Hallo zusammen,
ob es aktuell eine Lösung dafür gibt, weiß ich nicht. Ein Thread dazu habe ich erstellt gehabt.
Ist es möglich, den Mailinhalt auf URLs zu prüfen (nein, ich meine nicht den Safeguard). Wir haben in den letzten Tagen E-Mails bekommen (vermutlich Verbreitung von Qakbot Ransomware), wo kein Protokoll mitgefügt wurde. Die Links sahen wie folgt aus (wurden natürlich nicht als Link erkannt, sonst hätte Safeguard schon blockiert/umgeschrieben).
1)meineneueWebseite.de/boese-boese...
2)meineAlteWebseite.de/asds-asdasd
Durch die 1) und 2) werden diese Sachen nicht als Link formatiert, die Angreifer hoffen darauf, dass die User den Link kopieren und in den Browser einfügen. Kann man sowas in Form von Regex innerhalb einer Email ausfindig machen (lassen)? Ja, das würde die Verarbeitungszeit ggfs. verschlechtern, aber das kann ja jeder für sich entscheiden, ob man es als Aktion bei den Inbound Regeln hinzufügen möchte oder nicht.
Eure Meinung?
ob es aktuell eine Lösung dafür gibt, weiß ich nicht. Ein Thread dazu habe ich erstellt gehabt.
Ist es möglich, den Mailinhalt auf URLs zu prüfen (nein, ich meine nicht den Safeguard). Wir haben in den letzten Tagen E-Mails bekommen (vermutlich Verbreitung von Qakbot Ransomware), wo kein Protokoll mitgefügt wurde. Die Links sahen wie folgt aus (wurden natürlich nicht als Link erkannt, sonst hätte Safeguard schon blockiert/umgeschrieben).
1)meineneueWebseite.de/boese-boese...
2)meineAlteWebseite.de/asds-asdasd
Durch die 1) und 2) werden diese Sachen nicht als Link formatiert, die Angreifer hoffen darauf, dass die User den Link kopieren und in den Browser einfügen. Kann man sowas in Form von Regex innerhalb einer Email ausfindig machen (lassen)? Ja, das würde die Verarbeitungszeit ggfs. verschlechtern, aber das kann ja jeder für sich entscheiden, ob man es als Aktion bei den Inbound Regeln hinzufügen möchte oder nicht.
Eure Meinung?