Malware

Die Registerkarte Malware bietet verschiedene Maßnahmen gegen E-Mails, die schädlichen oder gefährlichen Inhalt haben wie Viren, Würmer oder andere Schadsoftware.

Hinweis – Ausgehende E-Mails werden gescannt, wenn das Auswahlkästchen Relay-Nachrichten (ausgehend) scannen auf der Registerkarte Relaying markiert ist.

Während SMTP-Übermittlung scannen

Wählen Sie die Option Schadsoftware während SMTP-Übermittlung ablehnen, wenn Nachrichten bereits während der SMTPClosed-Übermittlung gescannt werden und abgelehnt werden sollen, wenn sie Schadsoftware enthalten.

Im Profilmodus: Diese Einstellung kann nicht für einzelne Profile geändert werden. Bei Nachrichten mit mehr als einem Empfänger wird diese Funktion ausgesetzt, wenn bei einem der Empfängerprofile Malware-Scan ausgeschaltet ist. Das bedeutet, dass es sinnvoll ist, die reguläre Malware-Einstellung unten auf entweder Verwerfen oder Quarantäne gestellt zu lassen.

Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

Malware-Scan

Wenn Sie diese Option wählen, werden E-Mails nach unerwünschtem Inhalt gescannt wie z.B. Viren, Trojanern oder verdächtigen Dateitypen. Nachrichten mit schädlichem Inhalt werden blockiert oder in der E-Mail-Quarantäne gespeichert. Benutzer können ihre unter Quarantäne stehenden E-Mails ansehen und entweder über das Sophos-Benutzerportal oder den täglichen Quarantänebericht freigeben. Nachrichten, die schädlichen Inhalt haben, können jedoch nur vom Administrator über den Mail-Manager aus der Quarantäne freigegeben werden.

Malware: Hier können Sie festlegen, wie mit Nachrichten verfahren wird, die schädlichen Inhalt besitzen. Die folgenden Aktionen sind möglich:

  • Aus: Es werden keine Malware-Scans durchgeführt.
  • Verwerfen: Eingehende Nachrichten werden angenommen und sofort gelöscht. Ausgehende Nachrichten werden nie verworfen, um unbeabsichtigten E-Mail-Verlust zu verhindern. Stattdessen werden sie in die Quarantäne verschoben.
  • Quarantäne: Die Nachricht wird blockiert und in die E-Mail-Quarantäne verschoben. Nachrichten in Quarantäne können entweder über das Benutzerportal oder den täglichen Quarantänebericht eingesehen werden. Beachten Sie, dass Nachrichten mit schädlichem Inhalt nur vom Administrator aus der Quarantäne freigegeben werden können.

Sophos UTM bietet mehrere Malware-Mechanismen für höchste Sicherheit:

  • Einzelscan: Standardeinstellung; bietet maximale Leistung. Die auf der Registerkarte Systemeinstellungen > Scan-Einstellungen festgelegte Engine wird verwendet.
  • Zweifachscan: Bietet maximale Erkennungsrate, da der entsprechende Verkehr von zwei verschiedenen Virenscannern gescannt wird. Beachten Sie, dass Zweifachscan mit einem BasicGuard-Abonnement nicht verfügbar ist.

Sandstorm aktivieren: Wählen Sie diese Option um Sandstorm zu aktivieren und verdächtige Anhänge zum "sandboxing" zu senden um erweiterten Schutz und bessere Sicht auf wahrscheinliches Verhalten von Malware zu bekommen.

Hinweis – Diese Funktion ist nur für lizensierte Benutzer von Sopos Sandstorm verfügbar.

Unscannbaren und verschlüsselten Inhalt in Quarantäne: Wählen Sie diese Option, um E-Mails unter Quarantäne zu stellen, deren Inhalt nicht gescannt werden konnte. Unscannbarer Inhalt können verschlüsselte Archive oder sehr große Inhalte sein, oder es kann ein technischer Grund vorliegen wie z.B. der Ausfall eines Scanners.

Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

MIME-Typ-Filter

Der MIME-Typ-Filter liest den Typ von E-Mail-Inhalten aus. Sie können festlegen, wie mit den verschiedenen MIME-Typen umgegangen werden soll.

  • Audioinhalte in Quarantäne (z. B. mp3): Wenn Sie diese Option wählen, werden Audioinhalte wie mp3- oder wav-Dateien unter Quarantäne gestellt.
  • Videoinhalte in Quarantäne (z. B. mpg): Wenn Sie diese Option wählen, werden Videoinhalte wie mpg- oder mov-Dateien unter Quarantäne gestellt.
  • Ausführbare Inhalte in Quarantäne (z. B. exe): Wenn Sie diese Option wählen, werden ausführbare Inhalte wie exe-Dateien unter Quarantäne gestellt.

Weitere Typen in Quarantäne: Um einen anderen MIMEClosed-Typ als die obigen hinzuzufügen, der unter Quarantäne gestellt werden soll, klicken Sie auf das Plussymbol im Feld Weitere Typen in Quarantäne und geben Sie den MIME-Typ an (z.B. image/gif). Sie können Platzhalter (*) auf der rechten Seite des Schrägstriches verwenden, z.B. application/*.

Inhaltstypen auf Whitelist: Sie können in dieses Feld MIME-Typen eintragen, die generell zugelassen sein sollen. Um einen MIME-Typ hinzuzufügen, klicken Sie auf das Plussymbol im Feld Inhaltstypen auf Whitelist und geben Sie den MIME-Typ ein. Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

MIME-Typ MIME-Typ-Klasse
audio/* Audiodateien
video/* Videodateien
application/x-dosexec Anwendungen
application/x-msdownload
application/exe
application/x-exe
application/dos-exe
vms/exe
application/x-winexe
application/msdos-windows
application/x-msdos-program

MIME-Typen, die dem MIME-Typ-Filter bekannt sind

Dateierweiterungenfilter

Mit dieser Funktion können Sie E-Mails unter Quarantäne stellen (mit Warnung), die bestimmte Dateitypen enthalten, basierend auf ihren Dateierweiterungen (z.B. ausführbare Dateien). Um Dateierweiterungen hinzuzufügen, klicken Sie auf das Plussymbol im Feld Blockierte Erweiterungen und geben Sie eine kritische Dateierweiterung ein, die gesperrt werden soll, z.B. exe oder jar (ohne den Punkt als Trennzeichen). Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

Fußzeile über Malwareprüfung

Jeder ausgehenden Nachricht können Sie eine spezielle Fußzeile hinzufügen beziehungsweise anpassen, die Benutzer darüber informiert, dass die E-Mail auf schädliche Inhalte gescannt wurde. Die Fußzeile wird jedoch nur hinzugefügt, wenn das Auswahlkästchen Relay-Nachrichten (ausgehend) scannen auf der Registerkarte Relaying markiert ist. Darüber hinaus wird die Malwareprüfungsfußzeile nicht an die E-Mail angehängt, wenn es sich bei der E-Mail um eine Antwort handelt (d.h. sie besitzt den Header In-Reply-To) oder wenn die Inhaltsart der E-Mail nicht bestimmt werden konnte. Wählen Sie das Auswahlkästchen Text unten als Fußzeile verwenden aus und geben Sie den gewünschten Fußzeilentext an. Klicken Sie auf Übernehmen, um Ihre Einstellungen zu speichern.

Hinweis – Das Hinzufügen einer Fußzeile durch ein E-Mail-Programm (z.B. Microsoft Outlook oder Mozilla Thunderbird) zu Nachrichten, die bereits signiert oder verschlüsselt sind, zerstört die Signatur der E-Mails und macht sie damit ungültig. Wenn Sie digitale Zertifikate Client-seitig erzeugen wollen, deaktivieren Sie die Fußzeile der Antivirenprüfung. Wenn Sie jedoch nicht auf Datenschutz und Authentifizierung in Ihrer E-Mail-Kommunikation verzichten möchten und dennoch eine allgemeine Fußzeile für die Antivirenprüfung verwenden wollen, sollten Sie die integrierte E-Mail-Verschlüsselungs-Funktion von Sophos UTM einsetzen. Bei der Email Encryption auf dem Gateway wird die Fußzeile vor der digitalen Signierung zur Nachricht hinzugefügt, wodurch die Signatur intakt bleibt.