beidermachtvongreyscull
Goto Top

E-Mail Advisor für Exchange - Gibt es so etwas?

Tach Kollegen!

ich hatte von einem Kollegen die Idee aufgeschnappt, externe E-Mails mit einem automatischen Hinweis zu versehen.
Das funktioniert.

Jede externe E-Mail bekommt bei uns nun mittels Haftungsausschluss einen Text für den Nutzer, er möge vorsichtig sein, beim Öffnen und Klicken von Links und/oder Anhängen.

Das erste Feedback war ernüchternd.

Es wurde gemault, dass der Hinweis als erster Text in der E-Mail stünde und somit natürlich in der Vorschau auch nur diese Zeile angezeigt wird und/oder dass man sowieso den Hinweis überlesen wird und einen drauf gibt....

Nun wurde aus der Chefetage angefragt, ob man das so einstellen kann, dass nur bestimmte E-Mails (die die es verdienen) mit solch einem Hinweis ausgestattet werden.

Die Frage ist tatsächlich interessant für mich, denn ich sehe solch einen auf die jeweilige Situation angepassten Hinweis hauptsächlich angebracht, wenn

  • die E-Mail einen bestimmten Typ von Anhängen hat (z.B. Office-Dateien oder anderer Inhalt mit aktivem Code)
  • die E-Mail "merkwürdige" Internetlinks enthält
  • die E-Mail von einer Domäne ohne SPF-Record kommt
  • die E-Mail eine Enevelope-Adresse X hat und im from oder Reply-to Y steht

Ich habe mich mal auf Github umgesehen, dort aber keine Agents gefunden, mit denen sich das umsetzen ließe.
Mit Exchange 2016-Boardmitteln sehe ich keine Möglichkeit, das umzusetzen.
Eine Software wie CodeTwo Exchange Rules arbeitet aus meiner Sicht eher am Layout und Content von ausgehenden E-Mails zur Wahrung von CI.
Ein Drittanbieter-Virenschutz, der diese Funktionen berücksichtigt, habe ich nicht identifizieren können.

Ums noch mal kurz zu machen:
Aufbringen eines Hinweistextes, ähnlich wie exchangeintern mittels Hauftungsausschluss, um den internen Empfängern eine Hilfestellung im Umgang mit der entsprechenden E-Mail zu geben, wenn bestimmte Gegebenheiten vorhanden sind.

Kennt da jemand ein Produkt für Exchange 2016 dazu?

Unser Exchange steht hinter einer Sophos SG. Die filtert ohnehin schon, aber informiert den Nutzer nicht auf diesem Weg.


Vielen Dank und guten Tag!

Viele Grüße

bdmvg

Content-ID: 1708780811

Url: https://administrator.de/contentid/1708780811

Printed on: December 12, 2024 at 17:12 o'clock

SachsenHessi
Solution SachsenHessi Jan 10, 2022 at 14:05:44 (UTC)
Goto Top
beidermachtvongreyscull
beidermachtvongreyscull Jan 10, 2022 at 14:11:38 (UTC)
Goto Top
Zitat von @SachsenHessi:

läuft bei uns:
https://www.darktrace.com/de/email/

Gruss
SH

Vielen Dank!
Den kannte ich noch nicht und schau mir das Produkt mal an.
Doskias
Solution Doskias Jan 10, 2022 at 14:18:32 (UTC)
Goto Top
Moin,

interessanter Gedanke, aber deine Anforderungen im einzelnen:

die E-Mail einen bestimmten Typ von Anhängen hat (z.B. Office-Dateien oder anderer Inhalt mit aktivem Code)
Das macht bei uns die Firewall bei eingehenden Mails bevor sie den Exchange erreicht. Unser Firewall ist, vermutlich wie eure Sophos, ebenfalls der MX-Records. Unsere Firewall filtert nach anhängen und blockiert dies bei Bedarf (je nach Einstellung)

die E-Mail "merkwürdige" Internetlinks enthält
Auch das scannt bei uns die Firewall bei eingehenden Mails durch, geht jedoch aber einen Schritt weiter und öffnet den Link in einer Sandbox und analysiert dabei was dort versucht wird. Wird es als gefährlich eingestuft, wird die Mail blockiert, ansonsten zugestellt.

die E-Mail von einer Domäne ohne SPF-Record kommt
Das ist etwas was in meinen Augen dem Anwender egal sein sollte. Entweder due erlaubst die Zustellung von Mails ohne SPF oder nicht. Ich persönlich würde bei einem fehlgeschlagenen SPF-Check die Mails ablehnen. Warum solltest du bei einer fehlgeschlagenen SPF-Prüfung die Mail noch annehmen. Die Prüfung hat dir ja grade gezeigt, dass der Sender nicht autorisiert ist.

die E-Mail eine Enevelope-Adresse X hat und im from oder Reply-to Y steht
in meinen Augen unnötig. Wenn du wie oben beschrieben den SPF-Check konfigurierst, sollte das prinzipiell egal sein. Es spielt dann keine Rolle mehr was in der Adresse steht. Das einzige was zählt ist die Domain. Und wenn Google.com der Meinung ist, die eine Mail von info@google.de zuschicken zu müssen, dann ist doch egal wie die Adresse lautet, da der SPF-Check den Großteil rausfiltert. Darüber hinaus (wie oben beschrieben) links und Anhänge durchscannen.

Das was du suchst ist nett aus Sicht der Geschäftsführung, aber in meinen Augen bei ordentlicher Konfiguration nicht möglich.

Gruß
Doskias
beidermachtvongreyscull
beidermachtvongreyscull Jan 10, 2022 at 15:51:55 (UTC)
Goto Top
Zitat von @Doskias:

Moin,

interessanter Gedanke, aber deine Anforderungen im einzelnen:

die E-Mail einen bestimmten Typ von Anhängen hat (z.B. Office-Dateien oder anderer Inhalt mit aktivem Code)
Das macht bei uns die Firewall bei eingehenden Mails bevor sie den Exchange erreicht. Unser Firewall ist, vermutlich wie eure Sophos, ebenfalls der MX-Records. Unsere Firewall filtert nach anhängen und blockiert dies bei Bedarf (je nach Einstellung)

Unsere auch, aber es gibt leider Situationen, in denen ich sowas durchlassen muss. Sei versichert, dass ich da "mit dem Arsch an der Decke klebe", aber ich hab keine andere Wahl. Der Kunde ist irgendwo leider König und je mehr Geld er springen lässt, desto eher hofiert man ihn.

Zitat von @Doskias:
die E-Mail "merkwürdige" Internetlinks enthält
Auch das scannt bei uns die Firewall bei eingehenden Mails durch, geht jedoch aber einen Schritt weiter und öffnet den Link in einer Sandbox und analysiert dabei was dort versucht wird. Wird es als gefährlich eingestuf1t, wird die Mail blockiert, ansonsten zugestellt.

Das macht unsere leider nicht. Allerdings will ich die Sophos nicht ablösen, da unsere WLAN-Infrastruktur da dranhängt.

Zitat von @Doskias:
die E-Mail von einer Domäne ohne SPF-Record kommt
Das ist etwas was in meinen Augen dem Anwender egal sein sollte. Entweder due erlaubst die Zustellung von Mails ohne SPF oder nicht. Ich persönlich würde bei einem fehlgeschlagenen SPF-Check die Mails ablehnen. Warum solltest du bei einer fehlgeschlagenen SPF-Prüfung die Mail noch annehmen. Die Prüfung hat dir ja grade gezeigt, dass der Sender nicht autorisiert ist.

SPF-Fail hieße, der Sender darf nicht. Das lehnt die Firewall bereits ab und das ist auch gut so. Es gibt viele, da im SPF soft fail eintragen. Da wird's dann wieder spannend. Soft fail geht dennoch. Und da müsste der Empfänger einen Hinweis bekommen, dass die E-Mail fragwürdig ist.

Zitat von @Doskias:
die E-Mail eine Enevelope-Adresse X hat und im from oder Reply-to Y steht
in meinen Augen unnötig. Wenn du wie oben beschrieben den SPF-Check konfigurierst, sollte das prinzipiell egal sein. Es spielt dann keine Rolle mehr was in der Adresse steht. Das einzige was zählt ist die Domain. Und wenn Google.com der Meinung ist, die eine Mail von info@google.de zuschicken zu müssen, dann ist doch egal wie die Adresse lautet, da der SPF-Check den Großteil rausfiltert. Darüber hinaus (wie oben beschrieben) links und Anhänge durchscannen.

Die Idee dahinter bestand, dem Empfänger zu verdeutlichen, dass z.B. hinter einer E-Mail von info@spiegel.de eine 93478703784089-newsletter@salesforce.com stehen kann. Er soll wissen, dass diese E-Mail von einem System kommt, das vorgibt spiegel.de zu sein und dies darf bzw. nicht darf.

Zitat von @Doskias:
Das was du suchst ist nett aus Sicht der Geschäftsführung, aber in meinen Augen bei ordentlicher Konfiguration nicht möglich.

Wenn ich die Konfiguration auf der Firewall höher treibe, habe ich zu viele False-Positives. Ich kann auf der UTM 9 diese feine Abstimmung nicht durchführen.

Ich schau mal noch, ob das EFA Project hier in dieser Richtung was macht, bezweifle es aber für diesen speziellen Fall.

Hab Dank für Deine Anregungen!

Gruß
Doskias

Gruß
bdmvg
Dani
Solution Dani Jan 10, 2022 at 20:32:52 (UTC)
Goto Top
Moin,
Kennt da jemand ein Produkt für Exchange 2016 dazu?
mit einem recht kompelexen Regelwerk sollte das mi Hilfe von NoSpamProxy abbilden können.


Gruß,
Dani
Doskias
Solution Doskias Jan 11, 2022 at 07:33:28 (UTC)
Goto Top
Oh das wird jetzt lang face-smile

Zitat von @beidermachtvongreyscull:
die E-Mail einen bestimmten Typ von Anhängen hat (z.B. Office-Dateien oder anderer Inhalt mit aktivem Code)
Das macht bei uns die Firewall bei eingehenden Mails bevor sie den Exchange erreicht. Unser Firewall ist, vermutlich wie eure Sophos, ebenfalls der MX-Records. Unsere Firewall filtert nach anhängen und blockiert dies bei Bedarf (je nach Einstellung)
Unsere auch, aber es gibt leider Situationen, in denen ich sowas durchlassen muss. Sei versichert, dass ich da "mit dem Arsch an der Decke klebe", aber ich hab keine andere Wahl. Der Kunde ist irgendwo leider König und je mehr Geld er springen lässt, desto eher hofiert man ihn.
Der Kunde ist König am Arsch face-wink Ne Scherz beiseite. Du sagst selbst, der Kunde ist König. Der König will aber beraten werden. Nur ein Imperator setzt seinen Willen auf beigen und brechen durch. Und es sollte keine Frage des Gelds sein, ob du tust was der Kunde will. Am Ende wird es egal sein, wie viel er dir bezahlt hat um seinen Wunsch umzusetzen, wenn dadurch irgendwas schief geht. Vielleicht ist dein Kunde auch der falsche Ansprechpartner. Vor etwa 6 Jahren hatte ich einen Kunden mit 25 PC-Arbeitsplätzen. Dort hat unter anderem Conti bestellt. Wir haben dann die Firewall eingestellt, dass keine DOCX-Dokumente mehr angenommen werden. Es hat 2 oder 3 Tage gedauert, da kam der Anruf, dass Conti angerufen hat, dass die Aufträge abgelehnt werden. Ich habe es dem GF erklärt und er hat es verstanden. Ich habe dann eine E-Mail mit der Situationsbeschreibung an die IT von Conti geschrieben und hatte 2 Stunden später der IT-Leiter am Telefon, der aus allen Wolken gefallen war, dass die Auftragsabteilung Aufträge als DOCX und nicht als PDF geschickt haben. Vorauf ich hinauswill: Vielleicht liegt die Lösung nicht beim Empfänger, sondern beim Sender. Ich weiß ja nicht was für aktive Inhalte da benötigt werden. Alternative müsste die Sophos die Anhänge doch auch generell sperren können, wenn die Empfänger-Domain nicht in einer Ausnahmeliste definiert ist, oder? Du musst ja nicht alle Office-Dokumente durchlassen. Wenn du sie kategorisch blockst und da erlaubst, wo die MA sie erwarten, brauchst du auch nicht mehr zwingende den Hinweistext mehr.

Zitat von @Doskias:
die E-Mail "merkwürdige" Internetlinks enthält
Auch das scannt bei uns die Firewall bei eingehenden Mails durch, geht jedoch aber einen Schritt weiter und öffnet den Link in einer Sandbox und analysiert dabei was dort versucht wird. Wird es als gefährlich eingestuf1t, wird die Mail blockiert, ansonsten zugestellt.
Das macht unsere leider nicht. Allerdings will ich die Sophos nicht ablösen, da unsere WLAN-Infrastruktur da dranhängt.
Dann sollte vielleicht über eine Lizenzerweiterung nachgedacht werden? Laut Produktbeschreibung müsste die Sophos das können:
https://docs.sophos.com/central/Customer/help/de-de/central/Customer/con ...
Diese Option ist nur mit einer Email Advanced-Lizenz verfügbar und standardmäßig aktiviert.
Wenn Time of Click URL Protection aktiviert ist, werden die in eingehenden E-Mails enthaltenen URLs derart umgeschrieben, dass sie auf Sophos Email anstelle des ursprünglichen Ziels verweisen.
Wird der Link angeklickt, führt Sophos Email einen SLX-Abgleich aus. Ist die URL schädlich, wird sie blockiert. Ist der Link nicht schädlich, hängt die Aktion, die beim Klicken auf den Link ausgeführt wird, von den Einstellungen ab, die Sie in der Richtlinie vorgenommen haben. Wenn Sie beispielsweise Websites mit mittlerem Risiko auf erlaubt eingestellt haben, wird der Link Sie zum ursprünglichen Ziel weiterleiten, nachdem er geprüft und als nicht schädlich eingestuft wurde.
Das klingt für mich nach genau dem was du suchst/brauchst face-wink
Ansonsten: Whitelist-FIltering. Mehr Arbeit aber solange der Admin die gefährlichen links in der Firewall nicht händisch frei gibt, passiert da auch nichts face-smile

Zitat von @Doskias:
die E-Mail von einer Domäne ohne SPF-Record kommt
Das ist etwas was in meinen Augen dem Anwender egal sein sollte. Entweder du erlaubst die Zustellung von Mails ohne SPF oder nicht. Ich persönlich würde bei einem fehlgeschlagenen SPF-Check die Mails ablehnen. Warum solltest du bei einer fehlgeschlagenen SPF-Prüfung die Mail noch annehmen. Die Prüfung hat dir ja grade gezeigt, dass der Sender nicht autorisiert ist.

SPF-Fail hieße, der Sender darf nicht. Das lehnt die Firewall bereits ab und das ist auch gut so. Es gibt viele, da im SPF soft fail eintragen. Da wird's dann wieder spannend. Soft fail geht dennoch. Und da müsste der Empfänger einen Hinweis bekommen, dass die E-Mail fragwürdig ist.
Warum fragwürdig. Entweder der SPF-Check ist erfolgreich, dann ist die Mail legitim. Ist der SPF-Check fehlgeschlagen, dann gibt es zwei Möglichkeiten. Entweder es ist Spam, oder die Gegenseite hat vergessen den SPF-Rekord nach einem Umzug anzupassen. Letzteres werden sie recht schnell merken, wenn du die Mails mit "SPF-Check fails" ablehnst. Wie das genau bei Sophos geht, dafür ist Sophos bei mir zu lange her. Aber meiner Meinung nach brauchst du nur:
Wenn SPF-Check fehlschlägt, dann entweder ablehnen oder Spamstempel drauf.

Zitat von @Doskias:
die E-Mail eine Enevelope-Adresse X hat und im from oder Reply-to Y steht
in meinen Augen unnötig. Wenn du wie oben beschrieben den SPF-Check konfigurierst, sollte das prinzipiell egal sein. Es spielt dann keine Rolle mehr was in der Adresse steht. Das einzige was zählt ist die Domain. Und wenn Google.com der Meinung ist, die eine Mail von info@google.de zuschicken zu müssen, dann ist doch egal wie die Adresse lautet, da der SPF-Check den Großteil rausfiltert. Darüber hinaus (wie oben beschrieben) links und Anhänge durchscannen.

Die Idee dahinter bestand, dem Empfänger zu verdeutlichen, dass z.B. hinter einer E-Mail von info@spiegel.de eine 93478703784089-newsletter@salesforce.com stehen kann. Er soll wissen, dass diese E-Mail von einem System kommt, das vorgibt spiegel.de zu sein und dies darf bzw. nicht darf.
Jetzt hab ich verstanden wie du es meintest. Weiß allerdings nicht ob die Sophos das kann, da in dem Fall ja info@spiegel.de lediglich der Name des Absenders ist. Dazu müsste ja der Name des Absenders gescannt werden und wenn dort eine Domain beinhaltet ist, diese mit der Domain des Absenders verglichen werden.

Zitat von @Doskias:
Das was du suchst ist nett aus Sicht der Geschäftsführung, aber in meinen Augen bei ordentlicher Konfiguration nicht möglich.
nicht nötig sollte der Teil eigentlich heißen face-big-smile

Wenn ich die Konfiguration auf der Firewall höher treibe, habe ich zu viele False-Positives. Ich kann auf der UTM 9 diese feine Abstimmung nicht durchführen.
Sophos ist bei mir wie gesagt schon länger her. Kann dir daher nicht sagen ob diese Feinabstimmungen nicht möglich sind oder du die Einstellungsoberfläche nicht findest. Ich hab früher bei Kleinigkeiten oft Stundenlang gesucht, weil Sophos die irgendwo an unlogischen Stellen versteckt hatte.

Ansonsten:
Wenn das alles nichts hilft, musst du dir dafür eine separate Lösung schaffen. Mit Darktrace und nospamproxy hast du ja schon 2 Anhaltspunkte bekommen, die ich beide bislang allerdings im aktiven Umfeld nicht genutzt habe.

Gruß
Doskias
beidermachtvongreyscull
beidermachtvongreyscull Jan 11, 2022 at 09:18:27 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Kennt da jemand ein Produkt für Exchange 2016 dazu?
mit einem recht kompelexen Regelwerk sollte das mi Hilfe von NoSpamProxy abbilden können.


Gruß,
Dani

Moin,

verdammt Danke! Auf das Ding bin ich nicht mehr gekommen.
Gruß
bdmvg
beidermachtvongreyscull
beidermachtvongreyscull Jan 11, 2022 at 09:38:45 (UTC)
Goto Top
Vielen Dank an Euch alle!
Ihr habt mir ehrlich geholfen!

Viele Grüße
bdmvg