Nachfolgend finden Sie Informationen zur Benutzung des Sandbox-Service in NoSpamProxy. Allgemeine Hinweise bezüglich der Funktionsweise einer Cloud Sandbox, der Lizenzierung oder des Datenschutzes finden Sie unter Informationen zum NoSpamProxy Sandbox-Service.
Hinweis
Seit 2018 empfehlen wir NoSpamProxy-Kunden dringend, bei der Inhaltsfilterung auf einen Whitelisting-Ansatz zu setzen (Stichwort: E-Mail Firewall). Diese Empfehlung betrifft insbesondere die Benutzung des NoSpamProxy Sandbox-Service.
Ein Beispiel: Auch wenn eine „Ausführbare Datei für Windows“ von der Sandbox unterstützt wird, stellt sich die Frage, ob man diesen potenziell gefährlichen Dateityp überhaupt für das eigene Unternehmen erlauben will. Es ist in diesem Fall sinnvoller, diesen Dateityp generell abzulehnen und sich so auch den Upload zur Sandbox zu sparen.
Falls eine Datei vom Sandbox-Service als unverdächtig eingestuft werden sollte, wird die jeweilige E-Mail zugestellt.
Sandbox-Hashabfrage
Das Abfragen der Hashwerte von der Datenbank der Sandbox kann uneingeschränkt und ohne Abzug von gekauften Lizenzen durchgeführt werden. Hierzu muss der entsprechende Haken bei Frage die Sandbox ob die Anhänge der eingehenden E-Mails als bösartig bekannt sind in der Inhaltsfilteraktion gesetzt sein.
Diese Prüfung kann auf alle Dateitypen angewendet werden
Sandbox-Upload
Der Upload von Dateien ist auf 20 Dateien pro Benutzer und Monat beschränkt.
Es handelt bei diesem Wert um den Gesamtwert der zulässigen Uploads; eine strenge Benutzerprüfung erfolgt nicht. Das bedeutet beispielsweise für eine 50-User-Lizenz, dass die jeweilige NoSpamProxy-Installation in einem Monat 1000 Dateien zur Sandbox hochladen darf. Bei Überschreiten des Limits können Kosten entstehen.
Um die Sandboxprüfung auf einzelne Dateitypen einzuschränken, sollte eine zusätzliche Inhaltsfilteraktion erstellt werden, die nur auf bestimmte Dateitypen angewendet wird.
Um den Upload zu ermöglichen, muss die Option Unbekannte Dateien zur Sandbox für die Analyse hochladen aktiviert werden.
Vom Sandbox-Service unterstützte Dateitypen
- Ausführbare Dateien
- Ausführbare Datei für Windows
- Office – Word
- Office – Excel
- Office – PowerPoint
- Video
- Adobe Flash (SWF)
- Adobe Flash Video (FLV)
- Text
- Rich-Text-Format
- Rich-Text-Format mit OLE-Objekten
- PDF-Dokument
- PDF-Dokument mit URLs
- Archive und komprimierte Dateien
- ZIP-komprimierte Datei
- GZIP-komprimierte Datei
- TAR-Archiv
- GZIP-komprimiertes TAR-Archiv
- 7Zip-komprimierte Datei
- Skripte (Konfiguration über Dateinamen)
- .js
- .vbs
- .wsf
- .ps
- .py
- .hta
- .perl
- .php
- .sh
Zustellverzögerung
Wenn eine Datei zur Sandbox hochgeladen werden muss (Sandbox-Upload), wird die E-Mail im ersten Schritt nicht angenommen sondern temporär abgewiesen, sodass der absendende E-Mail-Server diese noch einmal zustellt.
Die temporäre Abweisung wird hier verwendet, da die Analyse auf dem Sandbox-Array eine gewisse Zeit in Anspruch nimmt, diese aber beim erneuten Zustellversuch nach regulär 5 Minuten abgeschlossen sein sollte.
Dies bedeutet für die Zustellung eine Zustellverzögerung, die entsprechend beachtet werden muss. Somit empfehlen wir genau zu prüfen, welche Dateien wirklich zur Sandbox gesendet werden sollen. Beachten Sie die folgende Option, falls zeitkritische Prozesse oder Postfächer im Unternehmen existieren:
- Ist eine Sandbox-Hashabfrage statt einer vollständigen Analyse (Sandbox-Upload) ausreichend?
- Es besteht im Inhaltsfilter die Möglichkeit, unterschiedliche Aktionen zu erstellen, um für „Vertrauenswürdige E-Mails“ und „Nicht vertrauenswürdige E-Mails“ zwischen einen Sandbox-Upload und einer Sandbox-Hashabfrage unterschiedliche Aktionen für einen Inhaltsfilter-Eintrag zu konfigurieren.
- Office-Dokumente können gegebenenfalls durch das NoSpamProxy Content Disarming in ein sicheres PDF-Dokument umgewandelt werden.
