This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Quarantäne - Info eigenhender externe Mails

Hallo zusammen,

nur mal ne generelle Frage… bei uns wurde nach zwei Crypto-Angriffen auch das SOPHOS eingeführt. Generell ist es bei uns so, dass jegliche von extern eingehenden Mails mit Anhang, oder auch schon mit Bilddatei, in der Quarantäne landen. Der Quarantänereport an den Enduser erfolgt zweimal täglich.

Lt. IT ist dies nur zweimal täglich möglich. Stimmt das?

In der Praxis ist so ne Einstellung nicht gerade optimal bzw. da kommt man sich ja selber schon doof vor, wenn man ne Mail erst Stunden später bemerkt. An den Vertrieb will ich erst gar nicht denkn, Kundenservice stellt sich in meinen Augen auf jeden Fall anders dar. Zusätzlich funktioniert ja auch kein Abwesendheitsassistent.

Mich würd jetzt einfach mal interessieren, ob es wirklich nicht möglich ist, diese Quarantäneinfo mehr als zweimal täglich zu verschicken? Oder gibt’s da vielleicht die Möglichkeit einer Infomail?

Schon vorab vielen Dank für Eure Erfahrungen.

Gruß Bernd



This thread was automatically locked due to age.
Parents
  • Wieso wird denn jeder Anhang direkt in Quarantäne gestellt? Es reicht doch, wenn ausführbare Inhalte gefiltert werden einschl. Makrodokumente.

    Ansonsten sollte die IT mal das Userportal freischalten, damit man auch so auf die Quarantäne zugreifen kann.

     

    Was ist mit dem Abwesenheitsassi gemeint?

  • Guten Morgen,

    erstmal vielen Dank.

    Ja das hatte ich vergessen zu erwähnen. Das Userportal ist bei uns bei jedem freigeschaltet. Dadurch kann sich auch jeder übers Portal einloggen und seine Mails aus der Quarantäne freigeben. Nur das Problem ist halt, dass man erstmal mitbekommen muss, dass was Neues eingegangen ist. Übrigens auch die Antwortbestätigung hier ausm Forum, erstmal in Quarantäne, und dies obwohl ich extra den Absender auf die Whitelist gesetzt hatte. Naja, irgendwie suboptimal die ganze Geschichte.

    Mit dem Abwesentheitsassi meinte ich nur... da ja jegliche externe Mail mit Anhang oder Bild in der Quarantäne landet und somit erstmal blockiert wird, funktioniert ja auch kein eingestellter Abwesentheitsassi aus Outlook.

    Und weshalb da jeglicher Inhalt erstmal geblockt wird, keine Ahnung. Ich geh mal davon aus, dass die IT dann im Ernstfall jegliche Schuld von sich weisen kann. Auf jeden Fall ist die Sache alles andere als rund.

    Mir gings jetzt eigentlich nur mal darum zu erfahren, ob unsere Einstellungen so normal sind... anscheinend aber wohl nicht.

    Gruß Bernd

  • Hallo Bernd,

    dass wirklich jegliche Mail mit einem Anhang in der Quarantäne landet, ist absolut übertrieben und unnötig.

    Die Sophos UTM/SG hat zwei verschiedene Virenscanner an Bord. Zusätzlich gibt es noch die Option Sandstorm zu aktivieren (wenn in der Lizenz vorhanden, ist aber auch nachträglich lizenzierbar). Die Variante, die Verantwortung auf die User umzuwälzen, finde ich gelinde gesagt etwas "selbstmörderisch". Es gibt ja nunmal User, die sich in ihrem z. B. kaufm. Bereich super auskennen, aber absolute "IT-Nieten" sind. Und diese sollen dann entscheiden, ob sie das freigeben können oder nicht? 

    Mal eine ganz andere Frage: ihr habt (wenn ich richtig gelesen habe) Sophos noch nicht all zu lange. Hat eure IT denn schon mal eine Schulung zur Firewall gemacht? Ich denke danach wüssten sie, was das Teil so alles kann ;-).

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

  • Hallo Bernd,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    First, welcome to the UTM Community!  Apparently, you're a client of the IT department and have no direct input into the configuration of the UTM.  As you can see, folks here try to help.

    I'll repeat here what I've said often in these forums: I have had to repair more than one configuration done his first time by a talented CCIE.  It usually costs the client twice what they would have paid me to do the initial installation.  Even newly-minted SCAs need to get a half-dozen under their belts unless they've been "apprenticed" on their first two installs to an installer with broad experience.

    Just because the UTM is very easy and quick to administer and modify after an experienced installer has designed and created the initial installation doesn't mean that a smart engineer can invent an elegant, initial design.  Hopefully, someone will get some help for your IT staff.  From the sound of things, it won't take much.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • hallo zusammen,

    vielen Dank Euch... wie gesagt, mir ging es einfach mal darum zu erfahren, wie das anderswo praktikabel läuft und halt trotzdem der Schutz noch gewährleistet bleibt.

    Bin ja auch kein IT, daher kann ich zu den speziellen Einstellungen wenig sagen.

    Anfangs letztes Jahres wurd das glaub mal dazugekauft - Sophos Sandstorm ist aber bei uns auch aktiv, zusätzlich in zweiter Instanz dann noch ein Virenscanner von TrendMicro. Gefühlt wurde das bei uns halt ziemlich überhastet eingeführt, und wohl dann auch genauso überhastet umgesetzt. Die Möglichkeit mit dem Userportal hatten wir Enduser anfangs gar nicht, dies wurde erst ein paar Wochen nach Aktivierung freigeschaltet, nachdem es etwas Tumult gegeben hatte. Nur dass es halt so ne tickende Zeitbombe darstellt... naja, mal schaun wie lange es gut geht. Zum andern kann ich keine fundierte Aussage geben, trifft aber wohl den Nagel aufn Kopf.

    Schöne Grüsse Bernd

Reply
  • hallo zusammen,

    vielen Dank Euch... wie gesagt, mir ging es einfach mal darum zu erfahren, wie das anderswo praktikabel läuft und halt trotzdem der Schutz noch gewährleistet bleibt.

    Bin ja auch kein IT, daher kann ich zu den speziellen Einstellungen wenig sagen.

    Anfangs letztes Jahres wurd das glaub mal dazugekauft - Sophos Sandstorm ist aber bei uns auch aktiv, zusätzlich in zweiter Instanz dann noch ein Virenscanner von TrendMicro. Gefühlt wurde das bei uns halt ziemlich überhastet eingeführt, und wohl dann auch genauso überhastet umgesetzt. Die Möglichkeit mit dem Userportal hatten wir Enduser anfangs gar nicht, dies wurde erst ein paar Wochen nach Aktivierung freigeschaltet, nachdem es etwas Tumult gegeben hatte. Nur dass es halt so ne tickende Zeitbombe darstellt... naja, mal schaun wie lange es gut geht. Zum andern kann ich keine fundierte Aussage geben, trifft aber wohl den Nagel aufn Kopf.

    Schöne Grüsse Bernd

Children
No Data