Gefährliche Attachments entfernen mit einer Cyberoam UTM Firewall

Eine Cyberoam UTM Firewall kann E-Mail Attachments aus eingehenden und ausgehenden E-Mails filtern. Gerade in Zeiten von Locky und TeslaCrypt Ransomware Trojanern ist dies eine einfache Lösung um die Sicherheit zu erhöhen.

Die Einrichtung ist dabei relativ leicht, setzt allerdings voraus, dass E-Mails per SMTP von außen auf ein internes Mailsystem geliefert werden. Dann lässt sich mit der Cyberoam direkt in den SMTP Datenstrom eingreifen und die entsprechenden Attachments entfernen.

1. Gruppe für Dokumenttypen anlegen

Mittels Objects -> File Types -> Add fügen wir zunächst eine Gruppe ein, in der wir die gefährlichen Dokumente hinterlegen.

2. Dokumenttypen in der Gruppe hinterlegen

Nun legen wir fest, welche Dokumenttypen im Einzelnen für die Firewall als gefährlich zu betrachten und damit aus E-Mails zu entfernen sind.

Dabei kann man als Template die vordefinierte Gruppe Document Files verwenden und die aus unserer Sicht weniger gefährlichen Dokumentenarten entfernen. Dies könnten beispielsweise PDF Dokumente oder andere sein, die wir trotz des verbleibenden Risikos direkt durchlassen möchten.

Dabei können und sollten sowohl die Dateiendungen wie auch die MIME-Typen der Attachments angegeben werden. Die Cyberoam kann beides entsprechend herausfiltern.

3. Antivirus Regel für die Dokumente anlegen

Im dritten Schritt legen wir eine Regel an, dass diese Dokumenttypen nicht mehr per SMTP auf unseren Mailserver gelangen. Die Cyberoam Firewall wird diese Dokumente blockieren und die Mail entsprechend der Einstellungen dann ohne Anhang weiterleiten.

Dazu benötigen wir eine neue Regel unter ANTI VIRUS -> STP/S Scanning Rules -> Add.

4. Verhalten der Regel einstellen

Über die angelegte Regel lässt sich nun genau bestimmen, was mit einer Mail geschehen soll, die einen potenziell gefährlichen Anhang besitzt.

Eine solche Regel könnte beispielsweise wie folgt aussehen. Bitte berücksichtigen Sie bei der Einrichtung jedoch Ihre eigene Anforderungen da sonst unerwünscht Anhänge blockiert werden könnten.


5. SMTP Scanning in der Firewall aktivieren

Nun muss nur noch das SMTP Scanning auf der entsprechenden Regel aktiviert werden.


Nun werden eingehende Mails darauf untersucht, ob diese potenziell gefährliche Anhänge enthalten. Falls dies so ist, werden diese Anhänge entsprechend der angelegten Regeln entfernt.

Diese Änderung erhöht die Sicherheit vor Krypto-Trojanern, die als Mail Anhang eingeschleust werden. Allerdings gehört zu einem umfassenden Schutz natürlich mehr. Sie sollten unsere 5 Regeln für sichere Firmen-IT beachten und ein Merkblatt zum Schutz vor Krypto-Trojanern an alle Benutzer Ihres Unternehmens verteilen.

Bei Fragen dazu stehen wir natürlich gerne zur Verfügung.

P.S.: Mit dem gleichen Mechanismus lässt sich auch das Versenden von Dokumenten aus dem Unternehmen verhindern.

Relevante Artikel in unserem Blog

Kommentare (0)

Kommentar verfassen





Erlaubte Tags: <b><i><br>Kommentar hinzufügen: