25
Emotet etc.: wie geht Ihr in Euren Netzwerken mit Mails um die Office-Anhäge enthalten?
Emotet zeigt es mal wieder: man kann sich auf nichts verlassen wo 'Office' im Anhang draufsteht.
Es sieht ja so aus, dass erst dann wenn man die Ausführung von Makros gestattet, der Teufel freigelassen wird.
Das reine Doppelklicken auf einen Anhang ist noch harmlos ..?
Nur: es gibt durchaus externe Partner mit denen man Office-Dokumente austauscht.
Was macht man mit sowas? Das Internet abschalten ...?
Danke für Eure Erfahrungen
Es sieht ja so aus, dass erst dann wenn man die Ausführung von Makros gestattet, der Teufel freigelassen wird.
Das reine Doppelklicken auf einen Anhang ist noch harmlos ..?
Nur: es gibt durchaus externe Partner mit denen man Office-Dokumente austauscht.
Was macht man mit sowas? Das Internet abschalten ...?
Danke für Eure Erfahrungen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 479704
Url: https://administrator.de/contentid/479704
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
25 Kommentare
Neuester Kommentar
Hi
Makros nur mit Signatur zulassen.
Die Partner haben dann ihre Makros zu signieren.
Im Zweifelsfall, weil der Partner zu inkompetent für sowas ist, muss ein Dokument halt von mir geprüft und signiert werden.
Makros nur mit Signatur zulassen.
Die Partner haben dann ihre Makros zu signieren.
Im Zweifelsfall, weil der Partner zu inkompetent für sowas ist, muss ein Dokument halt von mir geprüft und signiert werden.
Vorher rückfragen, ob die Mail auch vom Partner kam udn nur von leuten Office-Dokumente annhemen, mit denen man das abgesprochen hat. ggf mit Ende-zu-Ende-Verschlüsellung mit (verifizierten) Zertifikaten arbeiten.
Das Internet abschalten ...?
Einfach Euren Internetzugang kappen würde reichen. Wäre nicht nett, wenn Du "mein" Internet abschalten würdest.
lks
Hallo,
bei mir sind Macros nur mit gültiger Signatur zulässig.
Zudem:
Zudem bekommen .docm Dateien vom Spamfilter eine massive erhöhung des SPAM Score damit die garantiert blockiert werden.
.doc Dateien wird der SPAM Score deutlich erhöht damit die nur wenn wirklich bei Absender alles passt durch kommen.
.docx sind für mich erst mal unbedenklich
https://www.msxfaq.de/windows/endpointsecurity/officedokumente_und_siche ...
bei mir sind Macros nur mit gültiger Signatur zulässig.
Zudem:
Zudem bekommen .docm Dateien vom Spamfilter eine massive erhöhung des SPAM Score damit die garantiert blockiert werden.
.doc Dateien wird der SPAM Score deutlich erhöht damit die nur wenn wirklich bei Absender alles passt durch kommen.
.docx sind für mich erst mal unbedenklich
https://www.msxfaq.de/windows/endpointsecurity/officedokumente_und_siche ...
Moin,
b) Alte Formate wie doc, xls, ppt, etc... -> abgelehnt.
c) Anhänge mit Markos und nicht signiert sind -> abgelehnt.
d) Alle Anhänge werden auf einem Download-Server hochgeladen und in der eigentliche E-Mail entfernt. Es erfolgt ein Querverweis.
e) Alle Anhänge werden in einer Sandbox verschiedene Analysen/Tests unterzogen. Wenn die Prüfung zu einem negatives Resultat kommt, wird der Anhang freigebene zum Download. Bei positiven Resultat muss der Servicdesk eine Sichtprüfung vornehmen.
f) Jeden Morgen ein Gebet sprechen. Denn alle technischen Maßnahmen sind nicht 100% sicher.
Das ist ein grober Umriss. Da spielen im Detail noch weitere Parameter eine Rolle und das System hat uns einige graue Haare gekostet, bis die False Positv Meldungen auf 2% gesenkt waren.
Gruß,
Dani
Was macht man mit sowas?
a) Es wird der MIME Type der Datei geprüft. Denn die Dateiendung ist nicht verbindlich. Stimmt diese nicht überein -> abgelehnt.b) Alte Formate wie doc, xls, ppt, etc... -> abgelehnt.
c) Anhänge mit Markos und nicht signiert sind -> abgelehnt.
d) Alle Anhänge werden auf einem Download-Server hochgeladen und in der eigentliche E-Mail entfernt. Es erfolgt ein Querverweis.
e) Alle Anhänge werden in einer Sandbox verschiedene Analysen/Tests unterzogen. Wenn die Prüfung zu einem negatives Resultat kommt, wird der Anhang freigebene zum Download. Bei positiven Resultat muss der Servicdesk eine Sichtprüfung vornehmen.
f) Jeden Morgen ein Gebet sprechen. Denn alle technischen Maßnahmen sind nicht 100% sicher.
Das ist ein grober Umriss. Da spielen im Detail noch weitere Parameter eine Rolle und das System hat uns einige graue Haare gekostet, bis die False Positv Meldungen auf 2% gesenkt waren.
Das Internet abschalten ...?
Den Gedanken hatte ich in letzten Monaten immer öfters. Würde aber bei uns dafür sorgen, dass eine Vielzahl von ITlern arbeitslos wären. Gruß,
Dani
Moin,
durch Sicherheitslösung MIME-Typ von Anhängen prüfen lassen.
"Alte" Office-Formate (also die ohne X am Ende) und Office-Formate mit Makro werden ersatzlos gelöscht, auch kein Verschieben in Quarantäne.
Ausführbare Mailanhange gehen schon gar nicht, ab ins Nirwana.
Musik- und Videodateien als Anhang ab ins Nirwana (ja, gab es auch schon, dass z.B. ein Ingenieurbüro ein Videofilmchen einer Befahrung mit beigefügt hatte und keinen Cloud-Download vom dortigen Server angeboten hat).
Es kommen schon noch weitere Parameter mit hinzu, die je nach Dateityp greifen können.
Internet abschalten wäre manchmal echt mein Wunschtraum und wird es wohl ewig bleiben, wenn ich da an Künftiges wie die eRechnung etc. denke.
Und, natürlich nicht zu vergessen, Mitarbeiterschulung und -sensibilisierung (habe erst heute mal wieder die "10 Gebote zur Erkennung von Phishing-Mails" als Rundmail losgesandt)!
Edit:
Archivdateien sind ebenfalls per default gesperrt!!
Gruß
durch Sicherheitslösung MIME-Typ von Anhängen prüfen lassen.
"Alte" Office-Formate (also die ohne X am Ende) und Office-Formate mit Makro werden ersatzlos gelöscht, auch kein Verschieben in Quarantäne.
Ausführbare Mailanhange gehen schon gar nicht, ab ins Nirwana.
Musik- und Videodateien als Anhang ab ins Nirwana (ja, gab es auch schon, dass z.B. ein Ingenieurbüro ein Videofilmchen einer Befahrung mit beigefügt hatte und keinen Cloud-Download vom dortigen Server angeboten hat).
Es kommen schon noch weitere Parameter mit hinzu, die je nach Dateityp greifen können.
Internet abschalten wäre manchmal echt mein Wunschtraum und wird es wohl ewig bleiben, wenn ich da an Künftiges wie die eRechnung etc. denke.
Und, natürlich nicht zu vergessen, Mitarbeiterschulung und -sensibilisierung (habe erst heute mal wieder die "10 Gebote zur Erkennung von Phishing-Mails" als Rundmail losgesandt)!
Edit:
Archivdateien sind ebenfalls per default gesperrt!!
Gruß
Da wir schon letztes Jahr Erfahrung mit Emotet, Trickbot und Ryuk sammeln dürften sind derzeit alle Office Anhänge per Mail gesperrt.
Ansonsten werden Office Dokumente von Extern nur noch über die Cloud ausgetauscht.
Ansonsten werden Office Dokumente von Extern nur noch über die Cloud ausgetauscht.
1
Moin,
Gruß,
Dani
"Alte" Office-Formate (also die ohne X am Ende) und Office-Formate mit Makro werden ersatzlos gelöscht, auch kein Verschieben in Quarantäne.
...
Löschen ist eine schlechte Idee. Die E-Mail sauber mit 550 x.x.x ablehnen, damit die Gegenseite informiert ist. Somit gilt diese auch nicht als zugestellt. Denn es könnte doch einmal ein False Positiv dabei sein und somit hast du nicht der schwarze Peter sondern die Gegenstelle. ...
Gruß,
Dani
Moin...
natürlich kann der Kunde selber ausnahmen eintragen!
nun... einfach löschen ist albern, schon klar...in der regel bekommt der empfänger eine mail, das der Anhang XYZ. gelöscht wurde... je nach kundenwunsch der absender auch!
ich finde, in 99 % aller fälle reicht auch ein PDF....
Gruß,
Dani
Frank
Zitat von @Dani:
Moin,
bei unseren Kunden werden nicht nur Alte Office Formate... sondern alle Office Formate werden gelöscht!Moin,
"Alte" Office-Formate (also die ohne X am Ende) und Office-Formate mit Makro werden ersatzlos gelöscht, auch kein Verschieben in Quarantäne.
natürlich kann der Kunde selber ausnahmen eintragen!
...
Löschen ist eine schlechte Idee. Die E-Mail sauber mit 550 x.x.x ablehnen, damit die Gegenseite informiert ist. Somit gilt diese auch nicht als zugestellt. Denn es könnte doch einmal ein False Positiv dabei sein und somit hast du nicht der schwarze Peter sondern die Gegenstelle. ich finde, in 99 % aller fälle reicht auch ein PDF....
Gruß,
Dani
Moin,
Gruß,
Dani
nun... einfach löschen ist albern, schon klar...in der regel bekommt der empfänger eine mail, das der Anhang XYZ. gelöscht wurde... je nach kundenwunsch der absender auch!
euch ist aber klar, dass dieses Vorgehen nicht zu 100% der gesetzlichen Anforderung der rev. Archivierung konform ist. Denn theoretisch müsstest du die E-Mail mit Anhang wegsichern und parallel den Anhang löschen.Gruß,
Dani
Mahlzeit,
bei mir und vielen meiner Kunden mit eigenen Mailservern werden Office-Dokumente als Anhänge nicht automatisch in das Postfach des Empfängers zugestellt. Das gilt aber auch für viele andere Dateitypen als Anhänge.
Die Anhänge werden von der Mailsecurity in Quarantäne gepackt, der Empfänger bekommt die Quarantäne-Info und der entsprechende Benutzer bittet den Admin (zumeist uns), die entsprechende Mail aus der Quarantäne zu holen.
Das passiert entweder durch Abspeichern auf Dateifreigabe oder Zustellung per Mail.
bei mir und vielen meiner Kunden mit eigenen Mailservern werden Office-Dokumente als Anhänge nicht automatisch in das Postfach des Empfängers zugestellt. Das gilt aber auch für viele andere Dateitypen als Anhänge.
Die Anhänge werden von der Mailsecurity in Quarantäne gepackt, der Empfänger bekommt die Quarantäne-Info und der entsprechende Benutzer bittet den Admin (zumeist uns), die entsprechende Mail aus der Quarantäne zu holen.
Das passiert entweder durch Abspeichern auf Dateifreigabe oder Zustellung per Mail.
Zitat von @goscho:
Die Anhänge werden von der Mailsecurity in Quarantäne gepackt, der Empfänger bekommt die Quarantäne-Info und der entsprechende Benutzer bittet den Admin (zumeist uns), die entsprechende Mail aus der Quarantäne zu holen.
Die Anhänge werden von der Mailsecurity in Quarantäne gepackt, der Empfänger bekommt die Quarantäne-Info und der entsprechende Benutzer bittet den Admin (zumeist uns), die entsprechende Mail aus der Quarantäne zu holen.
Sei mir nicht böse, aber das ist meiner Meinung nach eine reine Arbeitsbeschaffung. Oder man ist masochistisch veranlagt.
Ich würd da nen Anfall bekommen wenn die Leute immer zu mir rennen.
Zitat von @Dani:
Moin,
b) Alte Formate wie doc, xls, ppt, etc... -> abgelehnt.
c) Anhänge mit Markos und nicht signiert sind -> abgelehnt.
d) Alle Anhänge werden auf einem Download-Server hochgeladen und in der eigentliche E-Mail entfernt. Es erfolgt ein Querverweis.
e) Alle Anhänge werden in einer Sandbox verschiedene Analysen/Tests unterzogen. Wenn die Prüfung zu einem negatives Resultat kommt, wird der Anhang freigebene zum Download. Bei positiven Resultat muss der Servicdesk eine Sichtprüfung vornehmen.
f) Jeden Morgen ein Gebet sprechen. Denn alle technischen Maßnahmen sind nicht 100% sicher.
Das ist ein grober Umriss. Da spielen im Detail noch weitere Parameter eine Rolle und das System hat uns einige graue Haare gekostet, bis die False Positv Meldungen auf 2% gesenkt waren.
Gruß,
Dani
Moin,
Was macht man mit sowas?
a) Es wird der MIME Type der Datei geprüft. Denn die Dateiendung ist nicht verbindlich. Stimmt diese nicht überein -> abgelehnt.b) Alte Formate wie doc, xls, ppt, etc... -> abgelehnt.
c) Anhänge mit Markos und nicht signiert sind -> abgelehnt.
d) Alle Anhänge werden auf einem Download-Server hochgeladen und in der eigentliche E-Mail entfernt. Es erfolgt ein Querverweis.
e) Alle Anhänge werden in einer Sandbox verschiedene Analysen/Tests unterzogen. Wenn die Prüfung zu einem negatives Resultat kommt, wird der Anhang freigebene zum Download. Bei positiven Resultat muss der Servicdesk eine Sichtprüfung vornehmen.
f) Jeden Morgen ein Gebet sprechen. Denn alle technischen Maßnahmen sind nicht 100% sicher.
Das ist ein grober Umriss. Da spielen im Detail noch weitere Parameter eine Rolle und das System hat uns einige graue Haare gekostet, bis die False Positv Meldungen auf 2% gesenkt waren.
Das Internet abschalten ...?
Den Gedanken hatte ich in letzten Monaten immer öfters. Würde aber bei uns dafür sorgen, dass eine Vielzahl von ITlern arbeitslos wären. Gruß,
Dani
Mit was für einer Software oder Gateway arbeitet ihr bei dem Vorgehen?
Zitat von @wiesi200:
Sei mir nicht böse, aber das ist meiner Meinung nach eine reine Arbeitsbeschaffung. Oder man ist masochistisch veranlagt.
Ich würd da nen Anfall bekommen wenn die Leute immer zu mir rennen.
Ja, das ist Aufwand.Zitat von @goscho:
Die Anhänge werden von der Mailsecurity in Quarantäne gepackt, der Empfänger bekommt die Quarantäne-Info und der entsprechende Benutzer bittet den Admin (zumeist uns), die entsprechende Mail aus der Quarantäne zu holen.
Die Anhänge werden von der Mailsecurity in Quarantäne gepackt, der Empfänger bekommt die Quarantäne-Info und der entsprechende Benutzer bittet den Admin (zumeist uns), die entsprechende Mail aus der Quarantäne zu holen.
Sei mir nicht böse, aber das ist meiner Meinung nach eine reine Arbeitsbeschaffung. Oder man ist masochistisch veranlagt.
Ich würd da nen Anfall bekommen wenn die Leute immer zu mir rennen.
Dieser Aufwand wird uns von unseren Kunden bezahlt.
Es rennt niemand zu mir. Es kommt eine Mail mit der Bitte um Zustellung der Anhänge.
Wir hatten getestet, Office-Dokumente komplett abzulehnen -> das war nicht umsetzbar.
Allein den Endbenutzer entscheiden lassen, ging ebensowenig.
PS: Viel häufiger als Office-Dokumente kommen Archive als ZIP oder RAR bei den Benutzern an. Das sind oft Pläne und weitere Dokumente und Bilder. Auch die werden einzeln freigegeben.
Es sieht ja so aus, dass erst dann wenn man die Ausführung von Makros gestattet, der Teufel freigelassen wird.
Nein, nicht wenn man einen Mac unter Mac OS hat.Nur rein Winblows User sind die Gekniffenen wie immer
Und...es gibt auch noch LibreOffice...
Zitat von @aqui:
Es sieht ja so aus, dass erst dann wenn man die Ausführung von Makros gestattet, der Teufel freigelassen wird.
Nein, nicht wenn man einen Mac unter Mac OS hat.Makroviren gibt es auch sowohl und MacOS als auch unter Linux. Selbst mit Libre- oder OpenOffice ist man davor nicht gefeit.
Allerdings machen sich die Malware-Programmierer selten die Mühe, wirklich plattformübergreifend zu programmieren
lks
PS: Look, No Hands! -- The Remote, Interaction-less Attack Surface of the iPhone. (Ja ich weiß, macOS und IOS sind verschiedene Paar Stiefel).
Sorry, aber das find ich noch schlimmer.
Servus,
und, da hier LibreOffice genannt wird, war da aktuell nicht noch was?
https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-exe ...
Gruß
und, da hier LibreOffice genannt wird, war da aktuell nicht noch was?
https://insinuator.net/2019/07/libreoffice-a-python-interpreter-code-exe ...
Gruß
Ist längst gefixt wie immer bei Open Source
https://www.heise.de/security/meldung/Schutz-vor-Emotet-Besserer-Umgang- ...
https://www.heise.de/security/meldung/Schutz-vor-Emotet-Besserer-Umgang- ...
Moin...
Moin...
viele kunden lassen alles in ihren mailstore laufen... muss aber nicht sein, grundsätzlich brauchst du keinen Virus zoo für das finanzamt züchten!
Frank
Gruß,
Dani
Moin...
Zitat von @Dani:
Moin,
das ist so nicht richtig... es müssen nur steuerrechtlich relevante elektronischen daten unter bezug auf die grundsätze ordnungsgemäßer buchführung archiviert werden....Moin,
nun... einfach löschen ist albern, schon klar...in der regel bekommt der empfänger eine mail, das der Anhang XYZ. gelöscht wurde... je nach kundenwunsch der absender auch!
euch ist aber klar, dass dieses Vorgehen nicht zu 100% der gesetzlichen Anforderung der rev. Archivierung konform ist. Denn theoretisch müsstest du die E-Mail mit Anhang wegsichern und parallel den Anhang löschen.viele kunden lassen alles in ihren mailstore laufen... muss aber nicht sein, grundsätzlich brauchst du keinen Virus zoo für das finanzamt züchten!
Frank
Gruß,
Dani
Was ist schlimm daran, solche Dienstleistungen anzubieten, wenn der Kunde niemanden mit EDV-Kenntnissen hat?
Das ist eine stinknormale Admintätigkeit, ähnlich wie das Wiederherstellen "verschwundener" Dateien oder Mails aus dem Backup. Auch dafür haben diese Firmen niemanden, der das kann.
Das ist eine stinknormale Admintätigkeit, ähnlich wie das Wiederherstellen "verschwundener" Dateien oder Mails aus dem Backup. Auch dafür haben diese Firmen niemanden, der das kann.
OT: und dann per Elster übermitteln. 
och... das würde ich auch persönlich überbringen
Frank
Zitat von @goscho:
Das ist eine stinknormale Admintätigkeit, ähnlich wie das Wiederherstellen "verschwundener" Dateien oder Mails aus dem Backup. Auch dafür haben diese Firmen niemanden, der das kann.
Das ist eine stinknormale Admintätigkeit, ähnlich wie das Wiederherstellen "verschwundener" Dateien oder Mails aus dem Backup. Auch dafür haben diese Firmen niemanden, der das kann.
Moin,
Früher™ hat man die Bänder aus dem Schrank geholt und eingelegt oder wieder weggelegt, heute macht man das mit Mails.
Früher™ nannte man das Operator, heute Administrator.
lks
Moin,
Gruß,
Dani
das ist so nicht richtig... es müssen nur steuerrechtlich relevante elektronischen daten unter bezug auf die grundsätze ordnungsgemäßer buchführung archiviert werden....
Hm. Soweit ich das von uns weiß geht es nicht nur um steuerrechtliche Daten sondern auch um geschäftsrelevante Daten (Zeitsysteme, Vertragsunterlagen, Geschäftsbriefe, etc...) . Was einen deutlichen größeren Umfang bedeutet als nur der von dir genannte Bereich. Bei uns gab es vor 5-6 Jahren einen rießen Aufstand mit allem drum und dran bezüglich der von euch genannten Methode. Weil die E-Mail verändert worden ist und daher nicht mehr dem Original entspricht. Wir z.B. schieben alle eingehende/ausgehende E-Mails über den SMTP-Proxy in ein WORM Datenbank. Wird eine E-Mail abgelehnt so wird diese natürlich nicht erfasset. Denn es ist auf Grund der Massen an E-Mails gar nicht mehr möglich manuell zu filtern, was darunter (nicht) fällt. Denn auf die manuell Archivierung der Mitarbeiter zu vertrauen, ist uns in diesem Fall zu gefährlich. Wer schon mal die Steuerfahnung bzw. Finanzamt ärger hatte, weiß was ich meine. Gruß,
Dani
