inhalt' zu filtern?
Re: Mailfilter und ausführbare Dateien in zip-/rar-Anhängen
Verfasst: Mi 01.11.2017, 10:34
von Christian E.
Hallo zusammen,
zunächst erstmal muss ich sagen dass auch Archive gescannt werden, die Frage wäre dann ob die Malware von den Virenscannern erkannt wird. Dies können Sie gerne einmal auf z.B.
Virustotal prüfen. Dabei wäre zudem das Greylisting zu empfehlen, da es bei "neuen/unbekannten" Dateien den Virenscannern und dem Mailfilter Zeit verschafft die Mail und den Inhalt zu klassifizieren. So könnte eine Mail einige Minuten später schon als SPAM/Bulk erkannt werden, die vorher durchgegangen wäre.
Eine Mail mit einem leeren Betreff können Sie mit folgender Regel filtert:
Code: Alles auswählen
"und Header-Feld" - "Subject" - "passt auf regex" - "^$"
Leere Empfänger fangen Sie am besten mit der Option: "E-Mail-Adresse überprüfen" im Mailrelay -> SMTP Routen ab.
Beste Grüße
Christian