Ausnahme(n) für "Quarantine unscannable and encrypted Content"

Hallo Forengemeinde!


Bislang habe ich die o.g. Einstellung aktiv.


Bedingt durch die DSGVO kommen aber mehr und mehr verschlüsselte ZIP-Archive hier an (ich vermute mit Daten, die bislang einfach unverschlüsselt gesendet worden sind).
Alle diese Mails landen in der Quarantäne und können nicht durch die Nutzer selbst freigegeben werden (eigentlich ja auch richtig so). Das führt dazu, dass ich als Admin mehr und mehr Zeit damit verbringe, Mails freizugeben.

Da ich die Funktion nur sehr ungern komplett abschalten möchte, daher die Frage:
Gibt es die Möglichkeit, hier Ausnahmen für bestimmte Absender und/oder bestimmte Empfänger zu setzen?
Wie handhabt ihr das in euren Umgebungen (davon ausgehend, dass ich nicht der einzige mit diesem Problem bin)?

Vielen Dank im Voraus!

TJ

  • Hi,

     

    Zip-Archive zu verschlüsseln ist aber nicht ausreichend um die DSGVO einzuhalten. Von daher solltest Du Deine Kunden informieren, ein anderes Verschlüsselungsverfahren zu verwenden.

     

  • In reply to ThorstenSult:

    Vielen Dank für den Hinweis, das sieht unser DSB aber (derzeit) anders.

    ...und mein Problem würde mit andersartigem "unscannable Content" (also "irgendwas" an Stelle von "ZIP" ja auch weiterhin bestehen...

  • In reply to TJ Hooker:

    nö, wieso? Die UTM kann doch S/mime und PGP entschlüsseln...

  • In reply to ThorstenSult:

    Wie dem auch sei: Mir geht´s hier um ZIPs und teilweise auch um mit Kennworten versehene Word-Dokumente und eben um Ausnahmen.

  • In reply to TJ Hooker:

    Also mit Ausnahmen ist das so eine Sache. Ich weiß nicht, ob man den Mitarbeitern die Prüfung von Inhalten zumuten kann.

     

    Wäre denn die Portalverschlüsselung ein Lösungsansatz für Dich? Dort könnten Deine Kunden im Antwortportal Anhänge hochladen, die dann auch durch die Scanengine durchlaufen. Das Antwortportal bei der SPX-Verschlüsselung ist schließlich via https verschlüsselt.

  • Your simple problem exposes multiple limitations in the UTM Email Filter.  I do not expect UTM to get any better, but perhaps Product Management will read this and understand the problem and deliver a future product with better features.

    1) You need multi-factor exceptions.    UTM only supports single-factor exceptions, such as these:

    • "Ignore unscannable files sent to <target user>".
    • "Ignore unscannable files sent from <source user or domain>"

    2) Creating an exception for "Source user or domain" is only safe if the source can be trusted.   This means that you need at least SPF validation, ideally DMARC.  Of course, DMARC is not supported at all.   To ensure that SPF is checked, you have to turn it on for everything.   My experience is that SPF will block very few spam messages that would not be blocked by another rule, but it will block some legitimate mail because a lot of legitimate senders have errors in their SPF record.   So maybe applying an exception without authentication is not a big risk in practice, but it is definitely scary in concept.

    3) If you turn on SPF blocking, your only option is to enable it in block mode.   No ability to test first to evaluate the consequences.

    4) After enabling SPF blocking, you need to review messages to determine if the blocked messages are legitimate or not.   If a message is not quarantined, Mail Manager does not capture enough information for you to determine whether the message was legitimate or not, so that you can create an override for the legitimate senders with incorrect SPF.

    5) if you determine that a sender has an error in their SPF record, your only option is to disable SPF checking for that source address, opening yourself back up to impersonation attacks.   Ideally, a spam filter product should allow you to override the sender's SPF with supplemental or replacement rules written iusing SPF syntax.   (I have looked at a lot of spam filter products recently, and have yet to find one that allows SPF corrections, so this complaint is general, not specific to UTM.)

    So, your best bet is probably to configure an additional email filter that does support mulit-factor rules.   The biggest and most expensive vendors can do this, but for those of us with lower budgets, the pickings are slim.   The SmarterMail product from SmarterTools.com can be used for free as an incoming or outgoing email gateway and spam filter.   The "Custom Rules" feature can create multiple-factor filter rules.   It might allow you to turn off the check in UTM, then have it enforced in the secondary gateway with greater control.   I use the English version, but I think they offer translations for several major languages.

     

     

  • In reply to DouglasFoster:

    Dear Douglas,

    thank you!

    I have one "Source Domain" which I can definitely trust and I would, at least for a test, take the risk to do that WITHOUT SPF (I have the same concerns with SPF as you).
    But I don´t see how I can create such a "simple" Exception ["Ignore unscannable files sent from <source user or domain>"].
    Can you point me the right way?

    Under [Email Protection - SMTP - Exceptions] I found that I can make an Exception and click "Skip These Checks: Email encryption", but that is something diferent? Or not?

    Thanks in advance!

    TJ

  • In reply to ThorstenSult:

    @Thorsten

    Ausnahmen würde ich nur für bestimmte Konstellationen einrichten:
    - Mails von EINER ganz bestimmten Domain
    - Mails an wenige, ganz bestimmte User (5 von 300)

    Alles andere würde weiterhin geblockt werden, aber mit diesen Regeln wäre ich ca. 80%-90% der manuellen Freigaben los.

    Weil es eben nur so wenige spezielle Fälle sind (s.o.), dort aber viele Mails eingehen und auch aus anderen Gründen möchte ich kein Portal einrichten.
    Ich hatte mir dazu schon einmal Gedanken gemacht und mir auch das eine oder andere angesehen, mich dann aber dagegen entschieden.

    Trotzdem DANKE für Deine Hinweise!!

    TJ

  • In reply to TJ Hooker:

    Because this is configured on the "Malware" tab, I think you have to create an exception for "Malware Checking". 

    This adds more risk than you probably want.

  • In reply to DouglasFoster:

    Thank you!

     

    Of course I do NOT want to make an Exception for ANY Malware-Scan, that‘s too much, even if it is only for a single Sender-Domain.

     

    No other way possible?

     

    TJ