Hallo zusammen,
ich habe die Hoffnung hier gleichgesinnte für mein Thema zu treffen und vielleicht ein paar Tipps zu erhalten.
Wir haben bei uns wie jede andere Firma viele Freunde da draußen die nur das Beste von uns wollen -> unsere Daten und Geld. Der Versuch daran zu kommen geschieht leider über Mail und da bin ich der Admin welcher sich immer Gedanken machen muss wie wir das zu verhindern wissen können.
Wir haben schon eine größere Sicherheitsbarriere aufgebaut aber die wirkt nie zu 100% <- wird es nie geben außer Mail wird abgeschaltet.
Externe Mails kommen erst bei uns am Mailproxy (Clearswift) an und werden geprüft und zum Teil auch in Quarantäne verschoben. Danach geht es weiter zum Exchange und dort haben wir von TrendMicro den „Scanmail for Exchange“ (SMEX) welcher ebenfalls die Mails erstmal prüft und entweder durchlässt oder selbst in die eigene Quarantäne verschiebt. Am Exchange gibt es von mir auch schon Regeln die E-Mails nach bestimmten Kriterien (Betreff etc.) erkennen und Aktionen (Umleitung in ein SPAM Postfach, Löschen etc.) ausführen.
Nun haben wir leider mit zig E-Mails zu kämpfen wo URL Shortener bit.ly, j.mp etc. genutzt werden. Wenn die Mails von Extern kommen prüft erstmal der Mailproxy und lässt diese meistens weiter, weil sie ja von existierenden (aber übernommenen) Postfächern stammen. Danach kommt die Mail zum SMEX und der überprüft den Link hinter dem Shortener und meistens ist zu diesem Zeitpunkt der Schadcode hinter dem Link noch nicht aktiv und die Mail geht zum Postfach durch. Jetzt haben wir noch die Option „URL Time-of-Click Protection“ welche beim Klick auf einen Link nochmal prüft ob inzwischen etwas von diesem Link bekannt ist (Leider müssen hier schon einige Anwender auf der Welt diesen angeklickt haben und TrendMicro es merken).
Meine Fragen:
- Wie geht Ihr mit dem Thema um?
- Wie handhabt Ihr das mit den URL Shortener?
-------
Damit ihr mal einen Eindruck davon habt von welchen Mails ich spreche hier ein paar Bilder.
Ps.: Wie kann ich nach E-Mails suchen und diese Löschen lassen mit einem bestimmten Zeitfenster? Bisher habe ich immer diesen Befehl genommen aber den kann ich zeitlich nicht einschränken und die Absender ändern sich ständig.
get-mailbox
-Database DB-01 -ResultSize unlimited -Domaincontroller DC01 | search-mailbox
-SearchQuery 'subject:"BöseMail"' -TargetMailbox
SearchAdminMailbox@lab.intern -TargetFolder Suche -DeleteContent
-Domaincontroller DC01
Vielen Dank vorab
Paul