This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Quarantäne - Info eigenhender externe Mails

Hallo zusammen,

nur mal ne generelle Frage… bei uns wurde nach zwei Crypto-Angriffen auch das SOPHOS eingeführt. Generell ist es bei uns so, dass jegliche von extern eingehenden Mails mit Anhang, oder auch schon mit Bilddatei, in der Quarantäne landen. Der Quarantänereport an den Enduser erfolgt zweimal täglich.

Lt. IT ist dies nur zweimal täglich möglich. Stimmt das?

In der Praxis ist so ne Einstellung nicht gerade optimal bzw. da kommt man sich ja selber schon doof vor, wenn man ne Mail erst Stunden später bemerkt. An den Vertrieb will ich erst gar nicht denkn, Kundenservice stellt sich in meinen Augen auf jeden Fall anders dar. Zusätzlich funktioniert ja auch kein Abwesendheitsassistent.

Mich würd jetzt einfach mal interessieren, ob es wirklich nicht möglich ist, diese Quarantäneinfo mehr als zweimal täglich zu verschicken? Oder gibt’s da vielleicht die Möglichkeit einer Infomail?

Schon vorab vielen Dank für Eure Erfahrungen.

Gruß Bernd



This thread was automatically locked due to age.
Parents
  • Hallo Bernd,

     

    bei uns werden auch alle Mails mit evtl. gefährlichen Anhängen in die Quarantäne geschoben. Damit dann aber nicht jede Mail mit Anhang dort landet, haben wir alles was bestätigter SPAM und was Schadsoftware enthält während der Übermittlung abgelehnt. Dann haben wir eine Absenderblacklist, die immer aktualisiert wird und eine Whitelist mit Absendern, denen wir vertrauen, wo die Mails dann trotzdem 2-fach gescannt und durch das Sandstormmodul gescannt werden, aber dann nicht mehr in der Quarantäne landen.

    Somit sind am Ende eigentlich nur noch Mails in der Quarantäne, die zwar keine bestätigten SPAMS sind, aber zu über 95% unerwünscht und auch SPAM für uns sind.

     

    MfG

    Rene

  • Wir sind ein kleines IT-Systemhaus und betreiben bei mehreren Kunden UTMs mit POP3 Proxy, überall, wo direkt an den MX zugestellt wird haben wir im Normalfall Sonicwall ES's im Einsatz.

    Beim Thema Anhangfilterung stößt man beim Enduser oft auf Unverständnis, aber die ganzen Ransomware-Verschlüsselungen in 2016 haben einfach gezeigt, dass sich viele User zu leicht überlisten lassen, Stichwort Bewerbungsmails auf echte ausgeschriebene Stellen an die fachlich dafür verantwortlichen Mitarbeiter. Kein Kunde zahlt aber gerne die Arbeitszeit für Tape-Recoverys von Fileservern, die dann teilweise auch noch länger offline sind, bis alles wieder auf 'Stand gestern' zurückgeholt wurde... zumal dadurch auch teilweise die Arbeit des laufenden Tages zunichte gemacht wird.

    Seitdem bieten wir Kunden an, Anhangfilter auf ihren Mailscannern zu aktivieren, die mehr als nur die ausführbaren Dateien rausholen, sprich jegliches Officedateiformat, das Makros enthalten könnte. Nachdem die neuen docm, xlsm usw. bereits aktiv gefiltert wurden verlegten sich die Versender dieser Mails  ja eher wieder auf die alten Office Dateiformate, wo man noch nicht gleich erkennen konnte, ob es Makros enthält oder nicht.

    Der Enduser bekommt in diesem Fall aber auch erst gar keine Möglichkeit, sich die Mail selbst zuzustellen (bedingt dadurch, dass es auf den Sonicwalls schlicht nicht möglich wäre). Im Falle Sonicwall erhält er aber umgehend eine Info, dass ein Anhang gefiltert wurde und unsere Hotline kann die Mail nach Prüfung kurzfristig zustellen.

    Beim Sophos Scanner ist eine Benachrichtigung wie schon gesagt nur 2mal täglich möglich (oder alternativ bei jeder einzelnen Mail), dadurch kommt es eben leider zu Verzögerungen. Aber auch hier prüfen wir die Mail vor Freigabeerst, der Enduser kann sich nur Spamverdacht selbst freigeben. Wenn der Enduser möchte richten wir ihm Exceptions für bestimmte Absender ein, damit er die Mails mit Anhängen künftig wieder direkt bekommt.

    Man ist als IT oder IT-Dienstleister immer in der Zwickmühle, die Systeme einerseits vor Ausfall und Verlust schützen zu müssen, dem Enduser aber das tägliche Arbeiten so leicht wie möglich machen zu müssen. Beides passt oft leider nicht unter einen Hut... das fängt schon bei der Größe von Mails an, geht über gesperrte Anhänge bis zu plötzlich aufpoppenden Content blocked Meldungen im Browser. Den Enduser stören Regeln und Einschränkungen immer, egal wie gering sie auch sein mögen, für die IT sind sie allerdings oft das einzig mögliche Werkzeug, um manche User vor sich selbst zu schützen...

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • kerobra said:
    [...]Beim Sophos Scanner ist eine Benachrichtigung wie schon gesagt nur 2mal täglich möglich (oder alternativ bei jeder einzelnen Mail)[...]

    Hi Kevin, 

    das beziehst Du jetzt aber auf die Sonicwall, oder? 

    Die Sophos UTM ist ja "eigentlich" eine Firewall und keine Mail-Appliance. Natürlich hat sie dann hier auch nur abgespeckte Features, wenn es z.B. um Mail-Benachrichtigungen geht. Willst Du mehr... hol Dir die Mail-Appliance ;-). Sophos wäre ja ziemlich blöd, alle dazugehörigen Features in die UTM zu packen, sie wollen ja auch die Mail-Appliance verkaufen.

    In ein Schinkenbrötchen packe ich ja auch nur eine Scheibe (oder zwei) rein. Will ich mehr, muss ich den ganzen Schinken kaufen *lach*.

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

Reply
  • kerobra said:
    [...]Beim Sophos Scanner ist eine Benachrichtigung wie schon gesagt nur 2mal täglich möglich (oder alternativ bei jeder einzelnen Mail)[...]

    Hi Kevin, 

    das beziehst Du jetzt aber auf die Sonicwall, oder? 

    Die Sophos UTM ist ja "eigentlich" eine Firewall und keine Mail-Appliance. Natürlich hat sie dann hier auch nur abgespeckte Features, wenn es z.B. um Mail-Benachrichtigungen geht. Willst Du mehr... hol Dir die Mail-Appliance ;-). Sophos wäre ja ziemlich blöd, alle dazugehörigen Features in die UTM zu packen, sie wollen ja auch die Mail-Appliance verkaufen.

    In ein Schinkenbrötchen packe ich ja auch nur eine Scheibe (oder zwei) rein. Will ich mehr, muss ich den ganzen Schinken kaufen *lach*.

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-

Children
  • Hi Manuel,

    nein, das war schon auf die Sophos bezogen, ist aber vermutlich ein "Alleinstellungsmerkmal" der POP3 Proxy Geschichte. Dort gibt es die Option mit Prefetching der POP3-Konten, ohne dass ein POP-Beamer o.ä. aktiv abfragt. Ist Prefetching aktiv kann die UTM Quarantäne-Reports erstellen, ist Prefetching inaktiv erhält der Empfänger für jede abgefangene Mail eine Infomail, dass etwas geblockt wurde.

    Ist natürlich beim Einsatz als Spamfilter absoluter Unsinn, aber wir haben einen Kunden, der das explizit so wollte.

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner