arsn86
Goto Top

Wie am besten eingehende Bewerbermails nach Viren scannen?

Hallo Admins,
wie macht ihr das in eurem Betrieb mit E-Mails mit Anhängen von z.B. Bewerbern? Ich suche so nen "Best-Practice" wenn es sowas gibt. Habe jetzt auch schon bisschen mit Kollegen gesprochen und gegooglet und meine Idee wäre folgende:

Email kommt rein
1. Filter: UTM
2. Filter: Mailgateway
3. Filter: UTM (Mails nun alle entschüsselt)
danach landen die Mails auf dem Mailserver (Exchange). Dort läuft ein Virenscanner.

Normalerweise würde an dieser Stelle ja der Mitarbeiter die E-Mails auf seinem Windows Client mit Outlook öffnen und der Client Virenscanner eingreifen als letzte Verteidigung.

Jetzt sind in manchen Files ja Skripte/Executables/... versteckt, die erst beim ausführen bemerkt werden können.
Meine Idee wäre es jetzt, die E-Mails mit Anhang, die an unsere Bewerbungsmail geschickt werden, vom Exchange auf einen separaten Server abzurufen, da den Anhang in einer VM auszuführen. Die VM hat keinen Internetanschluss und wird per Firewall nach außen gekapselt. Wenn innerhalb von einem halben Tag die VM noch läuft, wird der Anhang freigegeben und die VM gelöscht.

Habt ihr ne Idee für eine Lösung mit weniger Arbeit? Da es sich um Bewerbungsunterlagen handelt, wären Cloudlösungen oder Online-Scanner schlecht.

Bin für jeden Tipp dankbar face-smile

Schönen Tag euch noch,
arsn86

Content-ID: 335482

Url: https://administrator.de/forum/wie-am-besten-eingehende-bewerbermails-nach-viren-scannen-335482.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

Kraemer
Kraemer 19.04.2017 um 14:37:18 Uhr
Goto Top
Moin,
Zitat von @arsn86:
Wenn innerhalb von einem halben Tag die VM noch läuft, wird der Anhang freigegeben und die VM gelöscht.
das soll doch wohl hoffentlich ein Witz sein oder?

Gruß
Snowman25
Snowman25 19.04.2017 um 14:40:07 Uhr
Goto Top
Hallo @arsn86,

Doppelte UTM scheint mir recht sinnlos.
Im übrigen haben einige Hersteller (z.B. Sophos) bereits eine VM in ihrer UTM, in der Zeug ausgeführt und auf Viren geprüft werden.
Das nochmals zu machen ist die Neuerfindung des Rads.

Gruß,
@Snowman25
arsn86
arsn86 19.04.2017 um 14:42:22 Uhr
Goto Top
naja, halb face-wink die VM wird natürlich überwacht mit nem Virescanner und Firewall was für Verbindungen aufgebaut werden. Außerdem kann ich mit nem Diff herausfinden, wie viele /welche Dateien sich verändert haben. Nach 12-24H sollte theoretisch Ransomware auffallen und ander Schadcode auch... So zumindest mein Gedanke...
132895
Lösung 132895 19.04.2017 aktualisiert um 14:46:28 Uhr
Goto Top
Wir nehmen explizit nur PDFs an, alles andere wird sofort gelöscht. Die PDFs durchlaufen eine eigens entwickelte Software die sämtliche eventuell vorhandenen Skripte und Multimedia-Objekte etc. entfernt und zusätzlich noch einen speziellen Scanner durchlaufen. Geöffnet werden die PDFs von den Mitarbeitern nur in einem Reader der in einer Sandbox läuft aus der zusätzlich nichts "entfleuchen" kann.

Gruß
SlainteMhath
Lösung SlainteMhath 19.04.2017 um 14:45:19 Uhr
Goto Top
Moin,

das mit der VM halte ich auch für Blödsinn.

Was denkbar wäre:
Die Mail/Das Bewerbungspostfach per IMAP/POP3 von einem PC aus abrufen der
a) nicht in der Domäne ist
b) hinter einer Firewall hängt die nur IMAP(S)/POP3 und ggfs. SMTP durchlässt
c) mit einer AV Software eines anderen Herstellers geschützt ist.

=> Abrufen, Scannen, ggfs. Macros entfernen oder copy/paste in .TXT File und dann weiter an HR senden

lg,
Slainte
SlainteMhath
SlainteMhath 19.04.2017 um 14:46:42 Uhr
Goto Top
Die PDFs durchlaufen eine eigens entwickelte Software die sämtliche eventuell vorhandenen Skripte und Multimedia-Objekte etc. entfernt und zusätzlich noch einen speziellen Scanner durchlaufen.

Würde es nicht ausreichen die PDFs (automatsiert) in einer VM auf einen PDF Drucker auszugeben und dann mit dem so erzeugten PDF weiter zu arbeiten?
132895
132895 19.04.2017 um 14:48:22 Uhr
Goto Top
Die Software hatten wir eh schon, da bot sich das an. Außerdem dient das hier noch weiteren Zwecken face-wink
certifiedit.net
certifiedit.net 19.04.2017 um 15:04:10 Uhr
Goto Top
Hi,

1. Hirn (bei Fadenscheinigen Sendern, löschen oder Antwort, Sorry)
2. Nur PDFs (Hirn oder Technik, bei allen anderen Dokumentarten -> Sorry, nur PDF)
3. Mailgateway (bspw UTM bzw SG, ich nutze Sophos).

VG
arsn86
arsn86 19.04.2017 um 15:36:35 Uhr
Goto Top
Also Hirn verlangen wir schon, aber wir möchten es gerne auch technisch die Möglichkeiten eingrenzen, dass etwas passiert face-wink

Was für ein Produkt von Sophos nutzt du/ihr? Sandstorm?
Looser27
Lösung Looser27 19.04.2017 um 17:08:04 Uhr
Goto Top
Wir scannen alle Mails in der Gateprotect. Dann hat der Mailserver nochmal einen Scanner von einem anderen Anbieter. Die Clients haben darüber hinaus noch eine endpoint security von einem dritten Anbieter.
Trotzdem schule und sensibilisiere ich die Mitarbeiter regelmäßig.
Das ist immer noch der sicherste Schutz.

Gruß Looser
Sheogorath
Lösung Sheogorath 20.04.2017 um 03:10:52 Uhr
Goto Top
Moin,

Wirklich sicher wäre es, sowas einfach nur in einer isolierten VM aufzurufen. Das ist so gar recht entspannt und einfach mit QubesOS möglich.

Aber leider ist QubesOS was das ausrollen in Unternehmen angeht, nicht nur eine Seltenheit vom ausmaß des Bernsteinstimmers, sondern leider auch illusorisch, wenn man bedenkt, dass jemand damit arbeiten soll, der nicht komplett auf IT-Sicherheit abfährt oder mit dem Tode bedroht wird und deshalb extrem auf Spyware und Co achten muss.

Also gehen wir mal zu den Real-Life-Szenarien über:

1. Unschöne Mailanhänge nicht einfach löschen, sondern schlicht die Mail nicht annehmen. Bewerber bekommt Feedback "Wollen wir nicht" und eure Infrastruktur bleibt auch sauber. Details: http://davidsj.co.uk/blog/block-attachments-in-postfix/
2. Whitelists, was ausgeführt werden darf. Ausreichend Infos hierzu, findet man hier im Forum und auch sonst auf allen besseren Seiten bezüglich Windows Security. Stichworte: Applocker, Software Policies, ...
3. Seltsame Anhänge in VMs öffnen. Sowas ist einfach und Problemfrei möglich. Wer so oder so eine Virtualisierungumgebung am laufen hat, kann hier auch mit einem gut bebildertem Guide jedem erklären, wie er oder sie seltsame Anhänge in einer VM öffnet und diese ebenso auch per VNC, xpra oder ähnlichem, zur Verfügung stellen und dann eben entsprechende Snapshots wiederherstellen. Hier empfielt sich sogar ein Linux, welches dann einfach über OWA arbeitet, wenn man unbedingt ein Outlook braucht. Damit sollte man dann wirklich nahezu jede Schadsoftware unschädlich gemacht sein.

Für die, die sich jetzt wundern, wo die AV Software ist: Ja, die ist in diesem Setup gar nicht wirklich vorgesehen. Signaturbasierte Erkennung ist seit Jahren tot und ist generell eher ungeeignet um Bedrohungen abzuwenden. Wer sich ohne zu unsicher fühlt, kann sich hier auf den Scanner von Sophos oder ClamAV auf dem Mail-Gateway bzw. dem Mailserver stützen, wirklich sicherer wird es dadurch dennoch nicht.

Alternativ bzw. erweiternd zum abweisen der Mailanhänge basierend auf Formaten, kann man auch einfach ein Bewerbungsportal einführen, wo man wie man das von allen anderen Webseiten her kennt ebenfalls sehr genau filtern kann, welche anhänge man möchte und welche nicht, inclusive Validierung. Das kann auch helfen, aber erspart einem die Schritte 2 und 3 (an sich) dennoch nicht.

In diesem Sinne...

Gruß
Chris
Sil3nz3r
Sil3nz3r 20.04.2017 um 06:56:48 Uhr
Goto Top
Hallo arsn,

Wenn innerhalb von einem halben Tag die VM noch läuft, wird der Anhang freigegeben und die VM gelöscht.
Da es auch Ransomware etc. gibt, welche nach dem z.B. fünften Reboot erst aktiviert wir, ist das mMn Blödsinn.

Ich würds wie @Sheogorath machen:
kann man auch einfach ein Bewerbungsportal einführen
Ein Formular auf der Webseite erstellen, wo Angaben wie Name, E-Mail, Bewerbungsberuf etc. eingetragen werden sollen.
Danach kann der Bewerber seinen Lebenslauf etc. nur als PDF hochladen.

Gruß
Flo
Deepsys
Deepsys 20.04.2017 um 11:06:40 Uhr
Goto Top
Hi,

zusätzlich zu den obigen Dingen, möchte ich noch VirusTotal.com (gehört jetzt zu Google) reinwerfen.
Da kannst du die Datei von 50-60 Scannern testen lassen.

Vorheriges Jahr gab es noch Wepawet, da konnte man Dateien auch online verlegen lassen, das ist leider aufgegeben worden und die Macher zu Lastline gewandert, die machen auch so was. Und die Firewallhersteller wie Watchguard, Sonicwall integrieren diese Technik.

VG,
Deepsys
108012
108012 21.04.2017 um 21:48:56 Uhr
Goto Top
Hallo,

Email kommt rein
1. Filter: UTM
2. Filter: Mailgateway
Ok.

3. Filter: UTM (Mails nun alle entschüsselt)
danach landen die Mails auf dem Mailserver (Exchange). Dort läuft ein Virenscanner.
Also das wäre mir zu viel des Guten!
UTM
Mail Gateway
Exchange mit AV Scanner
PC mit AV Schutz

Normalerweise würde an dieser Stelle ja der Mitarbeiter die E-Mails auf seinem Windows Client mit Outlook öffnen und der
Client Virenscanner eingreifen als letzte Verteidigung.
Schon mal etwas von SandBoxy gehört!? Man kann auch noch einen Dateibetrachter installieren wie zum Beispiel QuickViewPro
der dann die PDFs öffnen kann, aber eben keinen darin enthaltenen Code ausführt!

Jetzt sind in manchen Files ja Skripte/Executables/... versteckt, die erst beim ausführen bemerkt werden können.

Meine Idee wäre es jetzt, die E-Mails mit Anhang, die an unsere Bewerbungsmail geschickt werden, vom Exchange auf einen separaten
Server abzurufen, da den Anhang in einer VM auszuführen. Die VM hat keinen Internetanschluss und wird per Firewall nach außen gekapselt.
Wenn innerhalb von einem halben Tag die VM noch läuft, wird der Anhang freigegeben und die VM gelöscht.
Und wenn nicht ist der Trojaner im ganzen Netzwerk unterwegs, oder?

Habt ihr ne Idee für eine Lösung mit weniger Arbeit? Da es sich um Bewerbungsunterlagen handelt, wären Cloudlösungen oder
Online-Scanner schlecht.
Man kann auch nur einen Linux PC dazu benutzen und dann dort die Bewerbungen und deren Anhänge öffnen. Sollte auch so funktionieren.


Gruß
Dobby