• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Feature Request

EK1903

Well-known member
Hallo zusammen,

ob es aktuell eine Lösung dafür gibt, weiß ich nicht. Ein Thread dazu habe ich erstellt gehabt. 

Ist es möglich, den Mailinhalt auf URLs zu prüfen (nein, ich meine nicht den Safeguard). Wir haben in den letzten Tagen E-Mails bekommen (vermutlich Verbreitung von Qakbot Ransomware), wo kein Protokoll mitgefügt wurde. Die Links sahen wie folgt aus (wurden natürlich nicht als Link erkannt, sonst hätte Safeguard schon blockiert/umgeschrieben).


1)meineneueWebseite.de/boese-boese...
2)meineAlteWebseite.de/asds-asdasd

Durch die 1) und 2) werden diese Sachen nicht als Link formatiert, die Angreifer hoffen darauf, dass die User den Link kopieren und in den Browser einfügen. Kann man sowas in Form von Regex innerhalb einer Email ausfindig machen (lassen)? Ja, das würde die Verarbeitungszeit ggfs. verschlechtern, aber das kann ja jeder für sich entscheiden, ob man es als Aktion bei den Inbound Regeln hinzufügen möchte oder nicht. 

Eure Meinung?
 
Hallo,
wie wäre es mit "Wortübereinstimmungen" ?

Hier kann regex benutzt werden. wenn die URL erkannt wird bzw. der "böse" Link in der Mail bekannt ist kann dieser bei der Wortübereinstimmungen eingetragen werden, so filtere ich alles raus was bsp. mit bitly vor kommt, oder auch spezielle Chin. Zeichen

Wie sieht den so eine Mail aus ?

Grüße
 
ffischer schrieb:
Hallo,
wie wäre es mit "Wortübereinstimmungen" ?

Hier kann regex benutzt werden. wenn die URL erkannt wird bzw. der "böse" Link in der Mail bekannt ist kann dieser bei der Wortübereinstimmungen eingetragen werden, so filtere ich alles raus was bsp. mit bitly vor kommt, oder auch spezielle Chin. Zeichen

Wie sieht den so eine Mail aus ?

Grüße

Hallo,
schon daran gedacht, ist aber evtl. nicht das, was ich suche bzw. brauche. Gerne kannst du mich vom Gegenteil überzeugen^^.

Ich würde gerne folgendes haben.

1) E-Mail kommt rein, im Inhalt steht mal (ohne Anführungsstriche) "1)Link.de"  oder mal "?meineBoeseSeite.de" .. etc.
2) per Regex (ob Wortübereinstimmung oder nicht) diese Art von Links erkennen
3) Link entfernen ODER umschreiben per URL-Safeguard ODER direkt den Aufruf blockieren und nicht die gesamte E-Mail (manuelle Freigabe durch IT sollte ermöglicht werden).

wie könnte ich sowas AKTUELL umsetzen?
 
Hallo,
hm wenn der Text immer ähnlich aufgebaut dann wäre das vll möglich.
URL Safeguard kann nur NSP selbst umstellen da haben wir ja kein Einfluss drauf.

eine URL ist ja idr http(s)://dieseite.de aufgebaut

somit müsste man per regex prüfen wenn ein Text was anderes enthält als http(s)://deineurl.de/andere dinge 

dann wäre es true und Wortfilter schlägt zu ... 

den passenden Querey in Regex hab ich jetzt auch nicht parat müsste ich mich selbst rantasten .. 

Jan oder Stefan ... gibts da was ?

Grüße
 
ffischer schrieb:
Hallo,
hm wenn der Text immer ähnlich aufgebaut dann wäre das vll möglich.
URL Safeguard kann nur NSP selbst umstellen da haben wir ja kein Einfluss drauf.

eine URL ist ja idr http(s)://dieseite.de aufgebaut

somit müsste man per regex prüfen wenn ein Text was anderes enthält als http(s)://deineurl.de/andere dinge 

dann wäre es true und Wortfilter schlägt zu ... 

den passenden Querey in Regex hab ich jetzt auch nicht parat müsste ich mich selbst rantasten .. 

Jan oder Stefan ... gibts da was ?

Grüße

Hey,

vielen Dank. Per Regex es auszufiltern ist kein Thema. Die Frage ist, was kann ich nach einem TRUE alles damit anstellen? Gesamte email blockieren ist doof, ggfs. in Quarantäne? Oder nur den gefundenen Bereich (=match) "ausschneiden" und Email zustellen?

Wie bekämpft NSP und seine Kunden solche Qakbot Spamschleuder?
 
Hallo,
ganz einfach, wenn TRUE beim Wortfilter wird die Mail abgelehnt.
Das lässt sich nicht einstellen oder ändern.

Aber warten wir mal auf eine Antwort von NSP, vielleicht gibts da schon was oder ist was geplant.

Grüße
 
Moin Männers,
ich habe diese Thematik in dem anderen Thread beantwortet. Wir kommen hier ganz ohne Regex-Akrobatik aus. ;-) Aber schaut euch einfach den anderen Thread dazu an.
Gruß Stefan
 
Zurück
Oben