Unscanbare und verschlüsselte Dateien auf Sophos UTM blockieren…

Sophos hat am 01.11.2019 eine Handlungsemfehlung per E-Mail an seine Kunden versendet. Darin informiert der Hersteller, dass sich die Standardeinstellungen auf neuen Sophos UTM Firewall Installationen aktualisiert haben, um unscanbare und verschlüsselte Dateien zukünftig immer zu blockieren bzw. in Quarantäne zu stellen. Falls Ihr die E-Mail nicht erhalten habt, könnt Ihr sie hier nachlesen:

Sehr geehrte Damen und Herren,

Sophos aktualisiert die Standardeinstellungen auf neuen Sophos UTM Firewall-
Installationen, um unscanbare und verschlüsselte Dateien zu blockieren. Bei
einigen Kunden ist die Funktion bereits aktiviert. Allen anderen Kunden
empfiehlt Sophos eine Aktivierung, um potenziellenMalware-Angriffen vorzubeugen.

Übersicht

Ab Sophos UTM 9.7 Maintenance Release 1 im November 2019 wird die Standard-
einstellung auf SG-UTM-Geräten automatisch aktualisiert und unscanbare und
verschlüsselte Dateien werden automatisch blockiert/in die Quarantäne verschoben.
So wird verhindert, dass eine fehlerhafteArchiv-/ZIP-Datei,die Malware enthält,
die Firewall passiert.

Empfehlung

Unabhängig davon, ob Sie den Maintanance Release installiert haben oder nicht,
empfiehlt Sophos die Aktivierung der Funktion. Hierzu aktivieren Sie bitte in
der Firewall-Benutzeroberfläche die unten fett hervorgehobenen Kontrollkästchen:

• Email Protection SMTP ⇒ Malware ⇒ Malware-Scans: „Unscannbaren und verschlüsselten
  Inhalt in Quarantäne“

• Email Protection ⇒ POP3 ⇒ Malware ⇒ Malware-Scans: „Unscannbaren und verschlüs-
  selten Inhalt in Quarantäne“

• Web Protection ⇒ Filteroptionen ⇒ Sonstiges ⇒ „Unscanbare und verschlüsselte
  Dateien blockieren“

In Zukunft

Bei allen Neuinstallationen der Sophos UTM mit den aktuellen Maintenance Releases
wird die Funktion standardmäßig aktiviert. Sie müssen also nicht aktiv werden.

Mit freundlichen Grüßen
Ihr Sophos-Team

Sofern Ihr weitere Informationen bzgl. den Malware Einstellungen benötigt, findet Ihr hier eine Anleitung: Email Protection für Sophos UTM einrichten. Bei weiteren Fragen hinterlasst Ihr bitte einen Kommentar oder schreibt mir per E-Mail.

Thorsten Sult

Keine gewerbliche Nutzung und keine Werbung! Sämtliche Inhalte unterliegen dem Urheberrecht. Sollten Euch meine Artikel geholfen haben, wäre ich sehr dankbar für einen Kommentar. Gerne auch anonym.

Dieser Beitrag hat 2 Kommentare

  1. Ungünstig dabei ist, dass auch zu sendende Mails in der Quarantäne landen (die wiederum nur ein Admin releasen kann).
    Gibt es da nicht eine Möglichkeit, zwischen rein und raus zu unterscheiden?

    1. Moin, danke für Deinen Kommentar. Du könntest z.B. unter Email Protection -> SMTP -> Relaying den Inhaltsscan für ausgehende Nachrichten komplett deaktivieren. Oder Du erstellst eine Ausnahme für ausgehende Nachrichten und lässt die Dateierweiterung aus.

Schreibe einen Kommentar

Menü schließen