Sophos Quarantäne: Office Dokumente freigeben

bensonhedges
Goto Top
Hallo liebe Leute,

ich möchte gerne Euere Einschätzung zu folgendem Szenario haben:

Ein Kunde von mir hat einen Exchange 2016 im Einsatz. SMTP Proxy ist die Sophos Firewall. Die Firewall ist so eingestellt, dass
sämtliche Mails mit Attachments von Office-Dokumenten (in- und outbound) erst einmal in der Quarantäne bis zur manuellen Freigabe durch die Admins zurückgehalten werden.

Ich persönliche finde das ein wenig Steinzeit IT und würde eher auf DLP-Lösungen zurückgreifen.
Das Unternehmen selbst ist nicht zu bewegen, von Office-Dokumenten in Attachments abzusehen (Zippen ist dort auch keine Option).

Wie schätzt Ihr das ein? Was würdet Ihr machen/empfehlen?

Freue mich auf konstruktives Feedback.

Der Benson

Content-Key: 1167381908

Url: https://administrator.de/contentid/1167381908

Ausgedruckt am: 05.07.2022 um 04:07 Uhr

Mitglied: itisnapanto
itisnapanto 18.08.2021 um 08:08:12 Uhr
Goto Top
Moin,

haben wir auch so . Bleibt auch so. Wenn mal was bei ist , was der Virenscanner dann doch nicht erkennt, haste den Salat.
Ist zwar weniger geworden was da hängen bleibt aber nun.

Aber wenn dein Kunde das so kennt und es wahrscheinlich auch so gewollt ist, warum dann ändern ?

In der Regel ist es auch Faulheit der MA. Ist doch nun echt kein Akt eben aus ner doc ne pdf zu machen.

Gruss
Mitglied: Inf1d3l
Inf1d3l 18.08.2021 aktualisiert um 08:13:28 Uhr
Goto Top
Manche gehen einen Schritt weiter und lehnen Mails mit den alten Office-Formaten im Anhang ab. Anders sind die meisten nicht dazu zu bewegen, docx etc. zu benutzen. PDFs können gefährlicher sein als docx, nur zur Info. Trojaner werden mittlerweile auch in ZIP-Dateien verschickt.
Mitglied: itisnapanto
itisnapanto 18.08.2021 um 08:15:44 Uhr
Goto Top
Zitat von @Inf1d3l:

Manche gehen einen Schritt weiter und lehnen Mails mit den alten Office-Formaten im Anhang ab. Anders sind die meisten nicht dazu zu bewegen, docx etc. zu benutzen. PDFs können gefährlicher sein als docx, nur zur Info. Trojaner werden mittlerweile auch in ZIP-Dateien verschickt.

Sicher. Aber dafür hat man ja noch nen Proxy dazwischen.
Mitglied: NordicMike
NordicMike 18.08.2021 um 09:24:32 Uhr
Goto Top
Eine gute Firewall scannt die Office Dokumente mit. Auch gezippte Dateien werden zunächst entpackt und dann die Office Dokumente gescannt. Wenn die Firewall ein unauspackbares ZIP findet (Passwortgeschützt oder defekt), kommt es wieder in die Quarantäne.

Es gibt auch die kleinere Stategie, dass man ausser den alten xls und doc noch die Dateien mit Macros in die Quarantäne schickt (docm, xlsm) und die docx und xlsx usw durch lässt.
Mitglied: wiesi200
wiesi200 18.08.2021 um 11:01:49 Uhr
Goto Top
Hallo,
Bei mir spielen viele Faktoren in ein Ranking mit rein.

Die Alten Formate die Macro's enthalten können Werden damit sehr negativ bewertet. Richtig Umsetzung von DKIM, SPF werden positive bewertet.
Je nach Endscore werden die E-Mails abgelehnt, Grayliste angewendet, in Outlook als Spam klassifiziert oder normal durchgelassen. Somit gehen Office Dokumente. Zudem sind nicht signierte Macros auch deaktiviert per GPO.