Allgemeine Schutzeinstellungen

KSMG schützt die ein- und ausgehenden E-Mails Ihres Unternehmens. Folgende allgemeine Schutzeinstellungen können angepasst werden:

• Antiviren-Schutz
• Untersuchung von Links
• Schutz der Nachrichten vor Spam
• Schutz der Nachrichten vor Phishing
• Inhaltsfilterung von Nachrichten
• Authentifizierung der E-Mail-Absender

Die allgemeinen Schutzeinstellungen werden bei der Untersuchung aller Nachrichten angewendet. Sie können die Aktionen für E-Mail-Nachrichten anhand der Untersuchungsergebnisse anpassen sowie weitere Einstellungen mithilfe der Regeln zur Nachrichtenverarbeitung konfigurieren.

Virenschutz

KSMG gewährleistet den Antiviren-Schutz von E-Mail-Nachrichten: untersucht E-Mails auf Viren und andere Programme, die eine Bedrohung darstellen, und desinfiziert infizierte Objekte mithilfe der Informationen der aktuellen (neuesten) Version der Antiviren-Datenbanken.

Die Untersuchung von Nachrichten auf Viren und andere bedrohliche Programme wird vom Modul Anti-Virus ausgeführt. Das Modul Anti-Virus überprüft den Körper der Nachricht und angehängte Dateien aller Formate (Anhänge) mithilfe der Antiviren-Datenbanken. Mit dem Anti-Virus-Modul können E-Mail-Anhänge erkennt und blockiert werden, die für eine beschränkte Anzahl von Empfängern bestimmt sind und einen gezielten Angriff auf Schwachstellen im Software darstellen.

Sie können folgende Einstellungen des Moduls Anti-Virus festlegen:

• Verwendung der heuristischen Analyse

  Technologie zum Erkennen von Bedrohungen, die nicht mithilfe der aktuellen Version der Datenbanken für Anwendungen von Kaspersky festgestellt werden können. Ermöglicht die Erkennung von Dateien, die einen unbekannten Virus oder eine neue Modifikation eines bekannten Virus enthalten.

• maximale Dauer der Untersuchung von Nachrichten
• maximale Stufe der Analyse-Tiefe von Archiven
• Ausnahmen von der Untersuchung für einige legale Programme, die von Betrügern genutzt werden können.

Aufgrund der Ergebnisse der Untersuchung weist das Modul Anti-Virus der Nachricht eine der folgenden Statusvarianten zu:

• Nicht erkannt – Die Nachricht ist nicht infiziert.
• Infiziert – Die Nachricht ist infiziert und kann nicht desinfiziert werden, bzw. es wurde keine Desinfektion der Nachricht durchgeführt.
• Desinfiziert – Die Nachricht wurde desinfiziert.
• Verschlüsselt – Die Nachricht konnte nicht untersucht werden, da sie verschlüsselt ist.
• Fehler – Bei der Untersuchung der Nachricht ist ein Fehler aufgetreten.
• Datenbankfehler – Die Nachricht konnte wegen eines Fehlers bei der Anwendung der Anwendungsdatenbanken nicht untersucht werden.
• Gefahr von Angriffen von Außen – Das Objekt kann von Angreifern verwendet werden, um in das lokale Netz einzudringen.
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen Anwendungseinstellungen nicht untersucht.
• Möglicherweise infiziert – Das Objekt beinhaltet Anzeichen eines Schadcodes.

Standardmäßig ist das Modul Anti-Virus aktiviert. Bei Bedarf können Sie das Modul Anti-Virus deaktivieren bzw. die Untersuchung von Nachrichten auf Viren für jede Regel deaktivieren.

Untersuchung von Links

KSMG untersucht, ob Links im Nachrichtentext schädlich sind, Werbelinks sind oder zu legalen Programmen gehören, die in der Lage sind, dem Computer Schaden zuzufügen.

Sie können folgende Einstellungen der Untersuchung von Links anpassen:

• Maximale Zeit zur Überprüfung einzelner E-Mails.
• Ausnahmen von der Untersuchung.

  Sie können die Erkennung von Werbelinks und Links, die mit einigen legalen Programmen verknüpft sind, deaktivieren.

Aufgrund der Ergebnisse der Untersuchung von Links weist die Anwendung der Nachricht eine der folgenden Statusvarianten zu:

• Datenbankfehler – Untersuchung der Nachricht ist wegen eines Fehlers in den Anwendungsdatenbanken fehlgeschlagen.
• Nicht erkannt – Die Nachricht enthält keine Links, deren Erkennung gemäß den Anwendungseinstellungen aktiviert ist.
• Fehler – Die Untersuchung der Nachricht wurde fehlerhaft abgeschlossen.
• Erkannt – Die Nachricht enthält schädliche Links, Werbelinks oder Links, die zu legalen Programmen gehören.
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen Anwendungseinstellungen nicht untersucht.

Schutz der Nachrichten vor Spam

KSMG filtert E-Mails, die über den Mailserver abgerufen werden, von unerwünschten Nachrichten (Spam).

Die Untersuchung der Nachrichten auf Spam wird vom Modul Anti-Spam durchgeführt. Das Anti-Spam-Modul untersucht jede Nachricht auf das Vorhandensein von Spam-Merkmalen. Dazu untersucht das Anti-Spam-Modul zum einen die Attribute der Nachricht, wie: Adressen des Empfängers und des Absenders, Nachrichtengröße, Überschriften (einschließlich Von und An). Weiterhin analysiert das Anti-Spam-Modul den Inhalt der Nachricht (einschließlich der Betreffzeile) und der angehängten Dateien.

Die Anwendung weist Nachrichten, in denen Spam oder möglicher Spam erkannt wurde, einen anhand der Spam-Klassifizierung ermittelten Status zu. Spam-Klassifizierung ist eine ganze Zahl von 0 bis 100, die aus den Punkten summiert wird, die der Nachricht von der Anwendung bei jeder Auslösung des Anti-Spam-Moduls zugewiesen wurden. Bei der Bestimmung der Spam-Klassifizierung werden auch die Ergebnisse der SPF-Authentifizierung und der Reputationsfilterung der Nachrichten berücksichtigt

Bei der Aktivierung des Moduls Anti-Spam wird automatisch der Schutz gegen BEC-Angriffe aktiviert. Das erlaubt, gefälschte Nachrichten der Angreifer zu erkennen, die auf eine Kompromittierung des geschäftlichen Schriftverkehrs abzielen.

Sie können folgende Einstellungen des Moduls Anti-Spam festlegen:

• Verwendung des Dienstes Moebius

  Ein Dienst für schnelle Updates der Anti-Spam-Datenbanken, mit dessen Hilfe kritische Updates in Echtzeit installiert werden können.

  Der Dienst Moebius ermittelt den Unterschied zwischen der von der Anwendung aktuell verwendeten Datenbank von Anti-Spam und der Datenbank auf dem Moebius-Server. Die fehlenden Einträge werden dann per HTTPS-Protokoll an den Verwaltungsknoten übermittelt. Damit der Umfang der übermittelten Daten nicht zu groß wird und der Dienst Moebius stabil arbeiten kann, müssen die Anti-Spam-Datenbanken der Anwendung regelmäßig aktualisiert werden.

• Schutz vor Active Directory Spoofing.

  Eine Angriffsart, die auf der Verfälschung übermittelter Daten beruht. Spoofing kann darauf abzielen, erweiterte Privilegien zu erlangen, und basiert auf der Umgehung des Überprüfungsmechanismus, indem eine Anfrage ähnlich der echten generiert wird. Eine der Optionen für eine solche Ersetzung besteht darin, den HTTP-Header zu fälschen, um Zugriff auf verborgene Inhalte zu erhalten.

  Ziel von Spoofing kann auch die Täuschung des Nutzers sein – ein klassisches Beispiel für einen solchen Angriff ist das Ersetzen der Absenderadresse in E-Mails.

  Das Modul Anti-Spam erlaubt es, Spoofing-Angriffe zu verhindern, bei denen Angreifer im MIME-Header From der Nachricht einen falschen Namen verwenden (Display Name). Dabei stimmt die Domain, von der aus die Nachricht veschickt wurde, nicht mit der Domain des Unternehmens überein. Sie können in der Anwendung eine Active Directory-Gruppe mit höchstens 10.000 Teilnehmern angeben, auf deren Nutzer der Schutz gegen Spoofing angewendet wird.

• Überprüfung der Reputation der IP-Adressen und Domänen.

  Diese Option ermöglicht die Durchführung einer Überprüfung der Daten von SMTP-Sitzungen auf Grundlage von Einträgen über verbotene IP-Adressen und Domänen in den Datenbanken des Moduls Anti-Spam.

• Verwendung der Quarantäne von Anti-Spam

  Der Speicher, in dem E-Mail-Nachrichten vorübergehend abgelegt werden, wenn das Modul Anti-Spam ihnen anhand der Untersuchungsergebnisse keinen endgültigen Status zuweisen konnte.

  Die Verwendung der Quarantäne von Anti-Spam ist nur bei einer Teilnahme an KSN verfügbar.

  Nach dem Verschieben der Nachricht in der Quarantäne von Anti-Spam kontaktiert die Anwendung die KSN-Server, damit die Nachricht weiter untersucht wird. Die Verwendung des Cloud-Dienstes KSN ermöglicht eine höhere Genauigkeit bei der Erkennung von Spam-Merkmalen, da die Informationen in den KSN-Datenbanken aktueller sind als die Informationen in den Anti-Spam-Datenbanken der Anwendung.

• Maximale Dauer der Untersuchung von Nachrichten
• Maximale Speicherdauer einer Nachricht in der Anti-Spam-Quarantäne.
• Maximale Anzahl der Nachrichten in der Anti-Spam-Quarantäne.
• Maximale Größe der Anti-Spam-Quarantäne.

Aufgrund der Ergebnisse der Untersuchung weist das Modul Anti-Spam der Nachricht eine der folgenden Statusvarianten zu:

• Nicht erkannt – Die Nachricht enthält keinen Spam.
• Spam – Die Nachricht wird von der Anwendung eindeutig als Spam eingestuft.
• Spamverdacht – Die Nachricht enthält möglicherweise Spam.
• Massenversand – Die Nachricht zählt als Massenversand.
• Fehler – Die Untersuchung der Nachricht wurde fehlerhaft abgeschlossen.
• Datenbankfehler – Untersuchung der Nachricht ist wegen eines Fehlers in den Anwendungsdatenbanken fehlgeschlagen.
• Formelle E-Mail – Die Anwendung stuft die Nachricht als formale, automatisch generierte Benachrichtigung ein (z. B. eine automatische Benutzerantwort oder eine Benachrichtigung bei Überschreitung der Postfachgröße).
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen Anwendungseinstellungen nicht untersucht.
• Vertrauenswürdige Quelle – Die Nachricht wurde von einem Absender empfangen, dessen Domäne sich in der Allow-Liste in den Datenbanken des Moduls Anti-Spam befindet und eine DMARC-Authentifizierung der Absender durchlaufen hat.

In Abhängigkeit vom Ergebnis der Untersuchung kann die Anwendung die X-Header-Zeile X-MS-Exchange-Organization-SCL mit der SCL-Einschätzung zur Nachricht hinzufügen. Sie können das Hinzufügen eines Headers in den Nachrichtenverarbeitungsoptionen konfigurieren.

Standardmäßig ist das Anti-Spam-Modul aktiviert. Bei Bedarf können Sie das Anti-Spam-Modul deaktivieren bzw. die Anti-Spam-Untersuchung für jede Regel deaktivieren.

Schutz von Nachrichten vor Phishing

KSMG filtert E-Mail-Nachrichten, die über den Mailserver abgerufen werden, auf Phishing.

Die Untersuchung der Nachrichten auf Phishing wird vom Modul Anti-Phishing durchgeführt. Weiterhin analysiert das Anti-Phishing-Modul den Inhalt der Nachricht (einschließlich der Header-Zeile "Betreff") und der angehängten Dateien.

Sie können die maximale Dauer der Untersuchung von Nachrichten durch das Modul Anti-Phishing anpassen.

Aufgrund der Ergebnisse der Untersuchung weist das Modul Anti-Phishing der Nachricht eine der folgenden Statusvarianten zu:

• Nicht erkannt – Die Nachricht enthält keine Links zu Phishing-Webadressen, Bildern oder Texten, die den Benutzer veranlassen sollen, den Angreifern vertrauliche Daten herauszugeben, und enthält keine Links zu Webressourcen, die Schadsoftware enthalten.
• Phishing – Die Anwendung hat in der Nachricht einen Link, ein Bild oder einen Text entdeckt, die den Benutzer dazu veranlassen sollen, den Angreifern vertrauliche Daten zu übermitteln.
• Fehler – Die Untersuchung der Nachricht wurde fehlerhaft abgeschlossen.
• Datenbankfehler – Untersuchung der Nachricht ist wegen eines Fehlers in den Anwendungsdatenbanken fehlgeschlagen.
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen Anwendung seinstellungen nicht untersucht.

Standardmäßig ist das Modul Anti-Phishing aktiviert. Bei Bedarf können Sie das Modul Anti-Phishing deaktivieren bzw. die Anti-Phishing-Untersuchung für jede einzelne Regel deaktivieren.

Inhaltsfilterung von Nachrichten

KSMG führt eine Inhaltsfilterung von Nachrichten aus, die über den Mailserver weitergeleitet werden. Sie können das Senden von Nachrichten mit bestimmten Parametern durch den Mailserver beschränken.

Sie können folgende Einstellungen der Inhaltsfilterung festlegen:

• maximale Dauer der Untersuchung von Nachrichten
• maximale Stufe der Analyse-Tiefe von Archiven

Aufgrund der Ergebnisse der Inhaltsfilterung weist das Verwaltungsmodul für die Nachrichtenuntersuchung ScanLogic der Nachricht einen der Status der Inhaltsfilterung zu:

• Nicht erkannt – In der Nachricht wurden keine Verstöße gegen die in den Einstellungen für die Inhaltsfilterung festgelegten Beschränkungen festgestellt.
• Übereinstimmungen gefunden – Die Nachricht enthält eine Übereinstimmung mit den in den Einstellungen der Inhaltsfilterung angegebenen Bedingungen.
• Fehler – Die Untersuchung der Nachricht wurde fehlerhaft abgeschlossen.
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen Anwendungseinstellungen nicht untersucht.

Standardmäßig ist die Inhaltsfilterung der Nachrichten aktiviert. Bei Bedarf können Sie die Inhaltsfilterung in den allgemeinen Schutzeinstellungen und für eine beliebige Regel aktivieren.

Authentifizierung der E-Mail-Absender

Die Authentifizierung von E-Mail-Absendern dient dem zusätzlichen Schutz der E-Mail-Infrastruktur Ihres Unternehmens vor Spam und Phishing.

KSMG verwendet folgende Technologien für die Authentifizierung der E-Mail-Absender:

• SPF-Überprüfung (Sender Policy Framework).

  SPF-Authentifizierung von Nachrichtenabsendern – Vergleich der IP-Adressen der Nachrichtenabsender mit der Liste zulässiger Nachrichtenquellen, die der Administrator des Mailservers angelegt hat.

  KSMG erhält Listen möglicher Nachrichtenquellen vom DNS-Server.

  Wenn KSMG E-Mails direkt aus dem Internet empfängt, muss die SPF-Authentifizierung aktiviert werden. Wenn KSMG die E-Mails von einem internen Proxyserver empfängt, kann die SPF-Authentifizierung deaktiviert werden.

• DKIM-Überprüfung (DomainKeys Identified Mail).

  DKIM-Authentifizierung der E-Mail-Absender – Überprüfung der digitalen Signatur der Nachrichten.

  Zu den E-Mails wird eine digitale Signatur hinzugefügt, die mit dem Domänennamen des Unternehmens zusammenhängt. Diese digitale Signatur wird von KSMG überprüft.

  Sobald die E-Mail die SPF- und DKIM-Authentifizierung durchlaufen hat, wird überprüft, ob die Domäne, die die Absenderadresse im Feld Von im Nachrichtenkopf enthält, den SPF- und DKIM-IDs entspricht.

• DMARC-Überprüfung (Domain-based Message Authentication, Reporting and Conformance).

  DMARC-Authentifizierung der E-Mail-Absender – Überprüfung, welche die Richtlinie und die Aktionen für E-Mails anhand der Ergebnisse der SPF- und DKIM-Authentifizierung der E-Mail-Absender bestimmt.

  SPF- und DKIM-Prüfungen müssen aktiviert sein, um eine DMARC-Prüfung durchzuführen. Wenn SPF- oder DKIM-Prüfungen deaktiviert sind, wird auch die DMARC-Prüfung deaktiviert.

• Abgleich der Absenderdomänen.

  Abgleich der Absenderdomänen – Überprüfung der in der SMTP-Sitzung angegebenen Domäne des Absenders (Wert des Befehls "MAIL FROM") auf Übereinstimmung mit der Domäne in der Nachricht (Wert des MIME-Headers From).

Für die Ausführung der SPF-, DKIM- und DMARC-Authentifizierung der E-Mail-Absender muss die Verbindung von KSMG mit dem DNS-Server erlaubt sein. Wenn die Verbindung mit dem DNS-Server verboten ist, werden die SPF-, DKIM- und DMARC-Authentifizierung von E-Mail-Absendern deaktiviert.

Nach erfolgter Durchführung der Authentifizierung der E-Mail-Absender weist die Anwendung jeder Nachricht eine der folgenden Statusvarianten zu:

• Fehler – Während der Authentifizierung ist ein Fehler aufgetreten.
• Datenbankfehler – Die Authentifizierung ist fehlgeschlagen.
• Nicht untersucht – Die Nachricht wurde gemäß den vorgegebenen Anwendungseinstellungen nicht untersucht.
• Es wurde eine Verletzung erkannt – Es wurde mindestens eine Verletzung der Authentifizierung gefunden.
• Es wurde keine Verletzung erkannt – Es wurde keine Verletzung der Authentifizierung gefunden.

Standardmäßig sind alle Authentifizierungen der E-Mail-Absender aktiviert. Bei Bedarf können Sie die Authentifizierung in den allgemeinen Schutzeinstellungen oder für eine beliebige Regel deaktivieren.

Sie können für jedes Prüfergebnis, das mittels SPF- und DMARC-Technologien erzielt wurde, eine Aktion für eine Nachricht angeben.

Die Authentizität des Nachrichtenabsenders wird anhand einer Kombination aus den aktivierten Technologien überprüft. Aus allen Aktionen für eine Nachricht, die als Resultate der Überprüfungen mit allen aktivierten Technologien ermittelt werden, wird die strengste Aktion ausgewählt. Wenn Überspringen die strengste Aktion darstellt, erhält die Nachricht den StatusEs wurde keine Verletzung erkannt. Wenn Ablehnen oder Nachricht löschen die strengste Aktion darstellt, erhält die Nachricht den Status Es wurde eine Verletzung erkannt.

Damit ein Remote-Mailserver die Authentizität des Absenders ausgehender E-Mail-Nachrichten prüfen kann (wenn die Nachricht von KSMG versendet wird), müssen Sie die SPF- und DMARC-Einträge zu den Einstellungen Ihres DNS-Servers hinzufügen.

In diesem Hilfeabschnitt Über den Schutz der Computer vor bestimmten legalen Programmen Einstellungen für das Anti-Virus-Modul anpassen Einstellungen für die Link-Untersuchung anpassen Einstellungen für das Anti-Spam-Modul anpassen Einstellungen für das Anti-Phishing-Modul anpassen Einstellungen für die Inhaltsfilterung anpassen Einstellungen für externe Dienste anpassen Konfiguration der SPF- und DMARC-Authentifizierung des E-Mail-Absenders für ausgehende Nachrichten vorbereiten

Nach oben