Emotet erfolgreich abwehren durch den Reputationsfilter
Die aktuelle Angriffswelle des Banking-Trojaners Emotet hält weiterhin an. Inzwischen konnten wir eine weitere Emotet-Variante ausmachen und empfehlen deshalb, zusätzliche Einstellungen im Reputationsfilter vorzunehmen.
Durch Auswertung der E-Mails haben wir festgestellt, dass die Absenderadressen im ‚MAIL FROM‘ und ‚Header-From‘ in der Regel unterschiedlich sind, wobei der Header-From meist eine bekannte Adresse ist. Konfigurieren Sie deshalb – ergänzend zu den vorangegangenen Blogartikeln – den Reputationsfilter von den folgenden Standard-Einstellungen
in diese verschärften Einstellungen:
Den Reputationsfilter können Sie konfigurieren über die Konsole unter „Konfiguration > Regeln“ in den entsprechenden Regeln für den eingehenden Mail Verkehr auf dem Reiter „Filter“. Die Filter können aber nur bearbeitet werden, wenn bei Ihnen „Protection“ im NoSpamProxy lizensiert ist.
Bitte beachten Sie: Die Einstellung “Unstimmigkeit zwischen der ‘MAIL FROM’- und ‘Header-From’-Domäne in Abwesenheit von DMARC” kann dazu führen, dass gegebenenfalls gute E-Mails – sehr häufig Newsletter – abgelehnt werden. Falls dadurch ein gewünschter Newsletter abgelehnt wird, erstellen Sie anhand dieses Trainingsvideos “NoSpamProxy – Anlegen einer Black- oder Whitelist” eine Whitelist-Regel. In diesen Fällen wiegt die Sicherheit vor Trojanern, Viren, usw. höher als der Empfang eines Newsletters.