Allgemeine Schutzeinstellungen

Kaspersky Secure Mail Gateway schützt die ein- und ausgehenden E-Mails Ihres Unternehmens. Folgende allgemeine Schutzeinstellungen können angepasst werden:

• Antiviren-Schutz
• Untersuchung von Links
• Schutz der Nachrichten vor Spam
• Schutz der Nachrichten vor Phishing
• Inhaltsfilterung von Nachrichten
• Authentifizierung der E-Mail-Absender

Die allgemeinen Schutzeinstellungen werden bei der Untersuchung aller Nachrichten angewendet. Sie können die Aktionen für E-Mail-Nachrichten anhand der Untersuchungsergebnisse anpassen sowie weitere Einstellungen mithilfe der Regeln zur Nachrichtenverarbeitung konfigurieren.

Virenschutz

Kaspersky Secure Mail Gateway gewährleistet den Antiviren-Schutz von E-Mail-Nachrichten: untersucht E-Mails auf Viren und andere Programme, die eine Bedrohung darstellen, und desinfiziert infizierte Objekte mithilfe der Informationen der aktuellen (neuesten) Version der Antiviren-Datenbanken.

Die Untersuchung von Nachrichten auf Viren und andere bedrohliche Programme wird vom Modul Anti-Virus ausgeführt. Das Modul Anti-Virus überprüft den Körper der Nachricht und angehängte Dateien aller Formate (Anhänge) mithilfe der Antiviren-Datenbanken. Mit dem Anti-Virus-Modul können E-Mail-Anhänge erkennt und blockiert werden, die für eine beschränkte Anzahl von Empfängern bestimmt sind und einen gezielten Angriff auf Schwachstellen im Software darstellen.

Sie können folgende Einstellungen des Moduls Anti-Virus festlegen:

• Verwendung der heuristischen Analyse

  Technologie zum Erkennen von Bedrohungen, die nicht mithilfe der aktuellen Version der Datenbanken für Anwendungen von Kaspersky festgestellt werden können. Ermöglicht die Erkennung von Dateien, die einen unbekannten Virus oder eine neue Modifikation eines bekannten Virus enthalten.

• maximale Dauer der Untersuchung von Nachrichten
• tiefste Ebene bei der Untersuchung von Archiven
• Ausnahmen von der Untersuchung für einige legale Programme, die von Betrügern genutzt werden können.

Aufgrund der Ergebnisse der Untersuchung weist das Modul Anti-Virus der Nachricht eine der folgenden Statusvarianten zu:

• Nicht erkannt – Die Nachricht ist nicht infiziert.
• Infiziert – Die Nachricht ist infiziert und kann nicht desinfiziert werden, bzw. es wurde keine Desinfektion der Nachricht durchgeführt.
• Desinfiziert – Die Nachricht wurde desinfiziert.
• Verschlüsselt – Die Nachricht konnte nicht untersucht werden, da sie verschlüsselt ist.
• Fehler – Bei der Untersuchung der Nachricht ist ein Fehler aufgetreten.
• Datenbankenfehler – Die Nachricht konnte wegen eines Fehlers bei der Anwendung der App-Datenbanken nicht untersucht werden.
• Gefahr von Angriffen von Außen – Das Objekt kann von Angreifern verwendet werden, um in das lokale Netz einzudringen.
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen App-Einstellungen nicht untersucht.
• Möglicherweise infiziert – Das Objekt beinhaltet Anzeichen eines Schadcodes.

Standardmäßig ist das Modul Anti-Virus aktiviert. Bei Bedarf können Sie das Modul Anti-Virus deaktivieren bzw. die Untersuchung von Nachrichten auf Viren für jede Regel deaktivieren.

Untersuchung von Links

Kaspersky Secure Mail Gateway untersucht, ob Links im Nachrichtentext schädlich sind, Werbelinks sind oder zu legalen Programmen gehören, die in der Lage sind, dem Computer Schaden zuzufügen.

Sie können folgende Einstellungen der Untersuchung von Links anpassen:

• Maximale Zeit zur Überprüfung einzelner E-Mails.
• Ausnahmen von der Untersuchung.

  Sie können die Erkennung von Werbelinks und Links, die mit einigen legalen Programmen verknüpft sind, deaktivieren.

Aufgrund der Ergebnisse der Untersuchung von Links weist die App der Nachricht eine der folgenden Statusvarianten zu:

• Datenbankenfehler – Untersuchung der Nachricht ist wegen eines Fehlers in den App-Datenbanken fehlgeschlagen.
• Nicht erkannt – Die Nachricht enthält keine Links, deren Erkennung gemäß den App-Einstellungen aktiviert ist.
• Fehler – Die Untersuchung der Nachricht wurde fehlerhaft abgeschlossen.
• Erkannt – Die Nachricht enthält schädliche Links, Werbelinks oder Links, die zu legalen Programmen gehören.
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen App-Einstellungen nicht untersucht.

Schutz der Nachrichten vor Spam

Kaspersky Secure Mail Gateway filtert E-Mails, die über den Mail-Server abgerufen werden, von unerwünschten Nachrichten (Spam).

Die Untersuchung der Nachrichten auf Spam wird vom Modul Anti-Spam durchgeführt. Das Anti-Spam-Modul untersucht jede Nachricht auf das Vorhandensein von Spam-Merkmalen. Dazu untersucht das Anti-Spam-Modul zum einen die Attribute der Nachricht, wie: Adressen des Empfängers und des Absenders, Nachrichtengröße, Überschriften (einschließlich Von und An). Weiterhin analysiert das Anti-Spam-Modul den Inhalt der Nachricht (einschließlich der Betreffzeile) und der angehängten Dateien.

Die App weist Nachrichten, in denen Spam oder möglicher Spam erkannt wurde, einen anhand der Spam-Klassifizierung ermittelten Status zu. Spam-Klassifizierung ist eine ganze Zahl von 0 bis 100, die aus den Punkten summiert wird, die der Nachricht von der App bei jeder Auslösung des Anti-Spam-Moduls zugewiesen wurden. Bei der Bestimmung der Spam-Klassifizierung werden auch die Ergebnisse der SPF-Authentifizierung und der Reputationsfilterung der Nachrichten berücksichtigt

Bei der Aktivierung des Moduls Anti-Spam wird automatisch der Schutz gegen BEC-Angriffe aktiviert. Das erlaubt, gefälschte Briefe der Angreifer zu erkennen, die auf eine Kompromittierung des geschäftlichen Schriftverkehrs abzielen.

Sie können folgende Einstellungen des Moduls Anti-Spam festlegen:

• Verwendung des Dienstes Moebius

  Ein Dienst für schnelle Updates der Anti-Spam-Datenbanken, mit dessen Hilfe kritische Updates in Echtzeit installiert werden können.

  Der Dienst Moebius ermittelt den Unterschied zwischen der von der App aktuell verwendeten Datenbank von Anti-Spam und der Datenbank auf dem Moebius-Server. Die fehlenden Einträge werden dann per HTTPS-Protokoll an den Verwaltungsknoten übermittelt. Damit der Umfang der übermittelten Daten nicht zu groß wird und der Dienst Moebius stabil arbeiten kann, müssen die Anti-Spam-Datenbanken der App regelmäßig aktualisiert werden.

• Schutz vor Active Directory Spoofing.

  Eine Angriffsart, die auf der Verfälschung übermittelter Daten beruht. Spoofing kann darauf abzielen, erweiterte Privilegien zu erlangen, und basiert auf der Umgehung des Überprüfungsmechanismus, indem eine Anfrage ähnlich der echten generiert wird. Eine der Optionen für eine solche Ersetzung besteht darin, den HTTP-Header zu fälschen, um Zugriff auf verborgene Inhalte zu erhalten.

  Ziel von Spoofing kann auch die Täuschung des Nutzers sein – ein klassisches Beispiel für einen solchen Angriff ist das Ersetzen der Absenderadresse in E-Mails.

  Das Modul Anti-Spam erlaubt es, Spoofing-Angriffe zu verhindern, bei denen Angreifer in der Zeile From einen falschen Namen verwenden (Display Name). Dabei stimmt die Domain, von der aus die Nachricht veschickt wurde, nicht mit der Domain des Unternehmens überein. Sie können in der App eine Active Directory-Gruppe mit höchstens 10.000 Teilnehmern angeben, auf deren Nutzer der Schutz gegen Spoofing angewendet wird.

• Überprüfung der Reputation der IP-Adressen und Domänen.

  Diese Option ermöglicht die Durchführung einer Überprüfung der Daten von SMTP-Sitzungen auf Grundlage von Einträgen über verbotene IP-Adressen und Domänen in den Datenbanken des Moduls Anti-Spam.

• Verwendung der Quarantäne von Anti-Spam

  Der Speicher, in dem E-Mail-Nachrichten vorübergehend abgelegt werden, wenn das Modul Anti-Spam ihnen anhand der Untersuchungsergebnisse keinen endgültigen Status zuweisen konnte.

  Die Verwendung der Quarantäne von Anti-Spam ist nur bei einer Teilnahme an KSN verfügbar.

  Nach dem Verschieben der Nachricht in der Quarantäne von Anti-Spam kontaktiert die App die KSN-Server, damit die Nachricht weiter untersucht wird. Die Verwendung des Cloud-Dienstes KSN ermöglicht eine höhere Genauigkeit bei der Erkennung von Spam-Merkmalen, da die Informationen in den KSN-Datenbanken aktueller sind als die Informationen in den Anti-Spam-Datenbanken der App.

• Maximale Dauer der Untersuchung von Nachrichten
• Maximale Speicherdauer einer Nachricht in der Anti-Spam-Quarantäne
• Maximale Anzahl der Nachrichten in der Anti-Spam-Quarantäne.
• Maximale Größe der Anti-Spam-Quarantäne.

Aufgrund der Ergebnisse der Untersuchung weist das Modul Anti-Spam der Nachricht eine der folgenden Statusvarianten zu:

• Nicht erkannt – Die Nachricht enthält keinen Spam.
• Spam – Die Nachricht wird von der App eindeutig als Spam eingestuft.
• Spamverdacht – Die Nachricht enthält möglicherweise Spam.
• Massenversand – Die Nachricht zählt als Massenversand.
• Fehler – Die Untersuchung der Nachricht wurde fehlerhaft abgeschlossen.
• Datenbankenfehler – Untersuchung der Nachricht ist wegen eines Fehlers in den App-Datenbanken fehlgeschlagen.
• Formelle E-Mail – Die App stuft die Nachricht als formale, automatisch generierte Benachrichtigung ein (z. B. eine automatische Benutzerantwort oder eine Benachrichtigung bei Überschreitung der Postfachgröße).
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen App-Einstellungen nicht untersucht.
• Vertrauenswürdige Quelle – Die Nachricht wurde von einem Absender empfangen, dessen Domäne sich in der Allow-Liste in den Datenbanken des Moduls Anti-Spam befindet und eine DMARC-Authentifizierung der Absender durchlaufen hat.

In Abhängigkeit vom Ergebnis der Untersuchung fügt die App die X-Header-Zeile X-MS-Exchange-Organization-SCL mit der SCL-Einschätzung zur Nachricht hinzu.

Standardmäßig ist das Anti-Spam-Modul aktiviert. Bei Bedarf können Sie das Anti-Spam-Modul deaktivieren bzw. die Anti-Spam-Untersuchung für jede Regel deaktivieren.

Schutz von Nachrichten vor Phishing

Kaspersky Secure Mail Gateway filtert E-Mail-Nachrichten, die über den Mail-Server abgerufen werden, auf Phishing.

Die Untersuchung der Nachrichten auf Phishing wird vom Modul Anti-Phishing durchgeführt. Weiterhin analysiert das Anti-Phishing-Modul den Inhalt der Nachricht (einschließlich der Header-Zeile "Betreff") und der angehängten Dateien.

Sie können die maximale Dauer der Untersuchung von Nachrichten durch das Modul Anti-Phishing anpassen.

Aufgrund der Ergebnisse der Untersuchung weist das Modul Anti-Phishing der Nachricht eine der folgenden Statusvarianten zu:

• Nicht erkannt – Die Nachricht enthält keine Links zu Phishing-Webseiten, Bildern oder Texten, die den Benutzer veranlassen sollen, den Angreifern vertrauliche Daten herauszugeben, und enthält keine Links zu Webressourcen, die Schadsoftware enthalten.
• Phishing – Die App hat in der Nachricht ein Bild oder einen Text entdeckt, die den Benutzer veranlassen sollen, den Angreifern vertrauliche Daten zu übermitteln.
• Phishing-Link – Die App hat in der Nachricht Links zu Websites mit Schadsoftware gefunden.
• Fehler – Die Untersuchung der Nachricht wurde fehlerhaft abgeschlossen.
• Datenbankenfehler – Untersuchung der Nachricht ist wegen eines Fehlers in den App-Datenbanken fehlgeschlagen.
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen App-Einstellungen nicht untersucht.

Standardmäßig ist das Modul Anti-Phishing aktiviert. Bei Bedarf können Sie das Modul Anti-Phishing deaktivieren bzw. die Anti-Phishing-Untersuchung für jede einzelne Regel deaktivieren.

Inhaltsfilterung von Nachrichten

Kaspersky Secure Mail Gateway führt eine Inhaltsfilterung von Nachrichten aus, die über den Mail-Server weitergeleitet werden. Sie können das Senden von Nachrichten mit bestimmten Parametern durch den Mail-Server beschränken.

Sie können folgende Einstellungen der Inhaltsfilterung festlegen:

• maximale Dauer der Untersuchung von Nachrichten
• tiefste Ebene bei der Untersuchung von Archiven

Aufgrund der Ergebnisse der Inhaltsfilterung weist das Verwaltungsmodul für die Nachrichtenuntersuchung Scan Logic der Nachricht einen der Status der Inhaltsfilterung zu:

• Nicht erkannt – In der Nachricht wurden keine Verstöße gegen die in den Einstellungen für die Inhaltsfilterung festgelegten Beschränkungen festgestellt.
• Verbotener Anhangname – Die Nachricht enthält einen Anhang mit verbotenem Namen.
• Verbotenes Anhangformat – Die Nachricht enthält einen Anhang im verbotenen Format.
• Zulässige Größe überschritten – Die maximal zulässige Nachrichtengröße wurde überschritten.
• Datenbankenfehler – Untersuchung der Nachricht ist wegen eines Fehlers in den App-Datenbanken fehlgeschlagen.
• Fehler – Die Untersuchung der Nachricht wurde fehlerhaft abgeschlossen.
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen App-Einstellungen nicht untersucht.

Standardmäßig ist die Inhaltsfilterung der Nachrichten aktiviert. Bei Bedarf können Sie die Inhaltsfilterung in den allgemeinen Schutzeinstellungen oder für eine beliebige Regel deaktivieren.

Authentifizierung der E-Mail-Absender

Die Authentifizierung von E-Mail-Absendern dient dem zusätzlichen Schutz der E-Mail-Infrastruktur Ihres Unternehmens vor Spam und Phishing.

Kaspersky Secure Mail Gateway verwendet folgende Technologien für die Authentifizierung von E-Mail-Absendern:

• SPF-Überprüfung (Sender Policy Framework).
• DKIM-Überprüfung (DomainKeys Identified Mail).
• DMARC-Überprüfung (Domain-based Message Authentication, Reporting and Conformance).

SPF-Authentifizierung von Nachrichtenabsendern – Vergleich der IP-Adressen der Nachrichtenabsender mit der Liste zulässiger Nachrichtenquellen, die der Administrator des Mail-Servers angelegt hat.

Kaspersky Secure Mail Gateway erhält Listen möglicher Nachrichtenquellen vom DNS-Server.

Aktivieren Sie die SPF-Authentifizierung, wenn Kaspersky Secure Mail Gateway die E-Mails direkt aus dem Internet empfängt. Deaktivieren Sie die SPF-Authentifizierung, wenn Kaspersky Secure Mail Gateway die E-Mails von einem internen Proxyserver empfängt.

DKIM-Authentifizierung der E-Mail-Absender – Überprüfung der digitalen Signatur von E-Mails.

Zu den E-Mails wird eine digitale Signatur hinzugefügt, die mit dem Domänennamen des Unternehmens zusammenhängt. Diese digitale Signatur wird von Kaspersky Secure Mail Gateway überprüft.

Die DMARC-Authentifizierung der E-Mail-Absender ist eine Überprüfung, welche die Richtlinie und die Aktionen für E-Mails anhand der Ergebnisse der SPF- und DKIM-Authentifizierung der E-Mail-Absender bestimmt.

SPF- und DKIM-Prüfungen müssen aktiviert sein, um eine DMARC-Prüfung durchzuführen. Wenn SPF- oder DKIM-Prüfungen deaktiviert sind, wird auch die DMARC-Prüfung deaktiviert.

Sobald die E-Mail die SPF- und DKIM-Authentifizierung durchlaufen hat, wird überprüft, ob die Domäne, die die Absenderadresse im Feld Von im Nachrichtenkopf enthält, den SPF- und DKIM-IDs entspricht.

Für die Ausführung der SPF-, DKIM- und DMARC-Authentifizierung von E-Mail-Absendern muss die Verbindung von Kaspersky Secure Mail Gateway mit dem DNS-Server erlaubt sein. Wenn die Verbindung mit dem DNS-Server verboten ist, werden die SPF-, DKIM- und DMARC-Authentifizierung von E-Mail-Absendern deaktiviert.

Nach erfolgter Durchführung der Authentifizierung der E-Mail-Absender weist die App jeder Nachricht eine der folgenden Statusvarianten zu:

• Nicht erkannt – In der Nachricht wurden keine Authentifizierungsverstöße festgestellt.
• Fehler – Während der Authentifizierung ist ein Fehler aufgetreten.
• Authentifizierung war nicht erfolgreich – Die Authentifizierung ist fehlgeschlagen.
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen App-Einstellungen nicht untersucht.
• Es wurde eine Verletzung erkannt – Es wurde mindestens eine Verletzung der Authentifizierung gefunden.
• Es wurde keine Verletzung erkannt – Es wurde keine Verletzung der Authentifizierung gefunden.

Standardmäßig sind alle Authentifizierungen der E-Mail-Absender aktiviert. Bei Bedarf können Sie jede Authentifizierung in den allgemeinen Schutzeinstellungen oder für eine beliebige Regel deaktivieren.

Damit ein Remote-Mail-Server die Authentizität des Absenders ausgehender E-Mail-Nachrichten prüfen kann (wenn die Nachricht von Kaspersky Secure Mail Gateway versendet wird), müssen Sie die SPF- und DMARC-Einträge zu den Einstellungen Ihres DNS-Servers hinzufügen.