Outlook OLE Package blockieren

Andreas Schulze andreas.schulze at datev.de
Fr Feb 26 19:09:38 CET 2016


Am 26.02.2016 um 17:33 schrieb Jörg Backschues:
> Hallo,
>
> sieht jemand eine Change, dieses u.g. OLE Package mit Postfix / AMaViS 
> zu blockieren:
>
> <https://medium.com/@networksecurity/oleoutlook-bypass-almost-every-corporate-security-control-with-a-point-n-click-gui-37f4cbc107d0#.q276yg82i> 
>
>
> Eine entsprechende Beispieldatei befindet sich am Ende der Web-Seite.
>
> Selbst bei Virustotal werden keine Auffäligkeiten festgestellt:
>
> <https://www.virustotal.com/de/file/ec226fcd63e0803deb1b99622c774247fec651b2645929341ebc837b9ed7eeb5/analysis/1456503885/> 
>
>
> Das könnte eine neue "Locky" Verbreitungsmethode werden.
>
ich vermute mal, dass eine soche E-Mail als winmail.dat bzw. 
Content-Type ms/t-net transportiert wird.
Dieses Format (auch als Exchange Rich Text) ist Outlook propriätär. Mit 
gutem Willen kann man an seinem MX eine Policy durchsetzen,
sowas einfach zu blocken.

Andreas



Mehr Informationen über die Mailingliste Postfixbuch-users