Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Feature Request
#1
Hallo zusammen,

ob es aktuell eine Lösung dafür gibt, weiß ich nicht. Ein Thread dazu habe ich erstellt gehabt. 

Ist es möglich, den Mailinhalt auf URLs zu prüfen (nein, ich meine nicht den Safeguard). Wir haben in den letzten Tagen E-Mails bekommen (vermutlich Verbreitung von Qakbot Ransomware), wo kein Protokoll mitgefügt wurde. Die Links sahen wie folgt aus (wurden natürlich nicht als Link erkannt, sonst hätte Safeguard schon blockiert/umgeschrieben).


1)meineneueWebseite.de/boese-boese...
2)meineAlteWebseite.de/asds-asdasd

Durch die 1) und 2) werden diese Sachen nicht als Link formatiert, die Angreifer hoffen darauf, dass die User den Link kopieren und in den Browser einfügen. Kann man sowas in Form von Regex innerhalb einer Email ausfindig machen (lassen)? Ja, das würde die Verarbeitungszeit ggfs. verschlechtern, aber das kann ja jeder für sich entscheiden, ob man es als Aktion bei den Inbound Regeln hinzufügen möchte oder nicht. 

Eure Meinung?
Zitieren
#2
Hallo,
wie wäre es mit "Wortübereinstimmungen" ?

Hier kann regex benutzt werden. wenn die URL erkannt wird bzw. der "böse" Link in der Mail bekannt ist kann dieser bei der Wortübereinstimmungen eingetragen werden, so filtere ich alles raus was bsp. mit bitly vor kommt, oder auch spezielle Chin. Zeichen

Wie sieht den so eine Mail aus ?

Grüße
Grüße
Frank
Zitieren
#3
(03.11.2021, 11:49)ffischer schrieb: Hallo,
wie wäre es mit "Wortübereinstimmungen" ?

Hier kann regex benutzt werden. wenn die URL erkannt wird bzw. der "böse" Link in der Mail bekannt ist kann dieser bei der Wortübereinstimmungen eingetragen werden, so filtere ich alles raus was bsp. mit bitly vor kommt, oder auch spezielle Chin. Zeichen

Wie sieht den so eine Mail aus ?

Grüße

Hallo,
schon daran gedacht, ist aber evtl. nicht das, was ich suche bzw. brauche. Gerne kannst du mich vom Gegenteil überzeugen^^.

Ich würde gerne folgendes haben.

1) E-Mail kommt rein, im Inhalt steht mal (ohne Anführungsstriche) "1)Link.de"  oder mal "?meineBoeseSeite.de" .. etc.
2) per Regex (ob Wortübereinstimmung oder nicht) diese Art von Links erkennen
3) Link entfernen ODER umschreiben per URL-Safeguard ODER direkt den Aufruf blockieren und nicht die gesamte E-Mail (manuelle Freigabe durch IT sollte ermöglicht werden).

wie könnte ich sowas AKTUELL umsetzen?
Zitieren
#4
Hallo,
hm wenn der Text immer ähnlich aufgebaut dann wäre das vll möglich.
URL Safeguard kann nur NSP selbst umstellen da haben wir ja kein Einfluss drauf.

eine URL ist ja idr http(s)://dieseite.de aufgebaut

somit müsste man per regex prüfen wenn ein Text was anderes enthält als http(s)://deineurl.de/andere dinge 

dann wäre es true und Wortfilter schlägt zu ... 

den passenden Querey in Regex hab ich jetzt auch nicht parat müsste ich mich selbst rantasten .. 

Jan oder Stefan ... gibts da was ?

Grüße
Grüße
Frank
Zitieren
#5
(04.11.2021, 18:31)ffischer schrieb: Hallo,
hm wenn der Text immer ähnlich aufgebaut dann wäre das vll möglich.
URL Safeguard kann nur NSP selbst umstellen da haben wir ja kein Einfluss drauf.

eine URL ist ja idr http(s)://dieseite.de aufgebaut

somit müsste man per regex prüfen wenn ein Text was anderes enthält als http(s)://deineurl.de/andere dinge 

dann wäre es true und Wortfilter schlägt zu ... 

den passenden Querey in Regex hab ich jetzt auch nicht parat müsste ich mich selbst rantasten .. 

Jan oder Stefan ... gibts da was ?

Grüße

Hey,

vielen Dank. Per Regex es auszufiltern ist kein Thema. Die Frage ist, was kann ich nach einem TRUE alles damit anstellen? Gesamte email blockieren ist doof, ggfs. in Quarantäne? Oder nur den gefundenen Bereich (=match) "ausschneiden" und Email zustellen?

Wie bekämpft NSP und seine Kunden solche Qakbot Spamschleuder?
Zitieren
#6
Hallo,
ganz einfach, wenn TRUE beim Wortfilter wird die Mail abgelehnt.
Das lässt sich nicht einstellen oder ändern.

Aber warten wir mal auf eine Antwort von NSP, vielleicht gibts da schon was oder ist was geplant.

Grüße
Grüße
Frank
Zitieren
#7
Moin Männers,
ich habe diese Thematik in dem anderen Thread beantwortet. Wir kommen hier ganz ohne Regex-Akrobatik aus. ;-) Aber schaut euch einfach den anderen Thread dazu an.
Gruß Stefan
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste