Hi,

Spam mit virulenten Archiven sind ja nun nicht wirklich so neu. Ist eher ein alter Hut.

So ab 2013 rum wurde mir das aber zuviel und ich lass alle Mails mit Archiven (ZIP, CAB und wie die ganzen Archivformate heißen) grundsätzlich sperren, die paar legitimen Mails die da bei sind werden manuell aus der Quarantäne rausgeholt und ensprechend weitergeleitet bzw bei bekannten/vertrauenswürdigen Absendern wird die Absendeadresse oder -domain auf die Positivliste gesetzt, damit die von der Prüfung ausgeschlossen sind.

Die Erkennung der Malware darin war einfach noch nicht ausreichend gut genug und es kamen einfach zu schnell neue/unbekannte Archive rein, die selbst der alle 15 Minuten aktualisierte Mailvirenscanner auf dem zentralen Gateway nicht erkennen konnte...

Danke! Das ist auch eine Idee... Allerdings betrifft das so viele ZIP-Dateien, dass eine automatische Quarantäne wohl zu viel Zeit benötigen würde.

Hat sich bei der Erkennungsrate inzwischen etwas verbessert? Sind da bestimmte Tools besonders gut?
Die meisten konnte unser lokaler Virenschutz von der Ausführung abhalten.

Ich denke das Spamaufkommen wird dann steigen wenn es ernsthafte Sicherheitslücken gibt. Du könntest ja mal ein paar ZIP-Dateien bzw. die entspackten EXE-Dateien zu Virustotal hochladen. Poste entsprechende Links.

Zitat:

Zitat von FKFK

Danke! Das ist auch eine Idee... Allerdings betrifft das so viele ZIP-Dateien, dass eine automatische Quarantäne wohl zu viel Zeit benötigen würde.

Hat sich bei der Erkennungsrate inzwischen etwas verbessert? Sind da bestimmte Tools besonders gut?
Die meisten konnte unser lokaler Virenschutz von der Ausführung abhalten.

Was soll denn daran lange dauern......Mails mit einem Archiv als Anhang werden grundsätzlich nicht durchgelassen. Und der Empfänger bekommt eine "E-Mail wurde blockiert" Nachricht.

Zitat:

Zitat von cosinus

Spam mit virulenten Archiven sind ja nun nicht wirklich so neu. Ist eher ein alter Hut.

Jepp

Zitat:

Zitat von cosinus

So ab 2013 rum wurde mir das aber zuviel und ich lass alle Mails mit Archiven (ZIP, CAB und wie die ganzen Archivformate heißen) grundsätzlich sperren, die paar legitimen Mails die da bei sind werden manuell aus der Quarantäne rausgeholt und ensprechend weitergeleitet bzw bei bekannten/vertrauenswürdigen Absendern wird die Absendeadresse oder -domain auf die Positivliste gesetzt, damit die von der Prüfung ausgeschlossen sind.

Die Erkennung der Malware darin war einfach noch nicht ausreichend gut genug und es kamen einfach zu schnell neue/unbekannte Archive rein, die selbst der alle 15 Minuten aktualisierte Mailvirenscanner auf dem zentralen Gateway nicht erkennen konnte...

Ich arbeite hier mit IMAP. Da wird der Müll gar nicht erst heruntergeladen, sondern wird mir nur angezeigt, dass er da ist. Müll wird gleich, ohne heruntergeladen zu werden, beim ISP gelöscht. Inwieweit das der jeweilige ISP unterstützt, muss man nachlesen. Das ist die private Seite.
Dienstlich habe ich auch manchmal solche Probleme. Manchmal schwuppt auch mal so eine Mail durch und landet beim User. Die AV-Software zieht aber dann schnell nach, sodass die Einschlagsquote doch moderat ist und die Mitarbeiter instruiert sind.