Page 1 of 1
"Aktion im Falle einer Infektion" - Weitere Option möglich?
Posted: Sun 9. Dec 2018, 19:17
by Blackmoon
Guten Abend.
ich wünsche mir, dass die Option "Aktion im Falle einer Infektion" um die Variante "Ablehnen" erweitert wird.
Denn die E-Mail bzw. Anhang zu löschen ist rechtlich schwierig bzw. unmöglich. In eine Qurantäne zu verschieben, halt ich für viele Anwender ebenfalls für bedenklich. Mit einem Klick ist der Anhang schnell geöffnet und das Unheil nimmt seinen Laufe.
/Dani
Re: "Aktion im Falle einer Infektion" - Weitere Option möglich? [GELÖST]
Posted: Mon 10. Dec 2018, 17:22
by Martin
Hallo,
zum Zeitpunkt des Scans hat der Mailserver die Mail allerdings schon vom Absenderserver übernommen (und mit 200er Code akzeptiert). Ablehnen ist dann daher keine Option mehr (mit 400er oder 500er Code).
Re: "Aktion im Falle einer Infektion" - Weitere Option möglich?
Posted: Wed 12. Dec 2018, 22:25
by Blackmoon
Guten Abend.
wie machen das andere Anbieter im Bereich E-Mail Service? Nutzen die eine andere Kombination aus Malware und Spamfilter (z.B. Rspamd).
Im unseren Intranet kenne ich das von unsere Malware Applikation auf Basis von Windows. Das hilft uns unter Keyhelp nicht weiter.
/Dani
Re: "Aktion im Falle einer Infektion" - Weitere Option möglich?
Posted: Wed 12. Dec 2018, 23:25
by Tobi
Blackmoon wrote: ↑Sun 9. Dec 2018, 19:17
Denn die E-Mail bzw. Anhang zu löschen ist rechtlich schwierig bzw. unmöglich.
Warum?
Ob du nun löschst oder ablehnst ist unerheblich. So oder so greifst du in die Kommunikation eines Dritten ein.
Gefahrenabwehr im Sinne von vorbeugender Prävention in Verbindung mit einem Vertrag zur Auftragsdatenverarbeitung sollte das doch abdecken.
Von mir aus kann KeyHelp erkannte Virenmails direkt löschen.
Re: "Aktion im Falle einer Infektion" - Weitere Option möglich?
Posted: Thu 13. Dec 2018, 17:50
by Blackmoon
Guten Abend Tobi.
das ist so nicht richtig. Wenn ich eine E-Mail gar nicht mit 200 annehme sondern bei der Zustellung prüfe und ggf. ablehne, erhält der Absender eine entsprechende E-Mails. Nehme ich die E-Mail mit 200 an und lösche Sie anschließend bekommt es im Worst Case gar keiner mit. Stichwort: SMTP-Proxy vs SMTP-Gatway.
/Dani
Re: "Aktion im Falle einer Infektion" - Weitere Option möglich?
Posted: Thu 13. Dec 2018, 18:00
by Tobi
Blackmoon wrote: ↑Thu 13. Dec 2018, 17:50
Guten Abend Tobi.
das ist so nicht richtig. Wenn ich eine E-Mail gar nicht mit 200 annehme sondern bei der Zustellung prüfe und ggf. ablehne, erhält der Absender eine entsprechende E-Mails. Nehme ich die E-Mail mit 200 an und lösche Sie anschließend bekommt es im Worst Case gar keiner mit. Stichwort: SMTP-Proxy vs SMTP-Gatway.
/Dani
Ah, O.K.
Verstehe.
Wäre es dann vielleicht eine Lösung, dass der Absender, im Falle der Löschung, über den Löschvorgang informiert wird?
Vielleicht auch gleich noch den Empfänger informieren?
CLAM-AV Systemmeldung:
Der Anhang dieser Mail wurde automatisiert gelöscht.
Grund der Löschung: Virus XYZ-ver2 in Datei "rechnung.exe.pdf" gefunden.
Wir hatten nämlich neulich tatsächlich den Fall, dass der Kunde eines unserer Kunden einen virenverseuchten Rechner hatte. Der hat an alle seine Geschäftspartner unwissentlichen irgend so nen Wurm versandt. Ich glaube der wäre für so einen Löschhinweis dankbar gewesen.
@Alexander
Ist sowas überhaupt umsetzbar?
Re: "Aktion im Falle einer Infektion" - Weitere Option möglich?
Posted: Thu 13. Dec 2018, 23:52
by nikko
Ja @Tobi, aktuell mit Emotet ganz extrem böse Infektionen.
Mit einem Standard Virus sollte ClamAV die Mail schon mal kennzeichnen. Das ist Hinweis 1 für den User.
Viele nutzen (hoffentlich) aktuelle lokale kostenpflichtige Virenscanner, die den Mailverkehr in der Regel auch zusätzlich überwachen, somit Schranke 2.
Spätestens beim Anfassen des Anhangs sollte dann aber jeder Virenscanner Alarm schlagen - so dieser aktuell ist und es sich nicht gerade um eine 0 - Day - Virus - Variante handelt (wie gerade aktuell mit Emotet und seinen Variationen): Schranke 3.
Wenn allerdings der Virus bis hierher gekommen ist, hätte eine Löschfunktion in KH / Clam auch nichts genutzt, da er vermutlich sowieso nicht erkannt wurde.
Re: "Aktion im Falle einer Infektion" - Weitere Option möglich?
Posted: Thu 13. Dec 2018, 23:58
by OlliTheDarkness
nikko wrote: ↑Thu 13. Dec 2018, 23:52
Ja @Tobi, aktuell mit Emotet ganz extrem böse Infektionen.
Mit einem Standard Virus sollte ClamAV die Mail schon mal kennzeichnen. Das ist Hinweis 1 für den User.
Viele nutzen (hoffentlich) aktuelle lokale kostenpflichtige Virenscanner, die den Mailverkehr in der Regel auch zusätzlich überwachen, somit Schranke 2.
Spätestens beim Anfassen des Anhangs sollte dann aber jeder Virenscanner Alarm schlagen - so dieser aktuell ist und es sich nicht gerade um eine 0 - Day - Virus - Variante handelt (wie gerade aktuell mit Emotet und seinen Variationen): Schranke 3.
Wenn allerdings der Virus bis hierher gekommen ist, hätte eine Löschfunktion in KH / Clam auch nichts genutzt, da er vermutlich sowieso nicht erkannt wurde.
Die Aussage ist im Grund richtig , aber was kostenpflichtige Virenscanner angeht muss es nicht sein.
Auch die kostenlosen Scanner bringen super Leistung.
Persöhnlich nutze ich seid über 5 Jahren Avast, davon 4 Jahre die Free Version und hatte niemals Probleme, alles wurde erkannt bevor es zu spät war auch (vorallem) Emails. Seid 1 Jahr nutze ich Avast Prem. , nicht weil ich es brauch sondern weil es ein guter Scanner ist für den man gern zahlt weil er hält was er verspricht.
Zusammengefasst: Auch kostenlose Scanner können gut sein
Re: "Aktion im Falle einer Infektion" - Weitere Option möglich?
Posted: Fri 14. Dec 2018, 14:36
by mrbird
Ne ruhige Hand die nicht auf alles was wie Anhang aussieht klickt ist meist auch hilfreich
Re: "Aktion im Falle einer Infektion" - Weitere Option möglich?
Posted: Fri 14. Dec 2018, 17:03
by Jolinar
Tobi wrote: ↑Thu 13. Dec 2018, 18:00Wäre es dann vielleicht eine Lösung, dass der Absender, im Falle der Löschung, über den Löschvorgang informiert wird?
Vielleicht auch gleich noch den Empfänger informieren?
Ein empfangender Mailserver
darf garkeine Mails löschen!
Entweder nimmt er die Mail mit 200 an und muß sie dann auch zustellen oder er lehnt sie ab...Deswegen präferiere ich auch Postscreen anstatt dem ganzen Antispam- & Antiviren-Gedöns auf Servern.
Die eigentliche Mailfilterung ist alleine Sache des Mailclienten, niemals des Mailservers.
BTW:
Selbst wenn ein Mailserver Mails selektiv löschen würde, wie würdest du es deinen Kunden gegenüber rechtfertigen, wenn eine Mail nur deswegen gelöscht worden wäre, weil ClamAV die Mail fälschlicherweise als schadhaft erkannt hat (was bei ClamAV übrigens garnicht so selten passiert)...?
Re: "Aktion im Falle einer Infektion" - Weitere Option möglich?
Posted: Fri 14. Dec 2018, 19:39
by Tobi
Jolinar wrote: ↑Fri 14. Dec 2018, 17:03
Ein empfangender Mailserver darf garkeine Mails löschen!
In diesem Szenario würde aber der nachgeschaltete Virenscanner löschen. Nicht der Mail-Server. Der nimmt tatsächlich nur an.
Jolinar wrote: ↑Fri 14. Dec 2018, 17:03
wie würdest du es deinen Kunden gegenüber rechtfertigen
ADV Vertrag in Koppelung "technisch mögliche Gefahrenabwehr" im Sinne der DSGVO.
Aber dein Hinweis ist durchaus gerechtfertigt.
Es muss also in den hypothetischen Virenscanner Einstellungen dann auch eine White-List für Dateien geben. Somit könnten False-Positive Anhänge dennoch zugestellt werden.
Re: "Aktion im Falle einer Infektion" - Weitere Option möglich?
Posted: Sat 15. Dec 2018, 18:18
by Blackmoon
Guten Abend.
In diesem Szenario würde aber der nachgeschaltete Virenscanner löschen. Nicht der Mail-Server. Der nimmt tatsächlich nur an.
Spielt keine Rolle. Sobald der absendete E-Mailserver die 200 erhält, gilt die Mail als zugestellt und somit in der Verantwortung des Empfängers. Daher das Ansinnen solche E-Mails beim Empfang direkt abzulehnen.
/Dani