• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

EML-Dateien als Anhang

mabu

Well-known member
Hallo.

Nachdem Ihr mir zuletzt wegen winmail.dat ja helfen konntet und ich diese im Inhaltsfilter ja nun auch zugelassen habe, frage ich doch einfach mal, wie man mit EML-Dateien als Anhang einer Mail umgehen sollte.

Bisher werden diese Dateianhänge bei uns entfernt, da sie aus meiner Sicht nicht prüfbar sind. (Das dachte ich bei winmail.dat aber auch.)

Ich gehe davon aus, dass ein EML-Dateianhang beim zulassen auch als EML-Dateianhang in der Mail im Posteingang ankommt. Kann NSP diesen Anhang denn prüfen?

Bisher ist meine Vermutung, dass beim Zulassen von EML Schadcode in der EML zugestellt werden könnte. Auch bei Safeguard wäre ich mir dann nicht so sicher, ob da in der EML was möglich ist.

Danke für Antworten.
 
Moin Martin,
das ist ein äußerst valider Punkt. Ich bin ganz bei Dir wenn es um die Sicherheit einer EML an einer E-Mail geht. Wir können das aber abbilden. Heißt: Eine EML an einer E-Mail wird als solche erkannt und auch behandelt. Links in der EML werden zB durch URL SafeGuard behandelt und auch Anhänge an einer angehängten EML (erkenne den Fehler im System) werden durch die Sandbox verarbeitet.
Ich will aber nicht verhehlen, dass diese Funktion erst mit den letzten FastChannel-Updates ins Produkt gekommen ist.

Gruß Stefan
 
Hallo Stefan.

Da habe ich dann gleich noch ein paar Rückfragen zu Deiner Antwort.

1.) ich kann also Dateiendung "eml" im Imhaltsfilter zulassen?
2.) sollte ich dann evtl. bei nicht vertrauenswürdigen Mails ein Webportal-Upload draus machen? würde aber bedeuten, ich müsste es manuell freigeben. Oder runterladen und selbst reinschauen
3.) wir nutzen Version 13.2.20199.1826. Gerade gesehen, dass im FastChannel ein Update vom 28.09. ist. Sollte ich erst das Update machen, bevor ich EML freigebe?
 
Hallo Stefan.

Falls Du den Eintrag noch einmal liest, hast Du noch Antworten auf die 3 Fragen vom 16.10.?

Danke.
 
Sorry, das ist mir durchgegangen. Zu Deinen 3 Fragen:

1) Ja, die kannst Du zulassen.
2) Bei EML ist das keine schlechte Idee, ich würde allerdings vorher noch einmal mit der aktuellen Version testen, ob die rekursive Anhangsbehandlung jetzt so funktioniert, wie Du es Dir vorstellst.
3) Ja, die solltest Du so oder so installieren.

Gruß Stefan
 
Hi Stefan.

Bei meiner Frage zu "nicht vertrauenswürdige Mails und dann Webportal-Upload für die EML" hast Du geantwortet "Bei EML ist das keine schlechte Idee, ich würde allerdings vorher noch einmal mit der aktuellen Version testen, ob die rekursive Anhangsbehandlung jetzt so funktioniert, wie Du es Dir vorstellst."

Stehe gerade auf dem Schlauch, was Du mit dem Teil ab "ob" meinst :huh:
 
Na dann helfen wir Dir herunter vom Schlauch. Mit rekursiver Anhangsbehandlung sind Situationen gemeint, in der an einer E-Mail eine EML hängt und die angehängte EML wiederum einen weiteren Anhang, zB ein Word-Dokument hat. Rein technisch betrachtet, müssen wir im Anhang einer E-Mail einen Anhang erkennen und behandeln. Was sich so leicht liest und irgendwie als selbstverständlich wahrgenommen wird, muss entwicklungstechnisch jedoch erstmal umgesetzt werden und ist alles andere als "mal eben eingebaut".
Lass uns wissen, ob Du a) vom Schlauch bist und b) was Dein Test ergeben hat. :)

Gruß Stefan
 
Hallo.

Ist schon etwas länger her meine Anfrage und nun komme ich endlich zum Testen.

Ersteinmal die Info: es funktioniert grundsätzlich schon einmal, wenn ich EML zulassen. Es werden auch Prüfungen in den EML-Dateien durchgeführt (Safeguard hat was angepasst).

Aber beim letzten Test passt es dann doch nicht so ganz. Bin nur nicht sicher, was da nicht passt.

Ich schicke eine Mail mit zwei EML-Dateien als Anhang. In der einen ist eine Docx- und und in der anderen eine Doc-Datei enthalten.

Als Ergebnis kommen beide EML-Dateien unverändert bei mir an. Bei der Absendedomäne gilt der normale Inhaltsfilter (somit sollte doc eigentlich disarmed werden).

In der Nachrichtenverolgung ist meine Mail angehalten worden. In Aktion "Inhaltsfilter" steht "Der Inhalt der Dateianhänge Dies ist ein Test mit einer Doc.doc wird entschärft .... ins Web Portal hochgeladen". Wird in "Aktivitäten" auch mit genannt. Somit hier eigentlich das gewünscht Verhalten.

Aber in "Large Files" nichts eingetragen. Und wie erwähnt kommt die Mail ja mit zwei komplett unveränderten EML-Dateien inkl. Inhalt an.

Das hat ja nun vermutlich was mit der rekursiven Anhangsbehandlung zu tun. Ist das so schon bekannt?

Laut Nachrichtenverfolgung sieht es für mich ja erst einmal komplett okay aus.
 
Hallo Martin,
ich lasse das mal prüfen. Mir ist so, als wenn wir da jüngst etwas gefixt hätten.
Gruß Stefan
 
Hallo Martin,
die Antwort kommt schneller als erwartet: Wir haben diesen Bug in der Tat im letzten Sprint gefixt. Die Version wird nächstes Jahr im Fast Channel veröffentlich, Du kannst sie aber gerne über den Support direkt anfordern. Mach einfach ein Ticket auf und frag gezielt nach der Version 13.2.20351.1326.
Gruß Stefan
 
Hallo Stefan.

Danke für die schnelle Rückmeldung. Ich schaue mal, wie es es zeitlich hinbekomme.

Schon mal frohes Fest und guten Rutsch.
 
Hallo.

Letzten Samstag bin ich endlich dazu gekommen, das Update auf 13.2.20346.1331 zu machen.

Und gerade noch einmal den Test mit EML-Dateien in einer Testmail von extern. Und in einer EML-Datei eine DOCX-Datei und in der anderen EML-Datei eine DOC-Datei. Also eigentlich identischer Test wie Ende letzten Jahres. Und auch das gleiche Ergebnis.

Mail wird angehalten und doc wird entschärft und ins Web Portal geladen. Bei mir im Posteingang kommt die Mail aber komplett unverändert an - also in der einen EML ist die DOC unverändert enthalten.

Die Domäne der Mailadresse, die den Test sendet, ist in normaler Zuordnung für Standard-Inhaltsfilter. Somit ist das mit dem Disarm und Upload bei DOC schon die richtige Einstellung. Und so ist es ja auch in der Nachrichtenverfolgung eingetragen.

Aber das Ergebnis ist unveränderte Mail.

Wie wollen wir hier weiter verfahren? Soll ich Euch die Testmail einmal zuschicken?
 
Hallo Martin,

ja ich denke dass es das Beste ist, wenn Du ein Ticket im Support eröffnest. Dann geht alles seinen richtigen Gang.

Gruß Stefan
 
Hatte es am Freitag erst geschafft, endlich mal wieder Update zu installieren. Und eben war der Test mit den EML-Dateien inkl. Dateininhalt in der EML, der entschärft und ins Webportal soll auch erfolgreich.

Danke :)
 
Zurück
Oben