E-Mail Security / SPAM Filter

Nach wie vor ist E-Mail aus den Geschäftsprozessen nicht wegzudenken. Leider besteht ein großer Teil der Mailverkehrs im Internet inzwischen aus unerwünschten Werbemails ("SPAM") und Mails mit Angriffscode, um sich Zugriff auf Ihre Systeme zu verschaffen.

Diese Ablenkungen und Bedrohungen möglichst vollautomatisch aus dem Mailverkehr herauszufiltern, ist Aufgabe spezialisierter Email-Sicherheitslösungen.
Selbst E-Mail Verschlüsselung ist durch fehlerhafte Implementierung in den Anwendungen nicht immer so sicher wie angenommen, wenn sie ohne umfangreiches Wissen installiert und nicht die gesamte Sicherheitslandschaft einbezogen wird. 

Keine der verfügbaren Lösungen deckt wirklich alle Mechanismen der E-Mail-Sicherheit perfekt ab; welche Lösung zum Einsatz kommt, ist daher bei uns immer Ergebnis einer Analyse Ihres tatsächlichen Bedarfes.

Begriffe und Verfahren

Targeted Attacks

Oftmals sind hochrangige Mitarbeiter von Unternehmen Ziel individueller Angriffe, dem sogenannten Spearphishing, Whaling oder auch CEO Fraud. Diese Attacken sind auf herkömmlichem Wege quasi nicht zu entdecken. ATP setzt idealerweise auf ein ganzes Bündel an Erkennungsmechanismen, um diese Art von Angriffen effektiv zu unterbinden.

Ransomware

Bei Ransomware handelt es sich um polymorphe Viren wie Locky, Tesla oder Petya, die den Rechner oder ein ganzes Netzwerk durch Verschlüsselung der lokal gespeicherten Dateien lahmlegen und diese nur gegen Zahlung eines Lösegelds an Erpresser wieder entschlüsseln.

Sandbox

Als Sandbox wird eine geschützte, vom Rest des Computers isolierte Ausführungsumgebung bezeichnet, in der Email-Anhänge gefahrlos ausgeführt und auf ihr Verhalten hin analysiert werden können, um so Schadprogramme an ihren Aktivitäten zu erkennen.

Freezing

Beim Freezing werden verdächtige Mails über einen bestimmten Zeitpunkt hinweg zurückgehalten, um sie anschließend erneut zu analysieren. Damit werden Angriffe erkannt, die absichtlich zeitverzögert "scharf geschaltet" werden, damit sie nicht direkt bei der Zustellung erkannt werden. Mit dieser verzögerten Aktivierung von schadhaften Programmen versuchen Angreifer, Filter und Sandboxen zu umgehen.

Quarantäne

Eingehende Mails, bei denen nicht völlig eindeutig ist, ob sie "echt" oder SPAM sind, landen oft in einer Quarantäne-Mailbox, aus der sie vom Anwender selbst oder von einem Administrator für die Zustellung freigegeben werden können.

False Positive

Fälschlich als SPAM klassifizierte Emails werden als "False Positives" bezeichnet; ihre Quote sollte bei der gewählten Lösung möglichst gering sein.

Whitelisting

Bei problematischen Absendern, deren Mails immer wieder als False Positives in der Quarantäne landen, kann man dies idealerweise über ein "Whitelisting" der Absenderadressen oder Absender-Domain verhindern.

Blacklisting

Analog zum Whitelisting besteht die Möglichkeit, regelmäßig nicht erkannte SPAMS über das "Blacklisting" auf eine Sperrliste zu setzen.

Multi Site Routing

Sind mehrere Standorte vorhanden, sollte die Lösung eine Zustellung der Mails an die jeweils für den Empfänger korrekten Mailserver bzw. Standort ermöglichen. Dies wird als "Multi Site Routing" bezeichnet.

Compliance Filter

Mit einem Compliance Filter lassen sich Regeln einrichten, um aus Unternehmenssicht unzulässige eingehende und ausgehende  Emails zu verhindern, z.B. mit sensitiven Informationen oder mit unerwünschten Kommunikationspartnern, Regionen oder Ländern. Eine Filterung sollte über Absender, Empfänger, IP, Hostname, Mailheader, Betreff und E-Mail-Body möglich sein. Zur Inhaltsfilterung werden dabei meist Schlagwortlisten verwendet, bei deren Auftreten (in bestimmten, festlegbaren Kombinationen) die Mail nicht zugestellt wird.

Advanced Threat Protection

ATP bezeichnet eine Sammlung von Techniken, um fortgeschrittene und kombinierte Angriffe zu erkennen. Hierzu gehören Sandboxing, Freezing, und teilweise sogar empfängerspezifische Filter und Techniken, um Targeted Attacks zu erkennen.

Signature Filter Agent von SYMPLASSON

Lösungen großer Anbieter mit Lücken

Praktisch alle auf dem Markt angebotenen Filterlösungen haben Lücken, so dass es immer wieder E-Mails mit gefährlichen Anhängen und Angriffe gibt, die - zumindest für einige Zeit - nicht erkannt werden. Der Grund dafür liegt oft auch im hohen Supportaufwand, weil viele Filtereinstellungen so komplex und kundenspezifisch sind, dass sie nur schwierig in eine allgemeine Lösung aufgenommen werden können.

Der SYMPLASSON Signature Filter Agent

Wir haben daher zur Selbsthilfe gegriffen und einen speziellen Filter-Agenten für den Exchange Server 2013, 2016 und 2019 entwickelt, der über selbstdefinierte Regeln vollständig frei konfigurierbar ist. Mit unserem Signature Filter Agent können wir jederzeit sehr schnell auf neue Bedrohungen und Lücken reagieren - und Ihre Systeme optimal schützen.

Funktionen des Signature Filter Agent

  • Vorfilterung unerwünschter Dateitypen Anhand von Dateiendungen (Blacklist)
  • Filterung von Mails auf Basis konfigurierbarer Signaturen und Merkmale
  • Mit Yara Regeln frei konfigurierbar
  • Transparentes Regelwerk. Die enthaltenen Signaturen werden im Klartext mitgeliefert und können frei verändert oder ergänzt werden
  • Untersucht Dateien in ZIP-Archiven und PDF-Anhänge
  • Kann verschlüsselte ZIP- und PDF-Dateien blockieren

Der große Unterschied dieser Filterlösung liegt in der Generalisierung von potenziell schädlichen Dateien. Dies wehrt auch sehr raffinierte Schädlinge ab, die es in der Vergangenheit immer wieder geschafft haben, durch die gängigen Lösungen hindurchzukommen.

Email-Sicherheit mit HornetSecurity

Hornet Security

Wir realisieren unseren E-Mail-Security Service mit unserem Partner Hornet Security, dem Premium-Anbieter für Managed Security Services. Die Services können praktisch sofort aktiviert werden und erfordern keine zusätzliche Software, keine Hardware und keinen Wartungsaufwand durch interne IT-Mitarbeiter. Die Lösungen von Hornet Security sind mit allen gängigen Servern und Systemen kompatibel und werden zentral in mehreren gesicherten Rechenzentren in Deutschland betrieben. Die Administration übernehmen komplett wir für Sie.

Funktionen von Hornetsecurity

  • Spam- und Virenfilter: Ausfilterung von ungewollten Werbe-, Phishing- und Malware-Nachrichten mit umfassendem Reporting
  • Advanced Threat Protection: Schutz vor gezielten und individuellen Angriffen wie CEO-Fraud, Ransomware, fortgeschrittenem Phishing und Blended Attacks. Siehe hierzu auch die Beschreibung im nächsten Abschnitt.
  • E-Mail-Verschlüsselung: Vollautomatische E-Mail-Verschlüsselung als einfache Alternative zum eigenen E-Mail Verschlüsselungs-Gateway, wenn keine Sonderfunktionen wie verschlüsselter Versand an beliebige Partner (auch ohne eigenen Verschlüsslungsinfrastruktur) benötigt werden.
  • E-Mail-Archiv: E-Mail Archivierung ohne Aufwand: Speichern Sie Ihre ein- und ausgehenden E-Mails revisionssicher und rechtskonform in gesicherten deutschen Rechenzentren.
  • E-Mail Continuity: Das Stand-by-System für den Notfall. Innerhalb weniger Sekunden aktiviert, hält diese Service ihren E-Mail-Verkehr bei einem Ausfall Ihrer internen Serer am Laufen.

Appliances - die On Premise- ösung

Große Kunden haben die Möglichkeit, die Hornetsecurity Services auch vor Ort zu betreiben – über eine Appliance im eigenen Rechenzentrum. Dadurch behalten sie die Kontrolle über ihren Mail- und Webverkehr.

Case Studies

Berichte von Hornetsecurity-Implementierungen finden Sie direkt bei Hornetsecurity:https://www.hornetsecurity.com/wp-content/uploads/Case-Studies-Spamfilter-Service-de.pdf

Der Mail-Flow

Den Aufbau und Mail-Flow des SPAM-Filter-Service illustriert diese Grafik - wenn Sie weiter Fragen haben, sprechen Sie und gerne jederzeit an!

HornetSecurity Ablaufdiagramm Spam Filter

Hornetsecurity SPAM-Filter - mit SYMPLASSON

Ihr maßgeschneiderter Spamfilter-Service

Bei uns bekommen Sie einen maßgeschneiderten Spamfilter-Service. Hornetsecurity stellt die Möglichkeiten zur Verfügung, wir machen mit Ihnen zusammen daraus eine passgenaue Lösung, die Ihre Anforderungen abdeckt. 

Die Anforderungen jedes Kunden sind unterschiedlich. Daher wir bei uns nicht einfach "angeschaltet"; vielmehr klären wir im Vorwege mit Ihnen die Anforderungen, indem wir Fragen stellen, die uns und Ihnen dabei helfen die Lösung zu erstellen.

Fragen sind z.B. 

  • Sollen Ihre Mitarbeiter jeweils Spamreports bekommen oder sollen nur die Administratoren in den Spamfilter schauen?
  • Wollen Sie SPF (Sender Policy Framework) nutzen? Wenn ja, nur für Ihre eigene Domäne oder auch zur Prüfung aller Absenderdomänen?
  • Sollen Newsletter grundsätzlich geblockt werden?
  • Wollen Sie den Compliance-Filter nutzen für Spezialkonfigurationen? Wenn ja, welche sind das?
  • Auch nach der ersten Konfiguration lassen wir Sie nicht allein. Sollte es Probleme, Änderungen der Anforderungen oder Fragen zum allgemeinen Verständnis geben, stehen wir Ihnen mit unserem Team gerne zur Verfügung.

Kundenindividuelle SPAM-Report-Templates mit Branding

HornetSecurity stellt Standard-Reports zur Verfügung, die alle relevanten Informationen zum geblockten E-Mails enthalten. Allerdings lassen sich diese Reports mit wenig Aufwand durch SYMPLASSON auf kundenspezifische Wünsche anpassen.
Das Ergebnis könnte z.B. so aussehen:

HornetSecurity Spam Report

Hornetsecurity Advanced Threat Protection

Hornetsecurity Advanced Threat Protection

Keine Chance für Ransomware, CEO-Fraud und Co. Advanced Threat Protection schützt Ihr Unternehmen effektiv. Hochkomplexe und ausgeklügelte Attacken erkennen und verhindern - efektiv und in Echtzeit. 

Schützen Sie Ihr Unternehmen mit Hornetsecurity ATP vor gezielten und individuellen Angriffen ab der ersten Schad-Mail. Hochinnovative forensische Analyse-Engines sorgen dafür, dass die Attacken sofort unterbunden werden. Gleichzeitig liefert die Lösung detaillierte Informationen über die Angriffe auf das Unternehmen.

Schutz vor Ransomware

Ransomware nimmt seit Anfang 2016 stark zu: Dabei handelt es sich um Viren, die den Rechner oder ein ganzes Netzwerk durch Verschlüsselung der lokal gespeicherten Dateien lahmlegen. Nur durch Zahlung eines Lösegeldes - daher der Name - haben Nutzer eine Chance, wieder auf ihre Daten zugreifen zu können. Locky, Tesla, Petya und Co. sind polymorphe Viren, die sich nur sehr schwer entdecken lassen. Hornetsecurity ATP nutzt hierfür unter anderem eine Sandbox Engine, um das Verhalten von Dateianhängen beim Öffnen zu analysieren und die Mail bei positivem Fund herauszufiltern. Zudem "friert" Hornetsecurity verdächtige E-Mails ein ("Freezing"), um sie nach wenigen Minuten, wenn sich die Signaturen der Filter aktualisiert haben, erneut zu scannen.

Schutz vor Blended Attacks 

Blended Attacks kombinieren verschiedene Angriffswege, um erfolgreich zu sein. Die E-Mail kann zum Beispiel ein Dokument enthalten, in dem sich wiederum ein Link zu einer Downloadseite mit Malware verstecken kann. Hornetsecurity ATP bekämpft diese Art von Angriffen mittels URL-Scans und URL-Rewriting, es kommen darüber hinaus aber auch Sandboxing und Freezing zum Einsatz.

Schutz vor Targeted Attacks

Oftmals sind hochrangige Mitarbeiter von Unternehmen Ziel individueller Angriffe, dem sogenannten Spearphishing, Whaling oder auch CEO Fraud. Dabei versuchen die Angreifer, an Passwörter oder Kreditkartendaten zu gelangen, oder die Mitarbeiter dazu zu bringen, Gelder auf ein bestimmtes Konto zu überweisen. Diese Attacken sind auf herkömmlichem Wege quasi nicht zu entdecken. Mit Hornetsecurity ATP wird die interne Kommunikation zwischen bestimmten Personen des Unternehmens gezielt auf solche Angriffe untersucht und so ein Missbrauch etwa per Identity Spoofing unterbunden.

Schutz vor digitaler Spionage

Über die Hälfte der deutschen Unternehmen war laut Umfrage des IT-Branchenverbands Bitkom bereits von Datendiebstahl, Sabotage oder Spionage betroffen. Das Hornetsecurity Spy-Out Forensik-System erkennt sowohl bekannte als auch komplett neue Muster zum Ausspähen von Informationen. Das System reagiert sofort und alarmiert Sie, bevor schützenswerte Informationen das Unternehmen verlassen.

Benachrichtigung bei Angriffen

Die Hornetsecurity Real Time Alerts benachrichtigen in Echtzeit über akute Angriffe auf Unternehmen und ermöglichen eine schnelle Einleitung weiterer interner Maßnahmen und juristischer Vorgehensweisen. Hierfür liefert das Benachrichtigungssystem detaillierte Analyseergebnisse. Zudem kann das Sicherheitsteam der Kunden die Mitarbeiter sensibilisieren, um weitere Angriffswege zum Beispiel per Telefon zu erkennen. Falls bereits zugestellte E-Mails nachträglich als potentiell schädlich erkannt werden, ermöglicht die Ex-Post-Alarmierung dem IT-Sicherheitsteam eine Untersuchung der betroffenen Konten oder Systeme.

Benachrichtigungen in Echtzeit

Sobald Hornetsecurity ATP einen Angriff entdeckt, wird eine Benachrichtigung an das IT-Sicherheitsteam des Unternehmens versendet, um es unmittelbar über eine mögliche Bedrohung zu informieren. Dabei erhält die zuständige Person verschiedene Details zu der Art und dem Ziel des Angriffes, dem Absender und dem Grund, weshalb die E-Mail abgefangen wurde.

Hornet Security ATP Protokoll einer Attacke

Angebot anfordern!

Sie möchten wissen, was Advanced Threat Protection kostet? Dann fordern Sie einfach ein unverbindliches Angebot an. Zusätzlich können Sie unseren Service 30 Tage kostenfrei testen. Dazu nutzen Sie einfach unser vollautomatisches Onboarding.

Jetzt Produkt testen!

Mit ein paar wenigen Angaben können Sie Advanced Threat Protection auch sofort 30 Tage unverbindlich testen. Erstellen Sie sich einen Account und wenige Minuten später werden Ihre Mitarbeiter und IT-Systeme noch mehr geschützt. 

Hornetsecurity ATP: Funktionsweise

Einbindung von Hornetsecurity ATP in das Mail Security Management

Hornetsecurity ATP integriert sich nahtlos in den Spam- und Virenfilter. E-Mails, die diese erste Prüfung passiert haben, werden von Hornetsecurity ATP weitergehenden Analysen unterzogen. Dabei führt der Service unter anderem Attachments aus und betrachtet deren Verhalten detailliert.

HornetSecurity Ablaufdiagramm Spam Filter

Hornetsecurity ATP Engines

Sandbox Engine

Dateianhänge werden in einer Vielzahl verschiedener Systemumgebungen ausgeführt und ihr Verhalten analysiert. Stellt sich heraus, dass es sich um Malware handelt, werden Sie benachrichtigt. Schützt vor Ransomware und Blended Attacks.

URL Rewriting

Die URL Rewriting Engine sichert alle Internet-Aufrufe aus E-Mails heraus über die Hornetsecurity Webflter ab. Dabei werden auch Downloads über die Sandbox Engine analysiert

URL Scanning

An eine E-Mail angehängte Dokumente (z.B. PDF, Microsoft Ofce) können Links enthalten. Diese lassen sich jedoch nicht ersetzen, da dies die Integrität des Dokumentes verletzen würde. Die Hornetsecurity URL Scanning Engine belässt das Dokument in seiner Originalform und prüft ausschließlich das Ziel dieser Links.

Freezing

Nicht sofort eindeutig klassifzierbare, aber verdächtige E-Mails werden per Freezing über einen kurzen Zeitraum zurückgehalten. Anschließend erfolgt eine weitere Prüfung mit aktualisierten Signaturen. Schützt vor Ransomware, Blended Attacks und Phishing-Angrifen.

Ex-Post-Alarmierung

Stellt sich im Nachhinein heraus, dass eine bereits zugestellte E-Mail doch als potentiell schädlich eingestuft werden muss, erhält das IT-Sicherheitsteam eines Unternehmen sofort nach Bekanntwerden eine Benachrichtigung über Ausmaß und mögliche Gegenmaßnahmen. Dadurch ist eine rasche Eindämmung einer Gefahrenlage möglich.

Targeted Fraud Forensics

Die Targeted Fraud Forensics erkennt gezielte personalisierte Angrife ohne Malware oder Links. Dabei kommen folgende Erkennungsmechanismen zum Einsatz: 

  • Intention Recognition System: Alarmierung bei Inhaltsmustern, die auf bösartige Absichten schließen lassen
  • Fraud Attempt Analysis: Prüft die Authentizität und Integrität von Metadaten und Mailinhalten
  • Identity Spoofng Recognition: Erkennung und Blockierung gefälschter Absender-Identitäten
  • Spy-Out Detection: Spionageabwehr von Attacken zur Erlangung schützenswerter Informationen
  • Feign Facts Identifcation: Inhaltsanalyse von Nachrichten auf Basis von Vorspiegelung fngierter Tatsachen
  • Targeted Attack Detection: Erkennung gezielter Angrife auf einzelne Personen

Hornetsecurity ATP: Kurzfilm 

HORNETSECURITY ADVANCED THREAT PROTECTION - SCHUTZ VOR RANSOMWARE & CO. 

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Bewerben Sie sich jetzt auf eine unserer attraktiven Stellenausschreibungen!  
anschauen >
©2021 | SYMPLASSON Informationstechnik GmbH

Cloudservice

Development

IT-Magazin