16
Quarantänesystem für Mails mit MSOffice-Anhängen wg. Ransomware
Hallo.
Wir haben in 2016 wegen der damals ersten Ransomwares wie Locky & Konsorten den Mailempfang von Mails, die MSOffice-Anhänge hatten, per Exchange gesperrt. Alle Absender, die uns eine solche Mail zusenden, kriegen einen NDR, in dem drinsteht, daß wir aus Sicherheitsgründen keine Mails mit MSOffice-Anhängen annehmen, die Absender möchten stattdessen bitte PDFs senden.
Eine ziemliche Brechstangenmethode, die aber bis heute gut funktioniert.
Es kommt selten vor, daß wir unbedingt eine Mail mit einem MSOffice-Anhang kriegen müssen (bspw. bei einem Excel-Sheet, das ausgefüllt werden und ausgefüllt zurückgesandt werden muß, nützt ein PDF rein gar nichts), in diesen Fällen haben wir Notpostfächer bei 1 und 1 mit einer anderen Maildomäne, die nicht über unseren Exchange eingehen, sondern nur von einem ausgewählten, geschulten und sensibilisierten Personenkreis per Webinterface bei 1 und 1 direkt abgerufen werden können. Auch das funktioniert gut, ist aber lästig, wie Ihr Euch vorstellen könnt.
Es kommt hinzu, daß mir allmählich meine Reputation als Systembetreuer flöten geht, weil meine Anwender z. B. bei Kursen erfahren, daß die Admins in anderen Läden das Problem angeblich längst im Griff hätten, bei diesen keine Gefahr durch MSOffice-Anhänge mehr bestünde und diese deshalb sehr wohl empfangen würden. Angeblich würden diese zunächst quarantänisert, und die Admins schauen den Quarantänebereich 1 - 2 mal täglich durch und stellen die Mails mit MSOffice-Anhängen, die nach Prüfung durch den Admin als ungefährlich/sauber gelten, nachträglich intern zu.
Fragen:
- wie machen die das?
- welche Softwaresysteme sind da vermutlich im Einsatz?
- wie macht Ihr das?
Wir haben TM WFBS Advanced in der aktuellen Fassung zur Verfügung. Wir hatten im letzten Jahr auch probiert, die MSOffice-Anlagensperre darüber zu verwirklichen (anstatt über Exchange), allerdings sind wir daran gescheitert, daß die TM-Mechanismen auch nach innen wirken, also auch intern keine MSOffice-Dokumente per Mail mehr verschickt werden konnten. Und ob da ein Quarantänesystem dabei gewesen wäre, aus dem die ungefährlichen Mails doch noch nachträglich rausgeholt und intern nachträglich zugestellt werden können, weiß ich gar nicht.
Kann jemand meine Fragen beantworten?
Was ratet Ihr mir, was wir tun können? Von TM WFBS Advanced gibt's seit kurzem die Version 9.5, geht da evtl. mehr?
Wäre klasse, wenn jemand etwas dazu wüßte.
Vielen Dank.
Viele Grüße
von
departure69
Wir haben in 2016 wegen der damals ersten Ransomwares wie Locky & Konsorten den Mailempfang von Mails, die MSOffice-Anhänge hatten, per Exchange gesperrt. Alle Absender, die uns eine solche Mail zusenden, kriegen einen NDR, in dem drinsteht, daß wir aus Sicherheitsgründen keine Mails mit MSOffice-Anhängen annehmen, die Absender möchten stattdessen bitte PDFs senden.
Eine ziemliche Brechstangenmethode, die aber bis heute gut funktioniert.
Es kommt selten vor, daß wir unbedingt eine Mail mit einem MSOffice-Anhang kriegen müssen (bspw. bei einem Excel-Sheet, das ausgefüllt werden und ausgefüllt zurückgesandt werden muß, nützt ein PDF rein gar nichts), in diesen Fällen haben wir Notpostfächer bei 1 und 1 mit einer anderen Maildomäne, die nicht über unseren Exchange eingehen, sondern nur von einem ausgewählten, geschulten und sensibilisierten Personenkreis per Webinterface bei 1 und 1 direkt abgerufen werden können. Auch das funktioniert gut, ist aber lästig, wie Ihr Euch vorstellen könnt.
Es kommt hinzu, daß mir allmählich meine Reputation als Systembetreuer flöten geht, weil meine Anwender z. B. bei Kursen erfahren, daß die Admins in anderen Läden das Problem angeblich längst im Griff hätten, bei diesen keine Gefahr durch MSOffice-Anhänge mehr bestünde und diese deshalb sehr wohl empfangen würden. Angeblich würden diese zunächst quarantänisert, und die Admins schauen den Quarantänebereich 1 - 2 mal täglich durch und stellen die Mails mit MSOffice-Anhängen, die nach Prüfung durch den Admin als ungefährlich/sauber gelten, nachträglich intern zu.
Fragen:
- wie machen die das?
- welche Softwaresysteme sind da vermutlich im Einsatz?
- wie macht Ihr das?
Wir haben TM WFBS Advanced in der aktuellen Fassung zur Verfügung. Wir hatten im letzten Jahr auch probiert, die MSOffice-Anlagensperre darüber zu verwirklichen (anstatt über Exchange), allerdings sind wir daran gescheitert, daß die TM-Mechanismen auch nach innen wirken, also auch intern keine MSOffice-Dokumente per Mail mehr verschickt werden konnten. Und ob da ein Quarantänesystem dabei gewesen wäre, aus dem die ungefährlichen Mails doch noch nachträglich rausgeholt und intern nachträglich zugestellt werden können, weiß ich gar nicht.
Kann jemand meine Fragen beantworten?
Was ratet Ihr mir, was wir tun können? Von TM WFBS Advanced gibt's seit kurzem die Version 9.5, geht da evtl. mehr?
Wäre klasse, wenn jemand etwas dazu wüßte.
Vielen Dank.
Viele Grüße
von
departure69
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 342539
Url: https://administrator.de/forum/quarantaenesystem-fuer-mails-mit-msoffice-anhaengen-wg-ransomware-342539.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
16 Kommentare
Neuester Kommentar
Huhu departure69,
Vermutlich über eine Spamwall, in der definiert ist, das alle Anhänge (.doc/m, zip, usw.) nicht an die MA gehen, sondern in ein extra Postfach, wo nur die Admins Zugang haben.
Spamwall, z.B. die Barracuda.
Spamwall, Office-Dokumente mit Makros werden gar nicht durchgelassen.
ZIP kommt in Quarantäne, wird durch uns geprüft.
Haben auch den TM im Einsatz, die neue Version habe ich aber noch nicht getestet, steht bevor.
Kannst du im TM nicht definieren, das er das Lokale Netz nicht checkt? Da kann ich dir leider gerade nicht helfen.
Viele Grüße
- wie machen die das?
Vermutlich über eine Spamwall, in der definiert ist, das alle Anhänge (.doc/m, zip, usw.) nicht an die MA gehen, sondern in ein extra Postfach, wo nur die Admins Zugang haben.
- welche Softwaresysteme sind da vermutlich im Einsatz?
Spamwall, z.B. die Barracuda.
- wie macht Ihr das?
Spamwall, Office-Dokumente mit Makros werden gar nicht durchgelassen.
ZIP kommt in Quarantäne, wird durch uns geprüft.
Haben auch den TM im Einsatz, die neue Version habe ich aber noch nicht getestet, steht bevor.
Kannst du im TM nicht definieren, das er das Lokale Netz nicht checkt? Da kann ich dir leider gerade nicht helfen.
Viele Grüße
1
Hhmmm, verstehe, Barracuda Spamwall ...
Mag gar nicht dran denken, was das kosten könnte, bestimmt hoch 4stellig oder gar 5stellig, da müßte ich erst mal nachfragen, ob wir dafür wirklich Geld in die Hand nehmen würden.
Hier läuft gerade das Upgrade auf TM WFBS 9.5, mal sehen, was es da neues gibt, in der ReadMe steht schonmal drin, daß der Schutz vor Ramsomware nochmals deutlich erhöht wurde ...
Unter 9.0 SP2 ging es nicht, mal sehen, ob es dazu in 9.5 etwas neues gibt.
Weiß jemand, ob TM WFBS sowas wie eine Mailquarantäne hat, in der sich die Mails nachträglich sichten/herausholen lassen, um sie - bei entspr. "Sauberkeit" - nachträglich zustellen zu können?
Vielen Dank.
Viele Grüße
von
deüarture69
Mag gar nicht dran denken, was das kosten könnte, bestimmt hoch 4stellig oder gar 5stellig, da müßte ich erst mal nachfragen, ob wir dafür wirklich Geld in die Hand nehmen würden.
Hier läuft gerade das Upgrade auf TM WFBS 9.5, mal sehen, was es da neues gibt, in der ReadMe steht schonmal drin, daß der Schutz vor Ramsomware nochmals deutlich erhöht wurde ...
Kannst du im TM nicht definieren, das er das Lokale Netz nicht checkt?
Unter 9.0 SP2 ging es nicht, mal sehen, ob es dazu in 9.5 etwas neues gibt.
Weiß jemand, ob TM WFBS sowas wie eine Mailquarantäne hat, in der sich die Mails nachträglich sichten/herausholen lassen, um sie - bei entspr. "Sauberkeit" - nachträglich zustellen zu können?
Vielen Dank.
Viele Grüße
von
deüarture69
Mag gar nicht dran denken, was das kosten könnte, bestimmt hoch 4stellig oder gar 5stellig, da müßte ich erst mal nachfragen, ob wir dafür
wirklich Geld in die Hand nehmen würden.
wirklich Geld in die Hand nehmen würden.
4 Stellig(nicht so hoch) kannst schon rechnen, lass dir einfach mal ein Angebot geben.
Ansonsten fragst du deine "schlauen User" mal, die wissen doch eh immer alles besser :P
Hallo,
viele Wege führen nach Rom, aber der einfachste Einstieg für Exchange-Nutzer dürfte eine Moderationsregel sein (..."zur Genehmigung umleiten" oder so).
Grüße
Richard
viele Wege führen nach Rom, aber der einfachste Einstieg für Exchange-Nutzer dürfte eine Moderationsregel sein (..."zur Genehmigung umleiten" oder so).
Grüße
Richard
Hallo,
Wenn ich als Admin permanent Mails durchsehen müsste ob die in Ordnung sind, dann würd ich einen Anfall bekommen.
Da ist mir meine Arbeitszeit zu schade. Ich hab per GPO für Office Macros die nicht einwandfrei Signiert sind deaktiviert. Da erschlägt man meiner Meinung nach ziemlich viel
Wenn ich als Admin permanent Mails durchsehen müsste ob die in Ordnung sind, dann würd ich einen Anfall bekommen.
Da ist mir meine Arbeitszeit zu schade. Ich hab per GPO für Office Macros die nicht einwandfrei Signiert sind deaktiviert. Da erschlägt man meiner Meinung nach ziemlich viel
Moin,
), aber dafür gibt es direkt auf dem Server einen Quarantäneordner für die monierten Anhänge.
LG, Thomas
Es kommt hinzu, daß mir allmählich meine Reputation als Systembetreuer flöten geht
wird daran liegen, dass Du nicht mal die RTFM-Regel befolgst ...Kannst du im TM nicht definieren, das er das Lokale Netz nicht checkt?
Zumindest nicht bis release 9.3 ...Weiß jemand, ob TM WFBS sowas wie eine Mailquarantäne hat, in der sich die Mails nachträglich sichten/herausholen lassen
Das Handbuch weiss das ... es gibt keine Quarantäne für emails mit ausgeschlossenen Anhängen (Du willst ja auch nicht die mail filtern, sondern die Adnexen ), aber dafür gibt es direkt auf dem Server einen Quarantäneordner für die monierten Anhänge.Hier läuft gerade das Upgrade auf TM WFBS 9.5
Ist das Teil schon im final release?? Letzte Woche war das noch in der Betaphase ...LG, Thomas
Hallo,
die Anwender die einem so etwas erzählen sollten mal überlegen was da bei einem >600 Mitarbeiter Betrieb an Arbeit wartet.
Es ist schon ein Unterschied ob da mehrere hundert Mitarbeiter arbeiten oder nur 20!
Wir nutzen eine UTM am WAN mit Antispam und Antivirus Scann und dann einen anderen AV Scanner auf dem Mailserver
(MS Exchange) und den Klienten. Zusätzlich haben wir das genau so via GPO unterbunden wie es @wiesi200 erledigt hat
und dann noch einmal die Software QuickView Plus die sich in Outlook 2013 integriert und dort einen Betrachter installiert
der dann zwar alle Dokumente öffnet aber keinen Code ausführt!
Gruß
Dobby
die Anwender die einem so etwas erzählen sollten mal überlegen was da bei einem >600 Mitarbeiter Betrieb an Arbeit wartet.
Es ist schon ein Unterschied ob da mehrere hundert Mitarbeiter arbeiten oder nur 20!
Wir nutzen eine UTM am WAN mit Antispam und Antivirus Scann und dann einen anderen AV Scanner auf dem Mailserver
(MS Exchange) und den Klienten. Zusätzlich haben wir das genau so via GPO unterbunden wie es @wiesi200 erledigt hat
und dann noch einmal die Software QuickView Plus die sich in Outlook 2013 integriert und dort einen Betrachter installiert
der dann zwar alle Dokumente öffnet aber keinen Code ausführt!
Gruß
Dobby
@wiesi200:
@108012:
Danke für Eure Antworten.
Ich kann leider keine Makros deaktivieren, dann funktioniert unser Briefkopf, der per VBA so einiges aus dem AD zum Befüllen eben dieses Briefkopfes holt, nicht mehr.
Angenommen, ich würde das Verzeichnis, in dem alle User in ihrem Userhome die vorgenannten Briefkopfvorlagen lagern (ist bei allen H:\Vorlagen), als vertrauenswürdigen Netzwerkspeicherort definieren wollen:
Kann da überhaupt ein Pfad wie H:\Vorlagen angegeben werden, oder braucht es da nicht eher eine UNC-Notation? Falls doch, wie sperre ich dann alle Makros außer denjenigen in dem genannten Ort H:\Vorlagen?
Latürnich kann ich mir so einiges dazu ergoogeln, aber die Anleitungen, die ich dazu fand, verbieten mit der Brechstange einfach gänzlich alles, was VBA heißt, da funktioniert dann kein einziges Makro mehr (hab's mit einer lokalen GPO ausprobiert, der Briefkopf funktioniert nicht mehr). Oder würden definierte, vertrauenswürdige Netzwerkspeicherorte sich darüber hinwegsetzen? Das folgende Beispiel sagt das zumindest in den Kommentaren. Wenn das ginge, wäre das die Lösung:
http://www.matthias-staud.de/2016/03/microsoft-office-makros-per-gruppe ...
Kann ich jetzt VBA nach der Anleitung generell verbieten und trotzdem H:\Vorlagen als vertrauenswürdigen Speicherort für alle definieren? Haut mein Vorhaben so hin? Wie gesagt, falls ja, wäre das die Lösung.
Vielen Dank.
Viele Grüße
von
departure69
@108012:
Danke für Eure Antworten.
Ich kann leider keine Makros deaktivieren, dann funktioniert unser Briefkopf, der per VBA so einiges aus dem AD zum Befüllen eben dieses Briefkopfes holt, nicht mehr.
Angenommen, ich würde das Verzeichnis, in dem alle User in ihrem Userhome die vorgenannten Briefkopfvorlagen lagern (ist bei allen H:\Vorlagen), als vertrauenswürdigen Netzwerkspeicherort definieren wollen:
Kann da überhaupt ein Pfad wie H:\Vorlagen angegeben werden, oder braucht es da nicht eher eine UNC-Notation? Falls doch, wie sperre ich dann alle Makros außer denjenigen in dem genannten Ort H:\Vorlagen?
Latürnich kann ich mir so einiges dazu ergoogeln, aber die Anleitungen, die ich dazu fand, verbieten mit der Brechstange einfach gänzlich alles, was VBA heißt, da funktioniert dann kein einziges Makro mehr (hab's mit einer lokalen GPO ausprobiert, der Briefkopf funktioniert nicht mehr). Oder würden definierte, vertrauenswürdige Netzwerkspeicherorte sich darüber hinwegsetzen? Das folgende Beispiel sagt das zumindest in den Kommentaren. Wenn das ginge, wäre das die Lösung:
http://www.matthias-staud.de/2016/03/microsoft-office-makros-per-gruppe ...
Kann ich jetzt VBA nach der Anleitung generell verbieten und trotzdem H:\Vorlagen als vertrauenswürdigen Speicherort für alle definieren? Haut mein Vorhaben so hin? Wie gesagt, falls ja, wäre das die Lösung.
Vielen Dank.
Viele Grüße
von
departure69
@keine-ahnung:
Hallo.
Danke für Deine Antwort.
Entweder bin ich zu blöde, Dein geschriebenes Wort zu kapieren, oder Du schreibst wirr, sorry. Was meinst Du mit den "monierten Anhängen"? Doch solche, die ich definiert habe, oder bloß die, die TM von Haus aus wg. Verdacht auf Schadsoftware quarantänisiert?
EDIT:
Bitte vielmals um Entschuldigung, hab's gefunden:
Auch hieraus geht mir das nicht eindeutig hervor (ist für Version 8, aber da wird sich grundlegend nicht so viel verändert haben): http://docs.trendmicro.com/all/smb/wfbs-s/v8.0/de-de/wfbs_8.0_olhsrv/qu ...
Doch selbst wenn, löst das nicht das Problem, das ich nach innen habe, auch in 9.5, hier seit gestern installiert, wird nur von "eingehend" und "ausgehend" gesprochen, und auch interne Mails sind in Exchange Ein- und Ausgänge. Intern möchten wir uns natürlich weiterhin einschränkungsfrei MSOffice-Dokumente per Mail zusenden können.
Es sieht so aus, als sei TM WFBS, auch in der neuesten Version 9.5, hierbei eine Sackgasse bzw. hilft mir nicht zum geschilderten Problem.
Viele Grüße
von
departure69
Hallo.
Danke für Deine Antwort.
Das Handbuch weiss das ... es gibt keine Quarantäne für emails mit ausgeschlossenen Anhängen (Du willst ja auch nicht die mail filtern, sondern die Adnexen ), aber dafür gibt es direkt auf dem Server einen Quarantäneordner für die monierten Anhänge.
Entweder bin ich zu blöde, Dein geschriebenes Wort zu kapieren, oder Du schreibst wirr, sorry. Was meinst Du mit den "monierten Anhängen"? Doch solche, die ich definiert habe, oder bloß die, die TM von Haus aus wg. Verdacht auf Schadsoftware quarantänisiert?
EDIT:
Bitte vielmals um Entschuldigung, hab's gefunden:
Auch hieraus geht mir das nicht eindeutig hervor (ist für Version 8, aber da wird sich grundlegend nicht so viel verändert haben): http://docs.trendmicro.com/all/smb/wfbs-s/v8.0/de-de/wfbs_8.0_olhsrv/qu ...
Doch selbst wenn, löst das nicht das Problem, das ich nach innen habe, auch in 9.5, hier seit gestern installiert, wird nur von "eingehend" und "ausgehend" gesprochen, und auch interne Mails sind in Exchange Ein- und Ausgänge. Intern möchten wir uns natürlich weiterhin einschränkungsfrei MSOffice-Dokumente per Mail zusenden können.
Es sieht so aus, als sei TM WFBS, auch in der neuesten Version 9.5, hierbei eine Sackgasse bzw. hilft mir nicht zum geschilderten Problem.
Viele Grüße
von
departure69
Moin,
Officekrams müssen wir bei uns auch nicht per mail verschicken - nutzen wir intern kaum.
Wenn Du das brauchst, musst Du tatsächlich andere Wege gehen - s.o.
LG, Thomas
Intern möchten wir uns natürlich weiterhin einschränkungsfrei MSOffice-Dokumente per Mail zusenden können.
wenn das mit 9.5 nicht geändert wurde, hast Du die Wahl zwischen Pest und Cholera. Das ist halt nur ein Ein- und Ausschalter - unelegant, aber für mich nutzbar.Officekrams müssen wir bei uns auch nicht per mail verschicken - nutzen wir intern kaum.
Wenn Du das brauchst, musst Du tatsächlich andere Wege gehen - s.o.
LG, Thomas
1Officekrams müssen wir bei uns auch nicht per mail verschicken - nutzen wir intern kaum.
Ist bei uns das selbe, evtl. können die User ja umdenken, und sich den Pfad einfach per Mail senden?
Ich habe jetzt nicht gelesen, was meine Vorredner zum Besten gegeben haben.
So mache ich es:
Ich habe hinter einer normalen Firewall einen EX2010 direkt stehen.
Darauf installiert sind Sophos PureMessage for Exchange und AntiVirus.
Zusätzlich habe ich alle mit Ex2010 mitgelieferten AntiSpam_Agenten installiert und konfiguriert. Wir prüfen gegen 8 Sperrlistenabieter und gegen eine interne Sperrliste.
Etwa 97% Emailschrott werden durch die Agenten schon vom Server geblockt.
Die restlichen 3% werden durch Sophos geprüft. Hat eine Email einen potentiell gefährlichen Anhang, wird sie im Contentfilter eingefangen, der Nutzer erhält eine Nachricht und ich prüfe die Email.
Diese Konfiguration halte ich für durchaus sinnvoll, auch wenn das Risiko eines hohen Kolateralschadens besteht. Das hängt aber mit meiner Sperrrichtlinie zusammen. Sollte sich unter den 3% nämlich ein Schlawiner befinden, den die Spamagenten hätten aufhalten müssen, prüfe ich über Sophos, die originale IP und sperre meist das übergeordnete Subnetz.
Der Spamagent für die Sperrliste hat eine entsprechende Nachricht, die auf SMTP-Ebene zurückgeht. Dort steht eine spezielle Telefonnummer drin, über die ein Whitelisting beantragt werden kann.
Ich folge dem Motto:
Das Senden einer Email ist ein gutes Recht.
Der Empfang (die Annahme) deiner gesendeten Email ist aber ein Privileg, das dir sehr schnell entzogen werden kann.
So mache ich es:
Ich habe hinter einer normalen Firewall einen EX2010 direkt stehen.
Darauf installiert sind Sophos PureMessage for Exchange und AntiVirus.
Zusätzlich habe ich alle mit Ex2010 mitgelieferten AntiSpam_Agenten installiert und konfiguriert. Wir prüfen gegen 8 Sperrlistenabieter und gegen eine interne Sperrliste.
Etwa 97% Emailschrott werden durch die Agenten schon vom Server geblockt.
Die restlichen 3% werden durch Sophos geprüft. Hat eine Email einen potentiell gefährlichen Anhang, wird sie im Contentfilter eingefangen, der Nutzer erhält eine Nachricht und ich prüfe die Email.
Diese Konfiguration halte ich für durchaus sinnvoll, auch wenn das Risiko eines hohen Kolateralschadens besteht. Das hängt aber mit meiner Sperrrichtlinie zusammen. Sollte sich unter den 3% nämlich ein Schlawiner befinden, den die Spamagenten hätten aufhalten müssen, prüfe ich über Sophos, die originale IP und sperre meist das übergeordnete Subnetz.
Der Spamagent für die Sperrliste hat eine entsprechende Nachricht, die auf SMTP-Ebene zurückgeht. Dort steht eine spezielle Telefonnummer drin, über die ein Whitelisting beantragt werden kann.
Ich folge dem Motto:
Das Senden einer Email ist ein gutes Recht.
Der Empfang (die Annahme) deiner gesendeten Email ist aber ein Privileg, das dir sehr schnell entzogen werden kann.
@wuurian:
Siehe Fettmarkierung: Du verlangst unmögliches von meinen Leuten.
Außerdem müßten die erstmal wissen, was ein "Pfad" ist
Es ist schwierig, die Benutzer von seit Jahren/Jahrzehnten gewohnten Arbeitsweisen wegzulocken:
- der Desktop ist Speicherort für Alles
- Microsoft Word ist das Programm für Alles
- der Windows-Explorer existiert nur in Form der Öffnen- und/oder Speichern-Dialoge von Word
- "wo haben Sie die Datei denn gespeichert?" - "In Word"
Vergiß es, meine Leute wollen weiterhin intern Mails mit Microsoft-Office-Anhängen versenden und empfangen. Ab und zu verwirre ich sie mit Links in Mails, die per Hypertext ins lokale Dateisystem auf dem Fileserver über die UNC-notierte Freigabe verweisen - da gibt's ja dann keine LW-Buchstaben. Sind dann komplett überfordert.
Ich muß wohl damit klarkommen, daß TM WFBS auch in der neuesten Version 9.5 bei Filterung nicht zwischen intern und extern unterscheiden kann.
Viele Grüße
von
departure69
Ist bei uns das selbe, evtl. können die User ja umdenken, und sich den Pfad einfach per Mail senden?
Siehe Fettmarkierung: Du verlangst unmögliches von meinen Leuten.
Außerdem müßten die erstmal wissen, was ein "Pfad" ist
Es ist schwierig, die Benutzer von seit Jahren/Jahrzehnten gewohnten Arbeitsweisen wegzulocken:
- der Desktop ist Speicherort für Alles
- Microsoft Word ist das Programm für Alles
- der Windows-Explorer existiert nur in Form der Öffnen- und/oder Speichern-Dialoge von Word
- "wo haben Sie die Datei denn gespeichert?" - "In Word"
Vergiß es, meine Leute wollen weiterhin intern Mails mit Microsoft-Office-Anhängen versenden und empfangen. Ab und zu verwirre ich sie mit Links in Mails, die per Hypertext ins lokale Dateisystem auf dem Fileserver über die UNC-notierte Freigabe verweisen - da gibt's ja dann keine LW-Buchstaben. Sind dann komplett überfordert.
Ich muß wohl damit klarkommen, daß TM WFBS auch in der neuesten Version 9.5 bei Filterung nicht zwischen intern und extern unterscheiden kann.
Viele Grüße
von
departure69
@beidermachtvongreyscull:
Danke für Deine Beschreibung, wie Du das machst.
Die Exch-AntiSpam-Agents laufen bei mir auch, die Listen, die diese nutzen, sind aber die gleichen, die auch der Messaging Security Client von TM auf dem Exch. nutzt, besser wird's dadurch nicht.
Was mir nach wie vor fehlt, ist dieses Quarantänesystem, das mir alle externen Mails mit Office-Anhängen zur Kontrolle abfängt und die Mails bei Bedarf (und "Sauberkeit") nachträglich an den Exch. weitergibt.
Sowas in der Art brauche ich wohl. Hab' deshalb mit meinem bevorzugten Systemhaus gesprochen. Die bauen mir jetzt was, was ich als VM laufen lassen kann, sich aber noch vor Exch. ans WAN einklinkt, Mails mit Office-Anhängen wegfängt, wo ich diese dann auch prüfen und ggf. doch zum Exch. weiterleiten kann.
Viele Grüße
von
departure69
Danke für Deine Beschreibung, wie Du das machst.
Die Exch-AntiSpam-Agents laufen bei mir auch, die Listen, die diese nutzen, sind aber die gleichen, die auch der Messaging Security Client von TM auf dem Exch. nutzt, besser wird's dadurch nicht.
Was mir nach wie vor fehlt, ist dieses Quarantänesystem, das mir alle externen Mails mit Office-Anhängen zur Kontrolle abfängt und die Mails bei Bedarf (und "Sauberkeit") nachträglich an den Exch. weitergibt.
Die restlichen 3% werden durch Sophos geprüft. Hat eine Email einen potentiell gefährlichen Anhang, wird sie im Contentfilter eingefangen, der Nutzer erhält eine Nachricht und ich prüfe die Email.
Sowas in der Art brauche ich wohl. Hab' deshalb mit meinem bevorzugten Systemhaus gesprochen. Die bauen mir jetzt was, was ich als VM laufen lassen kann, sich aber noch vor Exch. ans WAN einklinkt, Mails mit Office-Anhängen wegfängt, wo ich diese dann auch prüfen und ggf. doch zum Exch. weiterleiten kann.
Viele Grüße
von
departure69
Huhu,
war nur so eine Schnaps-Idee..
Dann würde ich dir wirklich zu einer Spam-Wall raten, mit den richtigen Argumenten bekommst du die genehmigt!
Wir sind mit der Barracuda wirklich sehr zufrieden, hat uns vor manchen Unheil bewahrt.
Viele Grüße
war nur so eine Schnaps-Idee..
Dann würde ich dir wirklich zu einer Spam-Wall raten, mit den richtigen Argumenten bekommst du die genehmigt!
Wir sind mit der Barracuda wirklich sehr zufrieden, hat uns vor manchen Unheil bewahrt.
Viele Grüße
Ich habe interne Macros digital Signiert. Und dann das Zertifikat auch per GPO verteilt. Somit funktionieren die auch solange Sie keiner Verändert. Der Speicherort ist dabei egal.
1
