Aktuelle Viren Mails filtern

[t0x]

Wir erhalten massig E-Mail in der Form wie abgebildet.
Der Link zeigt ein Webserververzeichnis und man wird auf eine .doc Datei mit Makroviren weitergeleitet.
Teils werden echte Namen und Mail-Adressen von Mitarbeitern und Geschäftspartnern verwendet.

Vielleicht hat ja ein erfahrener Mail Admin einen Tipp wie man die sowas ausfiltern kann.
Alternativ wäre es auch eine Möglichkeit generell zu unterbinden dass aus Outlook Links angeklickt werden können.
Infrastruktur ist Exchange 2010 mit Outlook 2010.
Makros deaktivieren ist keine Option.
Bin da über jede Hilfe dankbar.

An den gesunden Menschenverstand der User zu appellieren hat sich mehrfach als komplett sinnlos erwiesen. Auf Vorschläge dieser Art daher bitte verzichten.

 

[purzelbär]

An den gesunden Menschenverstand der User zu appellieren hat sich mehrfach als komplett sinnlos erwiesen. Auf Vorschläge dieser Art daher bitte verzichten.

Dann gehören betreffende Mitarbeiter aber mal vom Chef zurechtgewiesen werden unter Androhung von Konsequenzen wenn die sich nicht Anweisungen halten.

 

[En3rg1eR1egel]

du kannst sowas nicht filtern
für den exchange/den av davor ist das nur nen link , nichts weiteres
und alle links rausfiltern ist auch käse

An den gesunden Menschenverstand der User zu appellieren hat sich mehrfach als komplett sinnlos erwiesen.

wer einen rechner nicht bedienen kann, sollte einen rechner nicht bedienen.
und erst recht nicht im firmenumfeld.

entsprechende nutzer auf pre-computer umstellen.
zettel, stift, und schreibarbeiten.

 

[Sterntaste]

Ist in Eurer Firma kein Admin oder ein externer Dienstleister tätig? Solche Leute wissen, was zu tun ist.

 

[t0x]

Ist natürlich richtig dass da Konsequenzen folgen sollten, aber ich bin nicht Chef hier und kann keine Abmahnungen aussprechen. Alles was mir bleibt ist technische Maßnahmen umzusetzen um das zu verhindern.

Ich bin einer der Admins und wir sehen derzeit kein Kriterium nach dem wir diese Mails filtern könnten.
Ausführbare Anhänge werden bereits gefiltert...

 

[Wilhelm14]

Da hilft kein Viren-, sondern ein Spamfilter. E-Mail-Provider, eigene Domain/Mail? Irgendwo wird man den Spam-Filter trainieren können. Edit: Ich vergaß, bei eigenem Server https://www.google.de/search?q=SpamAssassin
siehe https://de.wikipedia.org/wiki/SpamAssassin

An den gesunden Menschenverstand der User zu appellieren hat sich mehrfach als komplett sinnlos erwiesen.

Jeder weiß, was du meinst, aber daher sollte man die Flinte nicht ins Korn werfen. Den Gabelstapler, den Firmenwagen, darf auch nur derjenige Fahren, der es kann.

 

[purzelbär]

Ist natürlich richtig dass da Konsequenzen folgen sollten, aber ich bin nicht Chef hier und kann keine Abmahnungen aussprechen. Alles was mir bleibt ist technische Maßnahmen umzusetzen um das zu verhindern.

Ich bin einer der Admins und wir sehen derzeit kein Kriterium nach dem wir diese Mails filtern könnten.
Ausführbare Anhänge werden bereits gefiltert...

Aber du kannst die Mitarbeiter nochmals ermahnen bzw darauf hinweisen und es ihnen einbleuen und wenn das nicht fruchtet, musst du den Chef einschalten damit er sich der Kollegen annimmt.

 

[Tux.]

Sind es wirklich die internen Mitarbeiter oder wurden nur die "from/Envelope from" Header gefälscht?
Wäre ne klassische Spoofing Attacke die mit Spamfirewalls verhindert werden kann. (Arbeite hauptberuflich im Technischen Support im Bereich Spam)

 

[M@rsupil@mi]

Kann dir zwar keine echte Lösung bieten, aber ich habe zumindest bei etwa "dösigen" Leuten, die dann doch einfach / lieber klicken statt, weil sie dazu aufgefordert werden / nicht richtig hinschauen / etc, rechte gute Erfolge erzielt indem Mails automatisch einer Kategorie zugeordnet wurden. Farbe rot und als Kategorietext dann eine für die Person passende Warnung (Links nicht einfach öffnen, keine Firma fragt nach Daten, etc.).

Es verhindert zwar nicht wirklich was (der User wird immer einen Weg finden), aber es ist roter Warnkasten, der immer oben in jeder Mail angezeigt wird und damit habe ich doch so einige Erfolge gehabt. Deutlich mehr, als ich anfangs gedacht habe.

 

[iSight2TheBlind]

Laut dem Screenshot läuft da mit Spam Razer (siehe Betreff) ja schon ein Spamfilter.

Die Mail selbst sieht aber auch verdächtig genug aus um selbst IT-unfähigen Mitarbeitern merkwürdig vorzukommen.
Die Mail spricht von einem Anhang, hat aber nur einen (unseriösen) Link zu einer externen Webseite, in der Verabschiedungsformel am Ende hat man ein zerschossenes ß und selbst ohne den Fehler würde da "Mit freundlichen Grüße" stehen.
Klassisches PEBKAC!

 

[t0x]

Spoofing wird bereits ausgefiltert. Die Emails kommen

1. Von den echten Mailservern von Geschäftspartnern die evtl. gerade einen Virenausbruch haben
2. Von real existierenden Domains die aber mit uns in keiner Verbindung stehen (wahrscheinlich gehackte Mailserver bzw Accounts)

Der Spam Razer Filter filtert leider viele echte Mails aus. Daher können wir die nicht automatisch löschen lassen. Da gewöhnt man sich selbst als Admin schon daran dass da Spam Razer vorne dransteht. Das fällt keinem mehr auf.

 

[Kantico]

Schon bisschen arm von Euch, die Schuld auf die MA zu schieben.
DAUs wird es immer geben, da kann man nix machen.
Ein vernünftiger Admin blockt die Seiten, ich komme z. B. dank URL-FILTER-DATENBANK gar nicht auf die Seite drauf.

 

[t0x]

Die Mail ist ja nun schon etwas älter. Ob die Domain wirklich am ersten Tag geblockt ist?
Kann ich mir bei einem Blacklisting System nur schwer vorstellen.

Paar Tage später hat auch der Virenscanner die Signaturen dann passiert quasi sowieso nichts mehr.

Also zur ursprünglichen Frage:
Wenn jemand weiß wie man das anklicken von Links in E-Mails unterbinden kann oder einen zuverlässigen Mail Filter kennt der diese Mails ausfiltert immer her damit...

 

[Wilhelm14]

Konkret kann ich dir keine Tipps geben, aber vielleicht helfen die Stichwörter.
Links deaktivieren per GPO oder direkt in Outlook.
https://www.wintotal.de/tipp/microsoft-outlook-links-in-newslettern-oder-mails-sind-deaktiviert/
https://support.office.com/de-de/ar...hrichten-2d79b907-93b6-4774-82e6-1f0385cf20f8
https://www.administrator.de/frage/outlook-hyperlinks-gpo-deaktivieren-334750.html
https://www.google.de/search?q=e-mail+links+deaktivieren+outlook
Und dann musst du gucken, was auf deine Infrastruktur anwendbar ist.