Erfahrungen "URL Safeguard"

[mabu]

Hallo.

Wir haben uns bisher nicht an "URL Safeguard" getraut. Einzig von meiner privaten Mailadresse eingehend ist es aktiviert.

Und irgendwie gibt es immer was an "Auffälligkeiten", die uns um eine generelle Aktivierung der Funktion gebracht haben.

Nur mal so ein paar Punkte, die mir auf die schnelle so auffallen:
1.) Links in der Mail werden durch Eintrag "Protected Link" ersetzt - dadurch auch nicht erkennbar, wie der Link im Original eigentlich ausgesehen hat
2.) aus manchen URLs wird (je nach Dokumententyp) ja die komplette eindeutige Safeguard-URL - was aufgrund der Länge Auswirkungen auf Layout hat
3.) habe mir TXT-Datei mit Mailheader als INhalt geschickt - sieht blöd aus, wenn ich die TXT nun öffne - alle Server-Einträge darin sind nun recht lange Safeguard-URLs geworden
4.) Dauer der Aufrufbarkeit der Links: in meinen älteren Mails mit Hinweisen auf Webseiten steht "Protected Link" (ohne irgendeine Idee, was dort wirklich mal stand) und klicke ich Link an, kann NSP diesen nicht mehr aufrufen, da der Eintrag schon gelöscht worden ist.
5.) ... und bestimmt noch mehr

Wie nutzt Ihr das so in der Praxis? Welche Probleme gibt es damit?

Hier wäre ein direkter Austausch am besten mit dem Blick auf Konfig und wirkliche Ergbenisse von unterschiedlichen Einstellungen mal sehr hilfreich. Ein Austausch von praktischen Erfahrungen.

Gibt es von Herstellerseite Infos, ob es bei dieser Funktion Änderungen mit dem Wechsel auf NSP 14 geben wird?

Das nur mal schnell zusammengeschrieben. Habe momentan so viele andere Themen auf dem Tisch. Aber URL Safeguard könnte Sicherheitsniveau noch ein bisschen mehr erhöhen. Nur aktuell sehe ich mehr praktische Probleme als Vorteile.

 

[ffischer]

Hallo Martin,
ja mit dem UrlSafe Guard habe ich auch manchmal so meine Probleme.
Gerade dann, wenn ich eine E-Mail erwische die was böses vorhat, kann ich diese nicht im NSP direkt als "böse" deklarieren so das wenn der User drauf klicken sollte,
einen Hinweis bekommt, "Wurde vom Administrator gesperrt"

Ich muss es an Cyren melden den Link - bis dann Cyren dieses als böse erkennt dauert es wieder.
In Text Files nehme ich den Filter raus, weil das vermurkst sehr vieles.

Damit Text Files nicht umgeschrieben werden
Anhang anzeigen 3

Bei mir habe ich bei manchen Absendern die vertrauenswürdig sind, das Umschreiben deaktiviert.
Einer der Partner, sendet manchmal 1 mal Downloads, das klappt dann mit dem Url SafeGuard nicht.

Auch das direkte Sperren wäre schön 
dazu habe ich jedoch schon ein Feature Req. erstellt https://forum.nospamproxy.com/showthread.php?tid=402

Schön wäre es wenn man "Protected Link" umschreiben könnte oder, jedoch nicht den Org. Link darstellen sonst gibt es n Copy & Paste und voila schon haben wir das Problem.

 

[FBrandau]

Hallo.

Wir haben uns bisher nicht an "URL Safeguard" getraut. Einzig von meiner privaten Mailadresse eingehend ist es aktiviert.

Und irgendwie gibt es immer was an "Auffälligkeiten", die uns um eine generelle Aktivierung der Funktion gebracht haben.

Nur mal so ein paar Punkte, die mir auf die schnelle so auffallen:
1.) Links in der Mail werden durch Eintrag "Protected Link" ersetzt - dadurch auch nicht erkennbar, wie der Link im Original eigentlich ausgesehen hat
2.) aus manchen URLs wird (je nach Dokumententyp) ja die komplette eindeutige Safeguard-URL - was aufgrund der Länge Auswirkungen auf Layout hat
3.) habe mir TXT-Datei mit Mailheader als INhalt geschickt - sieht blöd aus, wenn ich die TXT nun öffne - alle Server-Einträge darin sind nun recht lange Safeguard-URLs geworden
4.) Dauer der Aufrufbarkeit der Links: in meinen älteren Mails mit Hinweisen auf Webseiten steht "Protected Link" (ohne irgendeine Idee, was dort wirklich mal stand) und klicke ich Link an, kann NSP diesen nicht mehr aufrufen, da der Eintrag schon gelöscht worden ist.
5.) ... und bestimmt noch mehr

Wie nutzt Ihr das so in der Praxis? Welche Probleme gibt es damit?

Hier wäre ein direkter Austausch am besten mit dem Blick auf Konfig und wirkliche Ergbenisse von unterschiedlichen Einstellungen mal sehr hilfreich. Ein Austausch von praktischen Erfahrungen.

Gibt es von Herstellerseite Infos, ob es bei dieser Funktion Änderungen mit dem Wechsel auf NSP 14 geben wird?

Das nur mal schnell zusammengeschrieben. Habe momentan so viele andere Themen auf dem Tisch. Aber URL Safeguard könnte Sicherheitsniveau noch ein bisschen mehr erhöhen. Nur aktuell sehe ich mehr praktische Probleme als Vorteile.

Hallo zusammen,

wir haben den Safeguard nun auch relativ frisch eingeführt und die Probleme decken sich mit den oben angeführten...
Schade, dass es hier keine Fortschritte oder weitere Diskussionen gegeben hat.

Besonders Punkt 1 und 4 halte ich für ungünstig, gerade vor dem Hintergrund einer möglicherweise notwendigen Langzeitarchivierung von Mails.
Gibt es keine Möglichkeit, die Original URL irgendwie anzuzeigen oder die Option zu geben, den Ursprungslink selbständig zu maskieren? (Auch auf die Gefahr von Copy/Paste in den Browser...

Wir haben zusätzlich zum Beispiel das Problem, dass wir das Webportal nicht im Internet haben wollen. Daher funktioniert ein Zugriff über eine Mobile Handymailing-App dann natürlich auch nicht. Auch hier haben wir keine schöne Lösung gefunden.
Gibt es hier vielleicht auch Ideen?

Gruß
Fabian

 

[Sören]

Dauer der Aufrufbarkeit der Links: in meinen älteren Mails mit Hinweisen auf Webseiten steht "Protected Link" (ohne irgendeine Idee, was dort wirklich mal stand) und klicke ich Link an, kann NSP diesen nicht mehr aufrufen, da der Eintrag schon gelöscht worden ist.

Wende dich mal bitte an den Support. Das Webportal kann den link immer decrypten, egal wie alt der link ist. Wenn dann nicht so ist, dann ist etwas kaputt.

Besonders Punkt 1 und 4 halte ich für ungünstig, gerade vor dem Hintergrund einer möglicherweise notwendigen Langzeitarchivierung von Mails.
Gibt es keine Möglichkeit, die Original URL irgendwie anzuzeigen oder die Option zu geben, den Ursprungslink selbständig zu maskieren? (Auch auf die Gefahr von Copy/Paste in den Browser...

Dann musst du am NSP den Archivkonnektor einrichten, denn dann werden die Mails auch Rechtssicher geschrieben.

In Zukunft, ich kann noch nicht sagen wann, werden wir hinter protected link noch die Ziel Domain schreiben. Dann hat es ein User ein leichter.

Als admin kannst du dir aber immer die vollständigen links anzeigen lassen.

 

[FBrandau]

Wende dich mal bitte an den Support. Das Webportal kann den link immer decrypten, egal wie alt der link ist. Wenn dann nicht so ist, dann ist etwas kaputt.

Das haben wir in der Tat noch nicht getestet, da bei uns das Jahr der Aufbewahrung noch nicht um ist. Wenn die Aufbewahrung damit aber nichts zu tun hat, dann habe ich nichts gesagt

Dann musst du am NSP den Archivkonnektor einrichten, denn dann werden die Mails auch Rechtssicher geschrieben.

In Zukunft, ich kann noch nicht sagen wann, werden wir hinter protected link noch die Ziel Domain schreiben. Dann hat es ein User ein leichter.

Als admin kannst du dir aber immer die vollständigen links anzeigen lassen.

Kann der Archivkonnektor denn auch Mails, die ein User manuell und partiell/projektbezogen aus seinem Outlook archivieren will, in die entsprechende Akte im DMS einfügen? Oder ist das ein zentraler Konnektor, der alle Mails nach einem bestimmten Schema ablegt? Nach meinem Verständnis ist das eher dafür gedacht, dass alle Mails zentral und ohne Benutzereingriff archiviert werden und nicht für den Fall, dass Mails aus dem Benutzer-Outlook ins jeweilige DMS geschoben werden, oder sehe ich das falsch?

 

[Sören]

Oder ist das ein zentraler Konnektor

Jup zentral. Passiert ja schon am Gateway bevor die Mail verarbeitet haben.

 

[mbietz]

- URL-Safeguard blockt leider keine URLS mit "nackten IPs" also so etwas wie https://80.22.132.44
- Leider blockiert URL-Safeguard auch alle Bilderlinks somit die Mails vielfach unbrauchbar werden, besser wäre nur Links umzuschreiben

 

[Sören]

URL-Safeguard blockt leider keine URLS mit "nackten IPs" also so etwas wie https://80.22.132.44

aus meiner Sicht ein Bug, bespreche ich mit den Kollegen @JanJäschke

Leider blockiert URL-Safeguard auch alle Bilderlinks somit die Mails vielfach unbrauchbar werden, besser wäre nur Links umzuschreiben

Das ist auch richtig so, denn die Links mit Bildchen werden durchaus auch genutzt um Malware zu verteilen

 

[Ex4Seven]

Wir haben den URL-Safeguard am auch mittlerweile deaktiviert.
Macht das ganze User-Training zu Nichte, dass man erstmal schauen soll, ob ein Link vertrauenserweckend aussieht, bevor man auf ihn draufklickt.
Außerdem "verschleiert" der Safeguard Download-Links, so dass man nicht feststellen kann, ob einen ein Link "nur" auf eine Webseite führt, oder einem direkt eine Datei herunterlädt. Ziemlich unpraktisch imo.

Die Vorteile des Safeguards erschließen sich mir daher noch nicht so ganz - vielleicht kann mich da jemand erleuchten / überzeugen?

 

[JanJäschke]

Bezüglich des User-Trainings:
Hier haben wir viel Feedback bekommen und mit der kommenden v15.2 haben wir das Verhalten der umgeschrieben Links einmal stark überarbeitet. Es wird nun immer die tatsächliche Ziel Domäne der tatsächlichen Ziel URL mit angezeigt sodass ein Benutzer entscheiden kann ob ein Link z.B. wirklich zu example.com geht (wie angezeigt) oder der HREF eigentlich auf "malware.com" zeigt.

Den Punkt zum Downloadlink nehme ich einmal als gutes Feedback noch mit, jedoch wird auch bei einer gesamten URL ein User nie zu 100% sicher entscheiden können ob es sich um einen direkten Downloadlink oder eine Webseite handelt.
Bzw. an welchen Merkmalen einer URL würdest du sagen, dass es sich um einen Downloadlink und nicht um eine Webseite handelt? =)


Der Vorteil beim URL Safeguard ist eigentlich recht simpel:
Bei jedem klick wird noch einmal geprüft ob das Ziel der URL als gefährlich eingestuft ist oder nicht. Damit ist es egal wann eine E-Mail empfangen wird und was zu diesem Zeitpunkt hinter der URL lag.
Einmal das beliebte Beispiel meiner Kollegen, das Katzenvideo:
- ein Angreifer hat eine gute Reputation auf seinem Server
- er verschickt einen Link an einen Mitarbeiter, zu diesem Zeitpunkt verweist der Link auf ein niedliches Katzenvideo
- beim Empfang prüft ein System die URL (schreibt aber niemals um) -> Gute Reputation + Katzenvideo = kein Problem
- sagen wir mal die E-Mail wurde um 02:00 Uhr verschickt
- zum Arbeitsbeginn 8/9 Uhr ändert der Angreifer das Ziel vom Link auf eine Phishing Seite, einen Malware Download, etc.
- der Mitarbeiter geht morgens beim Kaffee seine E-Mails durch, sieht die E-Mail zum süßen Katzenvideo und klickt drauf -> wir haben ggf. ein Problem wenn die Endpoint Protektion nicht noch etwas machen kann oder gar SSL Inspection gemacht wird und dadurch etwas geschützt ist

Hier greift URL Safeguard ein. Durch das Umschreiben wird der Link noch einmal geprüft und der Zugriff blockiert. (Natürlich auch nur wenn wir etwas gefährliches erkennen)
Dies ist aber auch nur das Standardverhalten. Man könnte auch hingehen und sagen es werden alle Links vom URL Safeguard umgeschrieben und direkt blockiert. Dadurch muss erst die Domäne auf die Allowlist gesetzt werden und man fährt somit eine Zero-Trust policy. Klar das ist initial viel Arbeit, aber einige Kunden finden genau das Vorteilhaft.

Mit v15.2 ist zudem nun ein weiteres Szenario möglich:
- ein Admin der um 07:00 Uhr anfängt zu arbeiten hat die E-Mail ebenfalls bekommen
- da er mehr Erfahrung hat erkennt er, dass die E-Mail bösartig ist und kann proaktiv die URL im NoSpamProxy blockieren um sicherzustellen, dass jeder der draufklickt nicht weitergeleitet wird



Ob einem dieses Konzept als solches als Admin zusagt muss man natürlich für sich selbst entscheiden, wir bieten hier lediglich eine Möglichkeit an die Sicherheit zusätzlich zu erhöhen da wir immer vom DAU ausgehen müssen


Beste Grüße,
Jan

 

[MInkiNE1]

Wir erhalten regelmäßig Tickets von Kunden, die eine Aral-Tankkarte haben und Safeguard einsetzen. Aral verschickt in den Rechnungsmails einen Link zum Download der PDF-Rechnung. Bei Aufruf der Links meldet der NoSpamProxy, dass die URL zu lang ist:



Kann man die zulässige Länge ggf. ein einer .config-Datei anpassen?

 

[Schim]

Hallo,
wir haben NSP 15.1 relativ frisch eingeführt und benutzten auch den URL Safeguard. Zusätzlich zu den Punkten oben ist es ungünstig das auch signierte E-Mails umgeschrieben werden. ok, man kann die Partner pflegen. Haben hier regelmäßig Tickets weil Signatur Fehler im Mailprogramm angezeigt wird.

 

[JanJäschke]

Hallo,
wir haben NSP 15.1 relativ frisch eingeführt und benutzten auch den URL Safeguard. Zusätzlich zu den Punkten oben ist es ungünstig das auch signierte E-Mails umgeschrieben werden. ok, man kann die Partner pflegen. Haben hier regelmäßig Tickets weil Signatur Fehler im Mailprogramm angezeigt wird.

Gibt es für euch denn einen guten Grund die Signatur beizubehalten?
Prinzipiell macht dir alles Gateway basierte Probleme wenn die Signatur bis zum Postfach enthalten bleiben soll. Daher würde ich stehts davon abraten wenn es keinen guten Grund dafür gibt =)

 

[Schim]

wir haben aktuell nur eine Protection Lizenz, ich gehe mal davon aus das man dazu eine Encrytion braucht ?

 

[JanJäschke]

Ahh ok, dann lauft ihr zwangsläufig ja auch noch auf weitere Probleme, Beispiel Malwareprüfung in verschlüsselten E-Mails.

Aber ja dafür ist eine Encryption Lizenz notwendig, alternativ könntet ihr ein komplexes routing bauen solange ihr derzeit SMIME nicht wirklich an jedem Endgerät macht. =)

 

[Schim]

es aktuell max. 2% der Clients die SMIME benutzen. bezüglich dem Routing, kann ich eine Inbound Regel bauen um diese E-Mail anderes zu behandeln ?

 

[JanJäschke]

Du könntest z.B. eine AD Gruppe erstellen in welcher sich die SMIME Benutzer befinden und diese dann über eine gesonderte Regel abarbeiten.
In dieser Regel könntest du dann auch URL Safeguard deaktivieren.
Nachteil ist, dass dies dann unabhängig davon ist ob SMIME genutzt wurde oder nicht. (Also auch nicht signierte E-Mails würden durch diese Regel laufen)

Aber am besten verlagern wir das Thema in einen eigenen Thread. Das URL Safeguard Feedback geht sonst etwas unter =)

p.s. bei 2% dürfte dich unsere Lizenz eigentlich nicht die Welt kosten. Dann hast du alles recht unkompliziert an einer Stelle und löst damit mehrere Probleme. Encryption kann mit einer anderen User zahl Lizensiert werden als Protection ^^

 

[Sören]

Da bin ich bei Jan, ihr könnt in 10er Staffeln Lizenzen erwerben und hättet dann auch den Vorteil, dass die ganze Kryptographie und Schlüsselverwaltung nicht mehr auf Endgeräten stattfindet sondern auf dem Gateway. Bestehende Schlüssel können nach einem Import in den NSP einfach weiterverwendet werden

Wenn du magst, nehme ich mir mal 15 Minuten Zeit und zeige dir das in einer Remote Session. Aber natürlich ist der technische Umweg den Jan beschrieben hat, durchaus auch ein Weg den man gehen könnte.