Aktivieren des NoSpamProxy Sandbox-Service
Möglichkeit 1: Anpassen einer vorhandenen Aktion
- Gehen Sie zu Konfiguration > Inhaltsfilter > Aktionen des Inhaltsfilters.
- Öffnen Sie eine vorhandene Aktion für eingehende E-Mails.
- Wechseln Sie zur Registerkarte Anhänge.
- Setzen Sie das Häkchen neben Frage die Sandbox, ob die Anhänge der eingehenden E-Mails als bösartig bekannt sind.
Ist diese Option aktiviert, gleicht NoSpamProxy die Hashwerte von Anhängen mit bereits in der Sandbox-Datenbank vorhandenen Hashwerten ab. Das Abfragen der Hashwerte wird uneingeschränkt und ohne Abzug von gekauften Lizenzen durchgeführt.
- Optional Setzen Sie das Häkchen neben Unbekannte Dateien zur Sandbox für die Analyse hochladen.
- Wählen Sie entweder Die E-Mail permanent abweisen (empfohlen) oder Entferne den Anhang und stelle die E-Mail zu.
Ist diese Option aktiviert, werden der Sandbox unbekannte Dateien zur Analyse in diese hochgeladen. Der Upload von Dateien ist auf 20 Dateien pro Benutzer und Monat beschränkt. Siehe Weitere Informationen.
HINWEIS: Der Sandbox Service ist nur auswählbar, wenn Sie auf der Registerkarte Aktion die Option Erlaube den Anhang gewählt haben.
Möglichkeit 2: Erstellen einer neuen Inhaltsfilteraktion
Das Erstellen einer neuen Inhaltsfilteraktion ist vor allem dann sinnvoll, wenn Sie die Prüfung durch die Sandbox auf einzelne Dateitypen einschränken wollen.
- Gehen Sie zu Konfiguration > Inhaltsfilter > Aktionen des Inhaltsfilters.
- Klicken Sie Hinzufügen.
- Geben Sie im Dialogfenster Allgemein einen Namen für die neue Aktion ein und wählen Sie SMTP-E-Mails aus.
- Wählen Sie im Dialogfenster Aktion die Option Erlaube den Anhang aus.
- Nehmen Sie die Einstellungen für die Sandbox vor, wie oben für die Registerkarte Anhänge beschrieben.
- Nehmen Sie alle weiteren Einstellungen für die neue Aktion wie gewünscht vor.
- Klicken Sie Fertigstellen.
Die angepasste oder neu erstellte Aktion müssen Sie nun per Inhaltsfiltereintrag auslösen.
Unterstützte Dateitypen
Allgemein
- Ausführbare Dateien
- Ausführbare Datei für Windows
- Microsoft Office
- Microsoft Excel (alle)
- Microsoft PowerPoint (alle)
- Microsoft Word (alle)
- Text
- HTML
- PDF-Dokument
- PDF-Dokument mit URLs
- Rich Text Format
- Rich Text Format mit OLE-Objekten
- Skripte
- .js
- .vbs
- .ps1
-
Archive und komprimierte Dateien
-
7Zip-komprimierte Datei
-
ACE-komprimierte
- AR-komprimierte Datei
-
ARJ-komprimierte Datei
-
BZIP2-komprimierte Datei
-
GZIP-komprimierte Datei
-
RAR-komprimierte Datei
-
TAR-komprimierte Datei
-
Windows-Installer-Datei
-
ZIP-komprimierte Datei
-
*.alz
-
*.cab
-
*.z
-
*.zoo
-
Wir empfehlen dringend, bei der Inhaltsfilterung auf einen Allowlisting-Ansatz zu setzen. Diese Empfehlung betrifft insbesondere die Benutzung des NoSpamProxy Sandbox-Service.
Ein Beispiel zur Veranschaulichung: Auch wenn eine „Ausführbare Datei für Windows“ von der Sandbox unterstützt wird, stellt sich die Frage, ob man diesen potenziell gefährlichen Dateityp überhaupt für das eigene Unternehmen erlauben will. Es ist in diesem Fall sinnvoller, diesen Dateityp generell abzulehnen und sich so auch den Upload zur Sandbox zu sparen.
Falls eine Datei vom Sandbox-Service als unverdächtig eingestuft werden sollte, wird die jeweilige E-Mail zugestellt.
Zustellverzögerung
Wenn eine Datei zur Sandbox hochgeladen wird, wird die E-Mail im ersten Schritt nicht angenommen sondern temporär abgewiesen, sodass der absendende E-Mail-Server diese noch einmal zustellt. Die temporäre Abweisung wird hier angewandt, da die Analyse auf dem Sandbox-Array eine gewisse Zeit in Anspruch nimmt, diese aber beim erneuten Zustellversuch nach etwa fünf Minuten abgeschlossen sein sollte.
Dies bedeutet für die Zustellung eine Zustellverzögerung, die entsprechend beachtet werden muss. Somit empfehlen wir Ihnen, genau zu prüfen, welche Dateien wirklich zur Sandbox gesendet werden sollen. Beachten Sie die folgende Option, falls zeitkritische Prozesse oder Postfächer im Unternehmen existieren:
- Ist eine Sandbox-Hashabfrage an Stelle einer vollständigen Analyse (Sandbox-Upload) ausreichend?
- Es besteht im Inhaltsfilter die Möglichkeit, unterschiedliche Aktionen zu erstellen, um für „Vertrauenswürdige E-Mails“ und „Nicht vertrauenswürdige E-Mails“ unterschiedliche Aktionen zu konfigurieren. Hier können Sie zwischen einem Sandbox-Upload und einer Sandbox-Hashabfrage unterscheiden.
- Office-Dokumente können gegebenenfalls durch Content Disarm and Reconstruction (CDR) in ein sicheres PDF-Dokument umgewandelt werden. Siehe Hinweise zu Content Disarm and Reconstruction (CDR).
Siehe auch
Weitere Informationen
TIPP: Lesen Sie hierzu unseren Blogartikel Die Zeit für echte E-Mail-Firewalls ist gekommen.
HINWEIS: Die Anzahl der vollständigen Analysen (Sandbox-Upload) durch den Sandbox-Service ist pro Anwender und Monat auf 20 limitiert. Die Abrechnung erfolgt nicht anwenderbasiert. Ein Beispiel: Bei 100 Anwendern können insgesamt 2000 vollständige Analysen durchgeführt werden, unabhängig davon, wie viele Analysen die einzelnen Anwender durchführen. Wir empfehlen Ihnen, die Filter in NoSpamProxy® so zu konfigurieren, dass eine Überprüfung durch den Sandbox-Service nur erfolgt, falls E-Mails durch vorgelagerte Filterstufen nicht schon vorher abgelehnt wurden. Bei Überschreiten des Limits können zusätzliche Kosten anfallen.
TIPP: Um die Prüfung durch den Sandbox-Service auf einzelne Dateitypen einzuschränken, sollte eine zusätzliche Inhaltsfilteraktion erstellt werden, die nur auf bestimmte Dateitypen angewendet wird.