• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

RTF File - seltsames Problem

E

EK1903

Well-known member
Hallo zusammen,

wir hatten einen Fall gehabt, was ich etwas merkwürdig fand und bisher noch nicht 100% dahinter gekommen bin.

RTF files werden bei uns grundsätzlich blockiert.

Nun hat ein Absender eine E-Mail gesendet.

externer Absender: absender@absender.com mit dem Anhang Liste.pdf
interne Empfänger: a.mueller@domain.com, b.schmidt@domain.com und als cc: c.thomas@domain.com   (Der Absender hatte c.Thomas (der Carl Thomas heißt, als Carlos Thomas in seiner Kontaktliste drin)

Nun.

Die E-Mail wurde an a.mueller und b.schmidt normal zugestellt, also die PDF Datei. Die Mail an C.Thomas wurde abgewiesen, da neben der PDF Datei eine body.RTF Datei angehangen wurde (NICHT vom Absender, zumindest nicht bewusst).

Meine Frage:

Wie bzw. wo kommt diese RTF Datei her? Nachfolgend die Header-Informationen der E-Mail, natürlich anonymisiert

Code: 
From: David Absender absender@absender.com
To: a.mueller@domain.com, b.schmidt@domain.com
CC: "'Carlos Thomas
(C.Thomas@domain.com)'" C.Thomas@domain.com
Subject: Fertigungsdaten 
Thread-Topic: Fertigungsdaten 
Thread-Index: AdlmOSE7+MsLrBc4QpKjWCi4CuvG1A==
Date: Mon, 3 Apr 2023 14:34:17 +0000
Message-ID: DBOOOOOOMB0485AAD91EF819YYYYYY@XXXXXXXXXXXXCOM
Content-Language: de-DE
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
Content-Type: multipart/mixed;
            boundary="_007_DB8P195MB0485A9DB8P195MB0485EURP_"
MIME-Version: 1.0



Danke
 
Hallo,

ich würde dieses vorhandene Thema gerne aufgreifen weil wir seit einiger Zeit ähnliche "Probleme" haben. Auch bei uns sind grundsätzlich alle .rtf Dateitypen gesperrt. Nun kommt es gelegentlich vor, das wir Mails erhalten und diese abgelehnt werden, weil ein body.rtf Anhang gefunden wird.
Ich habe heute zum Beispiel folgendes Phänomen gehabt: (m)ein Rechner, Outlook 2019 mit 2 Accounts - dienstlich und privat. Ich sende von Privat eine Mail an dienstlich - abgelehnt wegen body.rtf. Ich sende eine Mail von dienstlich an privat - klappt. Ich antworte auf besagte Mail von privat an dienstlich - klappt. Beide Accounts nutzen die gleiche Vorlagendatei und Signatur. Signatur hatte ich testweise sogar deaktiviert, bringt nichts. Sende ich jedoch von privat an eine andere dienstliche Adresse, klappt die Zustellung. Soll da mal einer durchblicken :) Aber das ist für mein Anliegen zweitrangig.
Meine Frage: ist euch ein Inhaltsfilter bekannt, der .rtf Dateien ablehnt aber body.rtf durchlässt? Ich möchte jedoch ungern einen Inhaltsfilter erstellen, der grundsätzlich alle Dateien mit body.rtf (Dateityp RTF und Dateiname "body.rtf") durchlässt, weil es durchaus passieren kann das eben jener Ausdruck/jene Datei mit Schundsoftware versehen wird und dann öffne ich mir ein Scheunentor.
Ihr hattet uns per Ticket wunderbar mit den Unbekannten HTML Dateien von Apple Mail geholfen :)

Ich danke vorab!
 
n_k schrieb:
Hallo,

ich würde dieses vorhandene Thema gerne aufgreifen weil wir seit einiger Zeit ähnliche "Probleme" haben. Auch bei uns sind grundsätzlich alle .rtf Dateitypen gesperrt. Nun kommt es gelegentlich vor, das wir Mails erhalten und diese abgelehnt werden, weil ein body.rtf Anhang gefunden wird.
Ich habe heute zum Beispiel folgendes Phänomen gehabt: (m)ein Rechner, Outlook 2019 mit 2 Accounts - dienstlich und privat. Ich sende von Privat eine Mail an dienstlich - abgelehnt wegen body.rtf. Ich sende eine Mail von dienstlich an privat - klappt. Ich antworte auf besagte Mail von privat an dienstlich - klappt. Beide Accounts nutzen die gleiche Vorlagendatei und Signatur. Signatur hatte ich testweise sogar deaktiviert, bringt nichts. Sende ich jedoch von privat an eine andere dienstliche Adresse, klappt die Zustellung. Soll da mal einer durchblicken :) Aber das ist für mein Anliegen zweitrangig.
Meine Frage: ist euch ein Inhaltsfilter bekannt, der .rtf Dateien ablehnt aber body.rtf durchlässt? Ich möchte jedoch ungern einen Inhaltsfilter erstellen, der grundsätzlich alle Dateien mit body.rtf (Dateityp RTF und Dateiname "body.rtf") durchlässt, weil es durchaus passieren kann das eben jener Ausdruck/jene Datei mit Schundsoftware versehen wird und dann öffne ich mir ein Scheunentor.
Ihr hattet uns per Ticket wunderbar mit den Unbekannten HTML Dateien von Apple Mail geholfen :)

Ich danke vorab!
Zum Vergrößern anklicken....
kA was du genau meinst oder was du vor hast, ich habe es zweimal gelesen und werde daraus nicht schlau. Was genau willst du erreichen? Willst du das Mails mit body.rtf durchkommen oder nicht?!

Grundsätzlich kannst du im OL sagen wie die Mail kodiert wird:

1694461903841.png

Es kann aber auch sein, dass du die Mail als text oder html sendest und der oder dein Mailserver daraus ne RTF bastelt. Ebenfalls kann man per Gruppenrichtlinie an die Clients / Outlooks ausrollen, wie Mails composed werden sollen.
 
@Sören sorry, wenn ich mich nicht verständlich ausgedrückt habe.
Ich möchte erreichen das RTF Dateien weiterhin abgelehnt aber die automatisch erzeugte body.rtf zugestellt wird. Ist dafür ein sinnvoller Weg bekannt oder wie handhabt ihr es mit RTF Dateien?
Das Problem generieren externe Absender und ich kann denen schlecht sagen wie sie ihren Mailserver- oder Client einzustellen haben.
 
n_k schrieb:
@Sören sorry, wenn ich mich nicht verständlich ausgedrückt habe.
Ich möchte erreichen das RTF Dateien weiterhin abgelehnt aber die automatisch erzeugte body.rtf zugestellt wird. Ist dafür ein sinnvoller Weg bekannt oder wie handhabt ihr es mit RTF Dateien?
Das Problem generieren externe Absender und ich kann denen schlecht sagen wie sie ihren Mailserver- oder Client einzustellen haben.
Zum Vergrößern anklicken....
du könntest das so machen, denn dann ist eine "und" und keine "oder" Verknüpfung:

1694502331840.png
 
Danke! Daran hatte ich auch schon gedacht aber, und das war ein Teil vom obigen Post, würde dann eine schädliche body.rtf durchgehen. Ob das so clever ist?
Der Grund für die RTF Sperre ist bspw.:
www.borncity.com

Kritische RTF-Schwachstelle CVE-2023-21716: Proof of Concept für Word; Outlook auch betroffen

[English]Im Februar 2023 wurde die kritische RCE-Schwachstelle CVE-2023-21716 von Microsoft in Word per Sicherheitsupdate gefixt. Jetzt hat ein Sicherheitsforscher ein Proof of Concept für Word vorgelegt. Inzwischen ist aber bekannt geworden, dass diese Schwachstelle auch Microsoft Outlook betrifft.
www.borncity.com
www.borncity.com

Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik

[English]Und schon sind wir beim vierten Türchen im Security-Adventskalender meines Blogs und ich schiebe mal ein weiteres Sicherheitsthema hinter dieses Türchen. Der Sicherheitsanbieter Proof Point hat 2021 drei APT-Akteure aus Indien, Russland und China dabei beobachtet, wie sie eine neuartige RTF
www.borncity.com

Oder sehe ich das zu kompliziert und NSP erkennt solche Files gar nicht als reines RTF sondern vielleicht als RTF mit OLE-Objekten?

Jedenfalls, danke bisher für deine Mühe und Zeit! :)
 
n_k schrieb:
Danke! Daran hatte ich auch schon gedacht aber, und das war ein Teil vom obigen Post, würde dann eine schädliche body.rtf durchgehen. Ob das so clever ist?
Der Grund für die RTF Sperre ist bspw.:
www.borncity.com

Kritische RTF-Schwachstelle CVE-2023-21716: Proof of Concept für Word; Outlook auch betroffen

[English]Im Februar 2023 wurde die kritische RCE-Schwachstelle CVE-2023-21716 von Microsoft in Word per Sicherheitsupdate gefixt. Jetzt hat ein Sicherheitsforscher ein Proof of Concept für Word vorgelegt. Inzwischen ist aber bekannt geworden, dass diese Schwachstelle auch Microsoft Outlook betrifft.
www.borncity.com
www.borncity.com

Phishing-Angriffe von Staatshackern über neue RTF-Template-Injection-Technik

[English]Und schon sind wir beim vierten Türchen im Security-Adventskalender meines Blogs und ich schiebe mal ein weiteres Sicherheitsthema hinter dieses Türchen. Der Sicherheitsanbieter Proof Point hat 2021 drei APT-Akteure aus Indien, Russland und China dabei beobachtet, wie sie eine neuartige RTF
www.borncity.com

Oder sehe ich das zu kompliziert und NSP erkennt solche Files gar nicht als reines RTF sondern vielleicht als RTF mit OLE-Objekten?

Jedenfalls, danke bisher für deine Mühe und Zeit! :)
Zum Vergrößern anklicken....
na ich würde gar nichts mit rtf durchlassen, auch kein body.rtf ...zurück zum Absender damit
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

L
Mail an einen einzelnen Empfänger wird zu winmail.dat
Antworten
10
Aufrufe
356
Sören
Sören
Zurück
Oben