Gelöst .ex- Dateien kommen durch

[itdept]

Hallo liebes NSP Team,

wir waren heute etwas erstaunt, dass zu einem Mitarbeiter ein Dateianhang mit der Endung .ex- durchgekommen ist.
Ich war der Meinung, dass gerade solche Dateien am Header erkannt werden sollten und nicht an der Endung.

VirusTotal

VirusTotal

www.virustotal.com

Einen entsprechenden Inhaltsfilter haben wir gesetzt. Oder greift dieser nur stumpf auf die Dateiendung?




Gruß
Matthias

 

[JanJäschke]

Hallo Matthias,

schau mal in den heruntergeladenen Messagetrack rein was dort als erkannter Dateityp drin steht.

Gruß
Jan

 

[Fabian]

Guten Morgen zusammen,

aber ist es nicht auf dem Screenshot schon ersichtlich das die ".ex-" Datei durchkam?
Immerhin ist die Bedingung Dateityp Ausführbare Dateien mit "und" verknüpft zu "*.iso; *.exe; *.bat"

=> Ausführbare Datei als Mimtetype und Dateiname endet auf ".ex-" wird als false gemached ...

Ich würde hier Ausführbare Dateien ohne weitere Bedingung setzen... oder gibt es ein Grund, das spezifische ausführbare Dateien durchkommen sollen?

Wenn ja, dann einen Allowlisiting Ansatz für diese Dateien fahren, gefolgt von generellen blockieren der restlichen.

LG
Fabian

 

[itdept]

Hallo,

ich habe die "Ausführbaren Dateien" und die Dateiendungen jetzt getrennt.

Die Datei wurde als "ausführbare Datei" erkannt.

 

[JanJäschke]

Top - wie Fabian schon beschrieben hat, die Bedingungen innerhalb eines Inhaltsfiltereintrags sind immer UND verknüpft
Durch deine Trennung in einen separaten Eintrag hast du nun die ODER Verknüpfung geschaffen.