[KB6102] Konfiguration der ESET Mail Security zum Schutz vor Ransomware

Problem

  • Konfiguration der ESET Remote Administrator (6.3 oder neuer) Anti-Spam Policy-Einstellungen in der ESET Mail Security für Microsoft Exchange Server, um gegen die Filecoder Malware (Ransomware) geschützt zu sein.

Allgemeine Best Practices und Support gegen Ransomware finden Sie in folgendem Knowledgebase Artikel:

Best Practices zum Schutz vor der Filecoder Malware (Ransomware).

Einzelheiten

Mithilfe richtiger Anti-Spam-Regel werden eingehende E-Mail bereits direkt auf dem Mail-Server gefiltert. Damit können bösartige Anhänge, die die Ransomware enthalten, vor der Auslieferung an die Mailbox der Endnutzer abgefangen und somit nicht beim Endnutzer ausgeführt werden.

Lösung

Um mögliche Ransomware Malware auf Ihrem Microsoft Exchange Server zu verhindern, erstellen Sie folgende Policy in Ihrem ESET Remote Administrator Version 6.3 oder neuer:

  1. Klicken Sie auf Admin Policies, wählen die Policy, welche auf Ihrem Server / Ihren Servern angewandt wird / werden (Ihre Standard-Haupt-Policy) und klicken auf Policies Bearbeiten.

    Alternativ können Sie auch eine neue Policy im ESET Remote Administrator (6.x) anlegen.
     
  2. Erweitern Sie die Einstellungen und klicken Server Regeln.
     
  3. Unter Mail-Transportschutz, klicken Sie rechts neben Regeln auf Bearbeiten.

Abbildung 1-1
Klicken Sie in das Bild, um eine vergrößerte Ansicht in einem neuen Fenster zu erhalten

  1. Klicken Sie auf Hinzufügen, um ein neue Regel hinzuzufügen und um Ransomware und das Nachladen von Schad-Code unter Quarantäne zu stellen.

Abbildung 1-2

  1. Geben Sie für die neue Regel einen Namen ein, bspw. “Ransomware droppers”.
     
  2. Unter Bedingungstyp, klicken Sie Hinzufügen.

.

Abbildung 1-3
Klicken Sie in das Bild, um eine vergrößerte Ansicht in einem neuen Fenster zu erhalten

  1. Im Drop-down-Menü Typ wählen Sie Name des Anhangs aus und klicken auf Hinzufügen

Abbildung 1-4
Klicken Sie in das Bild, um eine vergrößerte Ansicht in einem neuen Fenster zu erhalten

  1. Klicken Sie unten links auf Mehrere Werte eingeben und geben anschließend folgende Namen ein (drücken Sie Return oder Enter nach jedem Eintrag):
    • *.js
    • *.hta
    • *.docm
    • *.xlsm
    • *.pptm
    • *.vbs
    • *.bat
    • *.wsf

Abbildung 1-5

  1. Klick Sie zweimal OK.
     
  2. Klicken Sie unter Aktionstyp den Button Hinzufügen. Wählen Sie nun Ihre bevorzugte Aktion aus. In diesem Beispiel wurde E-Mail in Quarantäne verschieben ausgewählt.

    Sie können folgende optionale Aktionstypen hinzufügen:

    Anhang löschen, E-Mail in Quarantäne verschieben, Nachricht ablehnen, Nachricht automatisch löschen, E-Mail-Benachrichtigung verschicken, Andere Regeln bewerten, SCL-Wert festlegen, Kopffeld hinzufügen und Logging in Ereignissen.

  3. Klicken Sie auf OK

Abbildung 1-6

  1. Aktivieren Sie die Checkbox Gefähliche ausführbare Dateiananhänge und klicken anschließend auf Bearbeiten.

Abbildung 1-7

  1. Klicken Sie unter Aktionstyp den Button Bearbeiten.

    Die folgenden ausführbaren Dateianhänge werden verarbeitet - falls Ihre Netzwerkumgebung einige dieser Dateiformate benötigt, können Sie auch die Dateiformate bearbeiten. Oft werden .exe und .msi abgewählt. 

    ESET Mail Security Version 6.2.10012 und älter

    Falls Sie eine ältere Version von ESET Mail Security (älter als Version 6.3) nutzen, werden alle Microsoft Office Dokumente geblockt, wenn Sie die Regel "Ausführbare Dateien" wählen.

    • Ausführbare Windows-Datei (*.exe, *.dll,* .sys*, *.drv; *.ocx, *.scr)
    • Ausführbare MS-DOS-Datei (*.exe)
    • ELF Executable and Linkable format (for example, Linux) (*.elf)
    • Adobe Flash (*.swf)
    • Java Class Bytecode (*.class)
    • Windows-Installationspaket (*.msi)
    • Ausführbare Binärdatei für Apple OS X, allgemein
    • Ausführbare Binärdatei für Apple OS X Mach-O
    • Ausführbare Android-Datei (*.dex)

Abbildung 1-8

  1. Klicken Sie das Plus-Symbol , um die Ausführbare Dateien zu erweitern. Aktivieren Sie die Checkboxen, um die entsprechenden Dateitypen in Ihrer Systemumgebung zuzulassen (Aktivieren der Checkboxen deaktiviert das Löschen, welches Sie unter Aktionstyp in Schritt 10 ausgewählt haben). Klicken Sie anschließend zweimal auf OK.

Abbildung 1-9

  1. Klicken Sie auf Speichern im Fenster Regeln
     
  2. Falls Sie eine neue Policy erstellt haben, erweitern Sie den Abschnitt Zuweisen und weisen Sie die neue Policy einer Gruppe zu, andernfalls wählen Sie direkt Fertigstellen


Ihre Policy-Einstellungen werden nun auf Ihre Zielgruppe oder Client-Computer angewandt, wenn Sie mit dem ESET Remote Administrator Verbindung aufnehmen.