14
Wie am besten eingehende Bewerbermails nach Viren scannen?
Hallo Admins,
wie macht ihr das in eurem Betrieb mit E-Mails mit Anhängen von z.B. Bewerbern? Ich suche so nen "Best-Practice" wenn es sowas gibt. Habe jetzt auch schon bisschen mit Kollegen gesprochen und gegooglet und meine Idee wäre folgende:
Email kommt rein
1. Filter: UTM
2. Filter: Mailgateway
3. Filter: UTM (Mails nun alle entschüsselt)
danach landen die Mails auf dem Mailserver (Exchange). Dort läuft ein Virenscanner.
Normalerweise würde an dieser Stelle ja der Mitarbeiter die E-Mails auf seinem Windows Client mit Outlook öffnen und der Client Virenscanner eingreifen als letzte Verteidigung.
Jetzt sind in manchen Files ja Skripte/Executables/... versteckt, die erst beim ausführen bemerkt werden können.
Meine Idee wäre es jetzt, die E-Mails mit Anhang, die an unsere Bewerbungsmail geschickt werden, vom Exchange auf einen separaten Server abzurufen, da den Anhang in einer VM auszuführen. Die VM hat keinen Internetanschluss und wird per Firewall nach außen gekapselt. Wenn innerhalb von einem halben Tag die VM noch läuft, wird der Anhang freigegeben und die VM gelöscht.
Habt ihr ne Idee für eine Lösung mit weniger Arbeit? Da es sich um Bewerbungsunterlagen handelt, wären Cloudlösungen oder Online-Scanner schlecht.
Bin für jeden Tipp dankbar
Schönen Tag euch noch,
arsn86
wie macht ihr das in eurem Betrieb mit E-Mails mit Anhängen von z.B. Bewerbern? Ich suche so nen "Best-Practice" wenn es sowas gibt. Habe jetzt auch schon bisschen mit Kollegen gesprochen und gegooglet und meine Idee wäre folgende:
Email kommt rein
1. Filter: UTM
2. Filter: Mailgateway
3. Filter: UTM (Mails nun alle entschüsselt)
danach landen die Mails auf dem Mailserver (Exchange). Dort läuft ein Virenscanner.
Normalerweise würde an dieser Stelle ja der Mitarbeiter die E-Mails auf seinem Windows Client mit Outlook öffnen und der Client Virenscanner eingreifen als letzte Verteidigung.
Jetzt sind in manchen Files ja Skripte/Executables/... versteckt, die erst beim ausführen bemerkt werden können.
Meine Idee wäre es jetzt, die E-Mails mit Anhang, die an unsere Bewerbungsmail geschickt werden, vom Exchange auf einen separaten Server abzurufen, da den Anhang in einer VM auszuführen. Die VM hat keinen Internetanschluss und wird per Firewall nach außen gekapselt. Wenn innerhalb von einem halben Tag die VM noch läuft, wird der Anhang freigegeben und die VM gelöscht.
Habt ihr ne Idee für eine Lösung mit weniger Arbeit? Da es sich um Bewerbungsunterlagen handelt, wären Cloudlösungen oder Online-Scanner schlecht.
Bin für jeden Tipp dankbar
Schönen Tag euch noch,
arsn86
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 335482
Url: https://administrator.de/contentid/335482
Printed on: April 18, 2024 at 23:04 o'clock
14 Comments
Latest comment
Moin,
Gruß
Zitat von @arsn86:
Wenn innerhalb von einem halben Tag die VM noch läuft, wird der Anhang freigegeben und die VM gelöscht.
das soll doch wohl hoffentlich ein Witz sein oder?Wenn innerhalb von einem halben Tag die VM noch läuft, wird der Anhang freigegeben und die VM gelöscht.
Gruß
Hallo @arsn86,
Doppelte UTM scheint mir recht sinnlos.
Im übrigen haben einige Hersteller (z.B. Sophos) bereits eine VM in ihrer UTM, in der Zeug ausgeführt und auf Viren geprüft werden.
Das nochmals zu machen ist die Neuerfindung des Rads.
Gruß,
@Snowman25
Doppelte UTM scheint mir recht sinnlos.
Im übrigen haben einige Hersteller (z.B. Sophos) bereits eine VM in ihrer UTM, in der Zeug ausgeführt und auf Viren geprüft werden.
Das nochmals zu machen ist die Neuerfindung des Rads.
Gruß,
@Snowman25
naja, halb 
die VM wird natürlich überwacht mit nem Virescanner und Firewall was für Verbindungen aufgebaut werden. Außerdem kann ich mit nem Diff herausfinden, wie viele /welche Dateien sich verändert haben. Nach 12-24H sollte theoretisch Ransomware auffallen und ander Schadcode auch... So zumindest mein Gedanke...
die VM wird natürlich überwacht mit nem Virescanner und Firewall was für Verbindungen aufgebaut werden. Außerdem kann ich mit nem Diff herausfinden, wie viele /welche Dateien sich verändert haben. Nach 12-24H sollte theoretisch Ransomware auffallen und ander Schadcode auch... So zumindest mein Gedanke...
Wir nehmen explizit nur PDFs an, alles andere wird sofort gelöscht. Die PDFs durchlaufen eine eigens entwickelte Software die sämtliche eventuell vorhandenen Skripte und Multimedia-Objekte etc. entfernt und zusätzlich noch einen speziellen Scanner durchlaufen. Geöffnet werden die PDFs von den Mitarbeitern nur in einem Reader der in einer Sandbox läuft aus der zusätzlich nichts "entfleuchen" kann.
Gruß
Gruß
2
Moin,
das mit der VM halte ich auch für Blödsinn.
Was denkbar wäre:
Die Mail/Das Bewerbungspostfach per IMAP/POP3 von einem PC aus abrufen der
a) nicht in der Domäne ist
b) hinter einer Firewall hängt die nur IMAP(S)/POP3 und ggfs. SMTP durchlässt
c) mit einer AV Software eines anderen Herstellers geschützt ist.
=> Abrufen, Scannen, ggfs. Macros entfernen oder copy/paste in .TXT File und dann weiter an HR senden
lg,
Slainte
das mit der VM halte ich auch für Blödsinn.
Was denkbar wäre:
Die Mail/Das Bewerbungspostfach per IMAP/POP3 von einem PC aus abrufen der
a) nicht in der Domäne ist
b) hinter einer Firewall hängt die nur IMAP(S)/POP3 und ggfs. SMTP durchlässt
c) mit einer AV Software eines anderen Herstellers geschützt ist.
=> Abrufen, Scannen, ggfs. Macros entfernen oder copy/paste in .TXT File und dann weiter an HR senden
lg,
Slainte
Die PDFs durchlaufen eine eigens entwickelte Software die sämtliche eventuell vorhandenen Skripte und Multimedia-Objekte etc. entfernt und zusätzlich noch einen speziellen Scanner durchlaufen.
Würde es nicht ausreichen die PDFs (automatsiert) in einer VM auf einen PDF Drucker auszugeben und dann mit dem so erzeugten PDF weiter zu arbeiten?
Die Software hatten wir eh schon, da bot sich das an. Außerdem dient das hier noch weiteren Zwecken
Hi,
1. Hirn (bei Fadenscheinigen Sendern, löschen oder Antwort, Sorry)
2. Nur PDFs (Hirn oder Technik, bei allen anderen Dokumentarten -> Sorry, nur PDF)
3. Mailgateway (bspw UTM bzw SG, ich nutze Sophos).
VG
1. Hirn (bei Fadenscheinigen Sendern, löschen oder Antwort, Sorry)
2. Nur PDFs (Hirn oder Technik, bei allen anderen Dokumentarten -> Sorry, nur PDF)
3. Mailgateway (bspw UTM bzw SG, ich nutze Sophos).
VG
Also Hirn verlangen wir schon, aber wir möchten es gerne auch technisch die Möglichkeiten eingrenzen, dass etwas passiert
Was für ein Produkt von Sophos nutzt du/ihr? Sandstorm?
Was für ein Produkt von Sophos nutzt du/ihr? Sandstorm?
Wir scannen alle Mails in der Gateprotect. Dann hat der Mailserver nochmal einen Scanner von einem anderen Anbieter. Die Clients haben darüber hinaus noch eine endpoint security von einem dritten Anbieter.
Trotzdem schule und sensibilisiere ich die Mitarbeiter regelmäßig.
Das ist immer noch der sicherste Schutz.
Gruß Looser
Trotzdem schule und sensibilisiere ich die Mitarbeiter regelmäßig.
Das ist immer noch der sicherste Schutz.
Gruß Looser
Moin,
Wirklich sicher wäre es, sowas einfach nur in einer isolierten VM aufzurufen. Das ist so gar recht entspannt und einfach mit QubesOS möglich.
Aber leider ist QubesOS was das ausrollen in Unternehmen angeht, nicht nur eine Seltenheit vom ausmaß des Bernsteinstimmers, sondern leider auch illusorisch, wenn man bedenkt, dass jemand damit arbeiten soll, der nicht komplett auf IT-Sicherheit abfährt oder mit dem Tode bedroht wird und deshalb extrem auf Spyware und Co achten muss.
Also gehen wir mal zu den Real-Life-Szenarien über:
1. Unschöne Mailanhänge nicht einfach löschen, sondern schlicht die Mail nicht annehmen. Bewerber bekommt Feedback "Wollen wir nicht" und eure Infrastruktur bleibt auch sauber. Details: http://davidsj.co.uk/blog/block-attachments-in-postfix/
2. Whitelists, was ausgeführt werden darf. Ausreichend Infos hierzu, findet man hier im Forum und auch sonst auf allen besseren Seiten bezüglich Windows Security. Stichworte: Applocker, Software Policies, ...
3. Seltsame Anhänge in VMs öffnen. Sowas ist einfach und Problemfrei möglich. Wer so oder so eine Virtualisierungumgebung am laufen hat, kann hier auch mit einem gut bebildertem Guide jedem erklären, wie er oder sie seltsame Anhänge in einer VM öffnet und diese ebenso auch per VNC, xpra oder ähnlichem, zur Verfügung stellen und dann eben entsprechende Snapshots wiederherstellen. Hier empfielt sich sogar ein Linux, welches dann einfach über OWA arbeitet, wenn man unbedingt ein Outlook braucht. Damit sollte man dann wirklich nahezu jede Schadsoftware unschädlich gemacht sein.
Für die, die sich jetzt wundern, wo die AV Software ist: Ja, die ist in diesem Setup gar nicht wirklich vorgesehen. Signaturbasierte Erkennung ist seit Jahren tot und ist generell eher ungeeignet um Bedrohungen abzuwenden. Wer sich ohne zu unsicher fühlt, kann sich hier auf den Scanner von Sophos oder ClamAV auf dem Mail-Gateway bzw. dem Mailserver stützen, wirklich sicherer wird es dadurch dennoch nicht.
Alternativ bzw. erweiternd zum abweisen der Mailanhänge basierend auf Formaten, kann man auch einfach ein Bewerbungsportal einführen, wo man wie man das von allen anderen Webseiten her kennt ebenfalls sehr genau filtern kann, welche anhänge man möchte und welche nicht, inclusive Validierung. Das kann auch helfen, aber erspart einem die Schritte 2 und 3 (an sich) dennoch nicht.
In diesem Sinne...
Gruß
Chris
Wirklich sicher wäre es, sowas einfach nur in einer isolierten VM aufzurufen. Das ist so gar recht entspannt und einfach mit QubesOS möglich.
Aber leider ist QubesOS was das ausrollen in Unternehmen angeht, nicht nur eine Seltenheit vom ausmaß des Bernsteinstimmers, sondern leider auch illusorisch, wenn man bedenkt, dass jemand damit arbeiten soll, der nicht komplett auf IT-Sicherheit abfährt oder mit dem Tode bedroht wird und deshalb extrem auf Spyware und Co achten muss.
Also gehen wir mal zu den Real-Life-Szenarien über:
1. Unschöne Mailanhänge nicht einfach löschen, sondern schlicht die Mail nicht annehmen. Bewerber bekommt Feedback "Wollen wir nicht" und eure Infrastruktur bleibt auch sauber. Details: http://davidsj.co.uk/blog/block-attachments-in-postfix/
2. Whitelists, was ausgeführt werden darf. Ausreichend Infos hierzu, findet man hier im Forum und auch sonst auf allen besseren Seiten bezüglich Windows Security. Stichworte: Applocker, Software Policies, ...
3. Seltsame Anhänge in VMs öffnen. Sowas ist einfach und Problemfrei möglich. Wer so oder so eine Virtualisierungumgebung am laufen hat, kann hier auch mit einem gut bebildertem Guide jedem erklären, wie er oder sie seltsame Anhänge in einer VM öffnet und diese ebenso auch per VNC, xpra oder ähnlichem, zur Verfügung stellen und dann eben entsprechende Snapshots wiederherstellen. Hier empfielt sich sogar ein Linux, welches dann einfach über OWA arbeitet, wenn man unbedingt ein Outlook braucht. Damit sollte man dann wirklich nahezu jede Schadsoftware unschädlich gemacht sein.
Für die, die sich jetzt wundern, wo die AV Software ist: Ja, die ist in diesem Setup gar nicht wirklich vorgesehen. Signaturbasierte Erkennung ist seit Jahren tot und ist generell eher ungeeignet um Bedrohungen abzuwenden. Wer sich ohne zu unsicher fühlt, kann sich hier auf den Scanner von Sophos oder ClamAV auf dem Mail-Gateway bzw. dem Mailserver stützen, wirklich sicherer wird es dadurch dennoch nicht.
Alternativ bzw. erweiternd zum abweisen der Mailanhänge basierend auf Formaten, kann man auch einfach ein Bewerbungsportal einführen, wo man wie man das von allen anderen Webseiten her kennt ebenfalls sehr genau filtern kann, welche anhänge man möchte und welche nicht, inclusive Validierung. Das kann auch helfen, aber erspart einem die Schritte 2 und 3 (an sich) dennoch nicht.
In diesem Sinne...
Gruß
Chris
1
Hallo arsn,
Ich würds wie @Sheogorath machen:
Danach kann der Bewerber seinen Lebenslauf etc. nur als PDF hochladen.
Gruß
Flo
Wenn innerhalb von einem halben Tag die VM noch läuft, wird der Anhang freigegeben und die VM gelöscht.
Da es auch Ransomware etc. gibt, welche nach dem z.B. fünften Reboot erst aktiviert wir, ist das mMn Blödsinn.Ich würds wie @Sheogorath machen:
kann man auch einfach ein Bewerbungsportal einführen
Ein Formular auf der Webseite erstellen, wo Angaben wie Name, E-Mail, Bewerbungsberuf etc. eingetragen werden sollen.Danach kann der Bewerber seinen Lebenslauf etc. nur als PDF hochladen.
Gruß
Flo
Hi,
zusätzlich zu den obigen Dingen, möchte ich noch VirusTotal.com (gehört jetzt zu Google) reinwerfen.
Da kannst du die Datei von 50-60 Scannern testen lassen.
Vorheriges Jahr gab es noch Wepawet, da konnte man Dateien auch online verlegen lassen, das ist leider aufgegeben worden und die Macher zu Lastline gewandert, die machen auch so was. Und die Firewallhersteller wie Watchguard, Sonicwall integrieren diese Technik.
VG,
Deepsys
zusätzlich zu den obigen Dingen, möchte ich noch VirusTotal.com (gehört jetzt zu Google) reinwerfen.
Da kannst du die Datei von 50-60 Scannern testen lassen.
Vorheriges Jahr gab es noch Wepawet, da konnte man Dateien auch online verlegen lassen, das ist leider aufgegeben worden und die Macher zu Lastline gewandert, die machen auch so was. Und die Firewallhersteller wie Watchguard, Sonicwall integrieren diese Technik.
VG,
Deepsys
Hallo,
UTM
Mail Gateway
Exchange mit AV Scanner
PC mit AV Schutz
der dann die PDFs öffnen kann, aber eben keinen darin enthaltenen Code ausführt!
Gruß
Dobby
Email kommt rein
1. Filter: UTM
2. Filter: Mailgateway
Ok.1. Filter: UTM
2. Filter: Mailgateway
3. Filter: UTM (Mails nun alle entschüsselt)
danach landen die Mails auf dem Mailserver (Exchange). Dort läuft ein Virenscanner.
Also das wäre mir zu viel des Guten!danach landen die Mails auf dem Mailserver (Exchange). Dort läuft ein Virenscanner.
UTM
Mail Gateway
Exchange mit AV Scanner
PC mit AV Schutz
Normalerweise würde an dieser Stelle ja der Mitarbeiter die E-Mails auf seinem Windows Client mit Outlook öffnen und der
Client Virenscanner eingreifen als letzte Verteidigung.
Schon mal etwas von SandBoxy gehört!? Man kann auch noch einen Dateibetrachter installieren wie zum Beispiel QuickViewProClient Virenscanner eingreifen als letzte Verteidigung.
der dann die PDFs öffnen kann, aber eben keinen darin enthaltenen Code ausführt!
Jetzt sind in manchen Files ja Skripte/Executables/... versteckt, die erst beim ausführen bemerkt werden können.
Meine Idee wäre es jetzt, die E-Mails mit Anhang, die an unsere Bewerbungsmail geschickt werden, vom Exchange auf einen separaten
Server abzurufen, da den Anhang in einer VM auszuführen. Die VM hat keinen Internetanschluss und wird per Firewall nach außen gekapselt.
Wenn innerhalb von einem halben Tag die VM noch läuft, wird der Anhang freigegeben und die VM gelöscht.
Und wenn nicht ist der Trojaner im ganzen Netzwerk unterwegs, oder?Server abzurufen, da den Anhang in einer VM auszuführen. Die VM hat keinen Internetanschluss und wird per Firewall nach außen gekapselt.
Wenn innerhalb von einem halben Tag die VM noch läuft, wird der Anhang freigegeben und die VM gelöscht.
Habt ihr ne Idee für eine Lösung mit weniger Arbeit? Da es sich um Bewerbungsunterlagen handelt, wären Cloudlösungen oder
Online-Scanner schlecht.
Man kann auch nur einen Linux PC dazu benutzen und dann dort die Bewerbungen und deren Anhänge öffnen. Sollte auch so funktionieren.Online-Scanner schlecht.
Gruß
Dobby
