Email Sandboxing - best practices?
Moin zusammen,
die Phising-Emails werden ja bekanntlich immer besser. Neuerdings erhalten wir Antworten von Emails die wir 2022 verschickt haben mit kompromitterten Inhalten.
Unser Serviceleiter hat mir da heute eine gezeigt, die er fast geöffnet hat - denn es war eine Antwort auf seine Email mit 2 einfachen Sätzen:
Guten Morgen,
Überprüfen Sie das Dokument und teilen Sie mir Ihre Meinung mit.
Vielen Dank
Alle 6 Monate betreibe ich mit kurzen Meetings Aufklärung und freue mich sehr, dass die Kollegen in 90% gut aufpassen.
Aber es sind eben genau diese 10% in denen es grad stressig ist und die Kollegen unachtsam sind.
Ich suche daher nach einer Lösung um das ganze besser abzusichern, mein erster Schritt ist grad die Free-Version zur Evaluierung von Mailtrap.
Eine weitere Idee ist die manuelle Prüfung über eine VMWare Maschine mit. z.B. Linux Mint, oder eine Windowsmaschine mit Bitdisk10 einzusetzen.
Aber ich möchte ungern jeden Emailanhang persönlich testen .
Wie macht Ihr das denn in den "großen" Unternehen?
die Phising-Emails werden ja bekanntlich immer besser. Neuerdings erhalten wir Antworten von Emails die wir 2022 verschickt haben mit kompromitterten Inhalten.
Unser Serviceleiter hat mir da heute eine gezeigt, die er fast geöffnet hat - denn es war eine Antwort auf seine Email mit 2 einfachen Sätzen:
Guten Morgen,
Überprüfen Sie das Dokument und teilen Sie mir Ihre Meinung mit.
Vielen Dank
Alle 6 Monate betreibe ich mit kurzen Meetings Aufklärung und freue mich sehr, dass die Kollegen in 90% gut aufpassen.
Aber es sind eben genau diese 10% in denen es grad stressig ist und die Kollegen unachtsam sind.
Ich suche daher nach einer Lösung um das ganze besser abzusichern, mein erster Schritt ist grad die Free-Version zur Evaluierung von Mailtrap.
Eine weitere Idee ist die manuelle Prüfung über eine VMWare Maschine mit. z.B. Linux Mint, oder eine Windowsmaschine mit Bitdisk10 einzusetzen.
Aber ich möchte ungern jeden Emailanhang persönlich testen .
Wie macht Ihr das denn in den "großen" Unternehen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6982320905
Url: https://administrator.de/contentid/6982320905
Ausgedruckt am: 18.12.2024 um 01:12 Uhr
11 Kommentare
Neuester Kommentar
Viele verwenden mittlerweile sogenannte Mail-Gateways, da gibt es von verschiedenen Herstellern Lösungen. Da wird der gesamte ein- und ausgehende Mail-Traffic vorab gescannt und entsprechend gefiltert.
Proofpoint macht das z.B. über Suricata oder Snort:
https://www.proofpoint.com/de/threat-reference/email-gateway
Proxmox Mail Gateway:
https://www.proxmox.com/de/proxmox-mail-gateway
Sophos kann es als zusätzliche Option direkt in deren Hardware Appliances integrieren:
https://www.sophos.com/de-de/products/sophos-email
Nur um mal paar Beispiele zu nennen. Aber eben auch kein 100%iger Schutz. Zero-Day-Exploits oder schlecht aktualisierte Signaturen schaffen da dann auch Lücken.
Proofpoint macht das z.B. über Suricata oder Snort:
https://www.proofpoint.com/de/threat-reference/email-gateway
Proxmox Mail Gateway:
https://www.proxmox.com/de/proxmox-mail-gateway
Sophos kann es als zusätzliche Option direkt in deren Hardware Appliances integrieren:
https://www.sophos.com/de-de/products/sophos-email
Nur um mal paar Beispiele zu nennen. Aber eben auch kein 100%iger Schutz. Zero-Day-Exploits oder schlecht aktualisierte Signaturen schaffen da dann auch Lücken.
Da macht ein mehrstufiger Ansatz Sinn:
Um das Ganze dann noch abzusichern, macht ein Policying Proxy Sinn, z.B. Clearswift Secure Web Gateway https://www.clearswift.com/products/secure-web-gateway-form
Damit fängst Du die ab, die doch mal draufklicken.
- Antivirus direkt auf dem Exchange (wir setzen überall WithSecure https://www.withsecure.com/de/support/product-support/business-suite ein) konfigurieren, daß alles, was halbwegs suspekt ist, in die Quarantäne kommt
- Transportregel machen, die Absender auf Pattern prüft, die zur Maskierung von internen Absendern verwendet werden können und die Nachrichten gleich ablehnen
- Transportregel machen, die eingehende Nachrichten auf Schlüsselwörter prüft, die in Phishingmails üblicherweise vorhanden sind (Password, Kennwort....) und prominente Hinweisnachricht voranstellen, die darauf hinweist
Um das Ganze dann noch abzusichern, macht ein Policying Proxy Sinn, z.B. Clearswift Secure Web Gateway https://www.clearswift.com/products/secure-web-gateway-form
Damit fängst Du die ab, die doch mal draufklicken.
Moin,
das Problem sind ja primär links und Anhänge.
Gegen gut gemachten Text kann man wenig machen.
Ein deutlcher Hinweis wenn die Mail von Extern kommt.
Dabei kann auch wieder unterscheiden zwischen bekannt und unbekannt.
SPF, DKIM und Co verwenden.
Alle Dateien die schädlichen Inhalt tragen können, ja auch Excel oder PDF, nur von bekannten Sendern zulassen.
Links werden von der Firwall geprüft.
Eine absolute Lösung gibt es dafür nicht ohne die Nutzbarkeit zu stark einzugrenzen.
Stefan
das Problem sind ja primär links und Anhänge.
Gegen gut gemachten Text kann man wenig machen.
Ein deutlcher Hinweis wenn die Mail von Extern kommt.
Dabei kann auch wieder unterscheiden zwischen bekannt und unbekannt.
SPF, DKIM und Co verwenden.
Alle Dateien die schädlichen Inhalt tragen können, ja auch Excel oder PDF, nur von bekannten Sendern zulassen.
Links werden von der Firwall geprüft.
Eine absolute Lösung gibt es dafür nicht ohne die Nutzbarkeit zu stark einzugrenzen.
Stefan
@tgvoelker
@TheUnreal
@StefanKittel
Gruß,
Dani
Antivirus direkt auf dem Exchange (wir setzen überall WithSecure https://www.withsecure.com/de/support/product-support/business-suite ein) konfigurieren, daß alles, was halbwegs suspekt ist, in die Quarantäne kommt
warum warten, bis das Zeug auf dem E-Mail-Server ist? Heutzutage ist man doch bestrebt Malware auf vorgelagerten Servern und nicht auf dem E-Mail-Server zu vermeiden. Gleiches gilt für Quarantäne. Vermeidliche Mails sollten nicht angenommen sondern im Zustellungsprozess abgelehnt werden (SMTP Proxy). Spart in der Regel eine Menge Zeit und Nerven. Und nein, SMTP Proxy ist nicht das Selbe wie SMTP Relay.@TheUnreal
wir haben NoSpamProxy als Mail GW im einsatz.
Nutzen wir ebenfalls mit Sandboxing. Anderenfalls ist der Betrieb als SMTP Proxy nicht mehr möglich.@StefanKittel
Alle Dateien die schädlichen Inhalt tragen können, ja auch Excel oder PDF, nur von bekannten Sendern zulassen.
Dafür wurden Sandboxes erfunden. Gruß,
Dani
@Dani
Um einen Antivirus auf dem Exchange kommst Du sowieso nicht vorbei, schon um interne Verbreitungen zu adressieren. Ein vorgelagertes System bringt Dir andere Schwachstellen rein und gaukelt Dir falsche Sicherheit vor, wie schon Deine Formulierung "das Zeug auf dem Emailserver" zeigt - letztlich blockt jeder Host nur, was er erkennt.
Vorgelagerte Systeme haben das Problem vorgelagert zu sein, nimmst Du mit so einem System an und der Exchange lehnt ab, erzeugst Du Bounces (und nichtmal sicherheitsinduzierte, da reicht schon ein Lag bei der Empfängerreplikation). Und einen Sicherheitsgewinn hast Du nicht: wieso sollte jemand intern was rumschicken dürfen, was Du von extern aus gutem Grund ablehnst? Mit Sicherheit nicht.
Wir prüfen generell gegen Spamhaus ZEN und Spamcop (der Exchange selber) und WithSecure prüft Anhänge gegen Signaturen und mit der Heuristik und URLs gegen SURBL. Zusätzlich werden alle ausführbaren Dateien und dateien mit ausführbarem Inhalt (inkl. intelligenter Dateityperkennung - heißt die werden angeschaut) geblockt, alle verschlüsselten Inhalte und alle Archive mit einer Archivierungstiefe von über 3 Ebenen. Die Prüfung erfolgt natürlich in abgetrennten Speicherbereichen und nicht durch Laden und Ausführen der ausführbaren Inhalte - WithSecure nennt das auch "Sandbox" - und wird auf einen separierten Quarantänespeicher gelegt sofern eingestellt (ansonsten verworfen).
Um einen Antivirus auf dem Exchange kommst Du sowieso nicht vorbei, schon um interne Verbreitungen zu adressieren. Ein vorgelagertes System bringt Dir andere Schwachstellen rein und gaukelt Dir falsche Sicherheit vor, wie schon Deine Formulierung "das Zeug auf dem Emailserver" zeigt - letztlich blockt jeder Host nur, was er erkennt.
Vorgelagerte Systeme haben das Problem vorgelagert zu sein, nimmst Du mit so einem System an und der Exchange lehnt ab, erzeugst Du Bounces (und nichtmal sicherheitsinduzierte, da reicht schon ein Lag bei der Empfängerreplikation). Und einen Sicherheitsgewinn hast Du nicht: wieso sollte jemand intern was rumschicken dürfen, was Du von extern aus gutem Grund ablehnst? Mit Sicherheit nicht.
Wir prüfen generell gegen Spamhaus ZEN und Spamcop (der Exchange selber) und WithSecure prüft Anhänge gegen Signaturen und mit der Heuristik und URLs gegen SURBL. Zusätzlich werden alle ausführbaren Dateien und dateien mit ausführbarem Inhalt (inkl. intelligenter Dateityperkennung - heißt die werden angeschaut) geblockt, alle verschlüsselten Inhalte und alle Archive mit einer Archivierungstiefe von über 3 Ebenen. Die Prüfung erfolgt natürlich in abgetrennten Speicherbereichen und nicht durch Laden und Ausführen der ausführbaren Inhalte - WithSecure nennt das auch "Sandbox" - und wird auf einen separierten Quarantänespeicher gelegt sofern eingestellt (ansonsten verworfen).
@tgvoelker
der klassische Virenscanner auf einem Windows Server lässt in der Regel die Finger von den Datenbanken und dazugehörigen Dateien. Damit lässt sich evtl. eine Verbreitung auf dem Server bzw. Dateisystem verringern oder sogar vermeiden. Aber einen Virenscanner mit einem SMTP Integration oder ähnliches nutzen wir seit 10 Jahren nicht mehr. Sehe hier meinen Nennens Würdigen Vorteil, der die notwendigen Ressourcen an CPU, RAM und Storage rechtfertigt. Zumal in dieser Kombination in der Vergangenheit schon öfters zu Problemen nach einem Exchange Update gekommen ist. Zugegeben ist es natürlich ein Unterschied ob du täglich 500 oder 1 Mio Mails verarbeitest.
Gruß,
Dani
der klassische Virenscanner auf einem Windows Server lässt in der Regel die Finger von den Datenbanken und dazugehörigen Dateien. Damit lässt sich evtl. eine Verbreitung auf dem Server bzw. Dateisystem verringern oder sogar vermeiden. Aber einen Virenscanner mit einem SMTP Integration oder ähnliches nutzen wir seit 10 Jahren nicht mehr. Sehe hier meinen Nennens Würdigen Vorteil, der die notwendigen Ressourcen an CPU, RAM und Storage rechtfertigt. Zumal in dieser Kombination in der Vergangenheit schon öfters zu Problemen nach einem Exchange Update gekommen ist. Zugegeben ist es natürlich ein Unterschied ob du täglich 500 oder 1 Mio Mails verarbeitest.
Vorgelagerte Systeme haben das Problem vorgelagert zu sein, nimmst Du mit so einem System an und der Exchange lehnt ab, erzeugst Du Bounces (und nichtmal sicherheitsinduzierte, da reicht schon ein Lag bei der Empfängerreplikation).
Darum sprach ich von SMTP Proxy und nicht von einem SMTP Relay. Kleiner aber feiner Unterschied.Und einen Sicherheitsgewinn hast Du nicht: wieso sollte jemand intern was rumschicken dürfen, was Du von extern aus gutem Grund ablehnst? Mit Sicherheit nicht.
Einen Sicherheitsgewinn hast du auf jeden Fall. Schon alleine dadurch dass man zwischen extern und intern differenziert. Wobei ich ehrlichweise sagen muss, wir differenzieren auch zwischen Intern Client und Intern Application. Geht es um Client so vertrauen wir natürlich Defender bzw. MSDE. Geht es um Applikationen auf Servern so müssen diese ebenfalls über einen dedizierte SMTP Proxy gehen wie externe E-Mails.Gruß,
Dani
Liegt eher an 500 als an 1 Mio, dürfte den meisten hier ähnlich gehen. Was den SMTP-Proxy angeht: ich sehe da keine Vorteile gegenüber einem Transportagent. Der Proxy läßt die Verbindung offen, bis der Exchange die schließt. Das heißt der Proxy hat auch nur dieselbe Kapazität wie der Exchange. Auch wenn der Overhead vernachlässigbar ist, Du hast aber mit einem Transportagenten alle Informationen im Exchange-Log. Finde ich persönlich besser und ist weniger Aufwand.
Anders sieht das natürlich aus, wenn Du viel Traffic hast und einen Multiplexer oder Loadbalancer brauchst - DA macht ein SMTP-Proxy schon Sinn. Nur kannst Du das auch als zusätzliche MX konfigurieren. Und wen interessierts, ob jetzt eine Mail 10 Sekunden länger unterwegs ist oder nicht.
Anders sieht das natürlich aus, wenn Du viel Traffic hast und einen Multiplexer oder Loadbalancer brauchst - DA macht ein SMTP-Proxy schon Sinn. Nur kannst Du das auch als zusätzliche MX konfigurieren. Und wen interessierts, ob jetzt eine Mail 10 Sekunden länger unterwegs ist oder nicht.
Intern Client und Intern Application
Das handhabe ich genau andersrum: den Clients sind generell weniger vertrauenswürdig als irgendwelche Applikationen, die mal 'ne Statusnachricht versenden. Sobald ein Benutzer dranrumfingert ist alles potentiell kompromitiert und wird damit so behandelt, wie Mails von extern (heißt: Restriktion für alle, in jedem Fall für alle unkontrollierten Umgebungen). Das halte ich für sicherer als Restriktionen nur für inbound Mails und Applikationen.