Hallo zusammen,

leider haben wir hier im Unternehmen ein Problem. Viele User erhalten E-Mails von einer angeblichen internen E-Mail Adresse, die da lautet: kopierer@...de

Nun wollte ich euch / Sie um Rat bitten. Ein Kollege hat leider schon das im Anhang befindliche Word-Dokument geöffnet, das einen Makro-Virus enthält. Hinsichtlich der Entfernung von Viren auf lokalen System bin ich bewandert. Nun möchte ich aber die E-Mails auch wieder loswerden.

Zur Netzwerksstruktur:
Domän-, File- und Exchange Server in einer virtuellen Maschine
ERP-Server in einer anderen VM
UTM: Sophos
Zudem ist auf den Rechnern Avast Business installiert.

Habt ihr / Sie einen Tipp für mich?
Vielen Dank im Voraus.

Beste Grüße
Habbi

Die Mails musst du manuell löschen. Andere Möglichkeit kenn ich nicht. Wird auch rechtlich fragwürdig, weil man als Admin nicht einfach mal so in den Postfächern der anderen Kollegen rumschnüffeln darf.

Da du eine SophosUTM hast: nutze den SMTP/POP3 Proxy, damit Schrottmails von der Sophos aussortiert werden. Wir haben auch ne SophosUTM9 und lassen externe Mails mit Anhängen nur noch durch, wenn es PDF ist. Alle Archivformate, DOC/DOCX, EXE sowieso etc wird geblockt. Da sollen die Empfänger den Admin lieber einmal mehr fragen wenn eine legitime Mail blockiert wurde.

DOCX und DOC benötigen wir im Unternehmen leider...
EXE sind natürlich geblockt.

Aber danke. Habe den Virus entfernt bekommen:
https://security.symantec.com/nbrt/npe.aspx
Dieser brachte Abhilfe...

Zitat:

Zitat von Habbi

DOCX und DOC benötigen wir im Unternehmen leider...
EXE sind natürlich geblockt.

Ich glaub du hast mein Posting nicht richtig verstanden. Dass man mit anderen Firmen regen Austausch mit Worddokumenten hat, ist unstrittig. Aber dennoch sollte man DOC/DOCX blockieren und blockierte legitime Mails dann manuell nach Prüfung freischalten.

Ich bin hier im Unternehmen für die Clients verantwortlich und wir haben einen Server-Administrator. Wo kann er bzw. ich denn das in der Sophos einstellen?
Hast du da einen Tipp oder Screenshot vielleicht für mich?

Wir haben hier eine Sophos SG135.

Komm ein bisschen drauf an, wie eure externen Mails bei euch im System landen.

Wir benutzen ein Sammelpostfach (*@firma.de) welches auf nem Server von unserem Provider gehostet wird. Das wird dann in regelmäßigen Abständen via POP3S (verschlüsseltes POP3) abgerufen (mit POPcon) und damit der Exchange-Server gefüttert.

Für diese Variante brauchen wir den POP3-Proxy, der automatisch dann wenn man es einstellt sich 1. transparent verhält 2. nicht nur SPAM sondern auch Mails mit verboteten Anhangstypen blockiert. Im Mailmanager hast du dann die Möglichkeit die blockierten Elemente zu lesen, downloaden oder freigeben.

Wenn ihr nen eigenen Mailserver habt, der direkt externe Mails via SMTP empfängt wird es ein wenig haariger aus meiner Sicht. Denn die Sophos müsste dann 1. natürlich vor diesem Mailserver stehen um ihn beschützen zu können und 2. müsstest du dann statt einem POP3- einen SMTP-Proxy einrichten. Bei der genauen Konfig der Sophos kann normalerweise das Sophos-User-Forum weiterhelfen => https://community.sophos.com/