Jump to content
Sign in to follow this  
goazheadz

Anlagenfilterung

Recommended Posts

Hallo, es gibt ja ne Menge Spammails, meistens als Rechnung getarnt in denen ein Zip-Archiv angehängt ist in dem eine datei mit .exe endung bzw. *.pdf.exe enthalten ist.

Diese würde ich gerne abfangen. Nun kann man ja schlecht alle Mails mit Zip-Anhang blockenbzw. löschen. Bietet Kaspersky die Möglichkeit die EMails zu blocken je nach Inhalt des Zip-Archivs?

Gibt es da sonst irgendeinen Trick? Exchange 2007 scheint ja über die Transportfilter auch nur nach Dateinamen filtern zu können.

Share this post


Link to post

Hast Du auf dem Exchangeserver auch einen Viren und Spamschutz laufen?

 

Deine Anforderung ist etwas ungewöhnlich. Nicht alle gezippten Exe-Dateien müssen Schadcode enthalten und können sogar vom Benutzer angefordert sein.

Hier wäre ein generelles blocken nicht ratsam.

 

In erster Linie ist gesunder Menschenverstand gefordert und der Benutzer sollte überlegen, ob solche Rechnung oder Mahnung Sinn macht. Solche von Dir angesprochenen Mails sind häufig in schlechtem deutsch und mit Schreibfehlern versehen.

Share this post


Link to post

Du hast recht Helmut, mit gesundem Menschverstand kriegt man das auch geregelt. Leider ist es trotzdem so das ich oft gefrat werde ob jemand so eine mail öffnen darf. Ich fürchte das noch lange nicht jeder fragt... ;)

Ich kam auch nur auf die Idee diese mails zu filtern weil der Dateiname fast immer auf *.pdf.exe endet. An sonsten sind die Spammer ja sehr kreativ was Dateinamen und Emailtext betrifft.

Kaspersky für Exchange habe ich nicht installiert. (traue ich mich nicht weil ich schon auf den client teilweise dramatische Performanceinbrüche habe wenn irgendeine Aufgabe läuft)

Ich hatte die Hoffnung das Kaspersky da was filtern kann. Archive untersuchen kann er ja.

Share this post


Link to post
Du hast recht Helmut, mit gesundem Menschverstand kriegt man das auch geregelt. Leider ist es trotzdem so das ich oft gefrat werde ob jemand so eine mail öffnen darf. Ich fürchte das noch lange nicht jeder fragt... ;)

Ich kam auch nur auf die Idee diese mails zu filtern weil der Dateiname fast immer auf *.pdf.exe endet. An sonsten sind die Spammer ja sehr kreativ was Dateinamen und Emailtext betrifft.

Kaspersky für Exchange habe ich nicht installiert. (traue ich mich nicht weil ich schon auf den client teilweise dramatische Performanceinbrüche habe wenn irgendeine Aufgabe läuft)

Ich hatte die Hoffnung das Kaspersky da was filtern kann. Archive untersuchen kann er ja.

 

hi, also ein simples herausfiltern von *.pdf.exe kriegt der Exchange doch easy selber hin ;)

 

http://technet.microsoft.com/de-de/library...=exchg.80).aspx

 

Grüße Floh

Share this post


Link to post
Kaspersky für Exchange habe ich nicht installiert. (traue ich mich nicht weil ich schon auf den client teilweise dramatische Performanceinbrüche habe wenn irgendeine Aufgabe läuft)

Diese Befürchtungen sind völlig unbegründet.

 

Der Scanner bindet sich in den Maildatenstrom ein und ist nicht bemerkbar.

Share this post


Link to post

Na mal sehen vielleicht lasse ich Kaspersky an den nächsten Exchangeserver ran. ;)

Florian, ich habe leider nur einen Exchangeserver und deshalb keine Edge-Transport-Rolle :(

generell ist die Problematik aber das es sich ja eifentlich um Ein Ziparchiv. Aber im Inhalt befindet sich eine Datei namens *.pdf.exe.

Der Filter müsste also erstmal in den Inhalt des Archivs schauen um zu entscheiden ob geblockt wird. Das wir die Edge-Transportrolle sicherlich auch nicht bewerkstelligen.

Kaspersky aber findet in so einer Mail den Trojaner (meist am nöchsten Tag) Und zeigt in der Meldung zB.:

EVENT: Schädliches Objekt wurde gefunden

DESCR-Anfang

Ergebnis: Gefunden: Trojan-Ransom.Win32.Blocker.boad

Objekt: [From:Vodafone-OnlineRechnung][subject:Ihre Rechnung vom 28.06.2013 im Anhang als PDF][Time:2013/07/01 13:58:38]//78612770_0000000000_J_20130628_I_13_3470.zip//85700433_0000000000_X_20130628_I_13_7750.pdf.exe

DESCR-Ende

erzeugender Task: Mail-Anti-Virus

KL_PRODUCT: Kaspersky Endpoint Security 10 für Windows version: 10.1.0.867

SEVERITY: Kritisches Ereignis

 

bzw:

 

EVENT: Objekt wurde gelöscht

DESCR-Anfang

Ergebnis: Gelöscht: Trojan-Ransom.Win32.Blocker.boad

Objekt: [From:Vodafone-OnlineRechnung][subject:Ihre Rechnung vom 28.06.2013 im Anhang als PDF][Time:2013/07/01 13:58:38]//78612770_0000000000_J_20130628_I_13_3470.zip//85700433_0000000000_X_20130628_I_13_7750.pdf.exe

DESCR-Ende

erzeugender Task: Mail-Anti-Virus

KL_PRODUCT: Kaspersky Endpoint Security 10 für Windows version: 10.1.0.867

SEVERITY: Infomeldung

 

Also wie man sieht schaut er in das Zip-Archiv rein und zeigt auch den Namen der enthaltenen Datei.

Das gab mir eigentlich die Hoffnung das Kaspersky in der Lage sein könnte das zu filtern.

 

Ich wundere mich gerade..... bekommt ihr diese bekloppten Mails denn nicht?? Ich dachte das ist so eine allgemeine Seuche. Daher dachte ich es gibt bestimmt jemanden der schon eine Lösung dafür hat.

Share this post


Link to post

Die Meldungen kommen vom Scanner des Clients.

Anlagenfilterung macht der Exchangeserver wie Florian schon geschrieben hat.

 

Wichtig ist aber ein mehrstufiges Sicherheitssystem. Das bedeutet auch einen Scanner für den Exchange.

Es gibt Firmen, die setzen Virenscanner von verschiedenen Herstellern ein, um so ein "höheres" Maß an Sicherheit zu erzielen.

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.