Onlinespamfilter gebruiker documentatie
Het verboden bijlagen systeem
Inleiding
Alle bestanden worden door onze virus scanner beoordeeld. Helaas zijn ook virus scanners niet perfect en een kwaadaardig bestand kan onverhoopt zijn weg vinden naar de eindgebruiker. Daarom hanteren wij een systeem met zogenaamde ‘verboden bijlagen’. Dit systeem blokkeert gevaarlijke bestandstypen ongeacht de inhoud. Dit is een zeer configureerbaar systeem wat we in dit document uitleggen.
Instellingen voor verboden bijlagen
Een aantal bestandstypen die standaard worden tegengehouden in het filter behoeft enige uitleg ter verduidelijking. Alvorens wijzigingen aan te brengen in de instellingen van deze bestandstypen raden wij u aan om eerst deze uitleg goed door te nemen.
De whitelist in de domein instellingen wordt genegeerd bij de behandeling van verboden bijlagen. De reden hiervoor is dat wanneer een afzender in uw whitelist wordt gehackt er een open kanaal ontstaat voor het versturen van virussen en trojans. Het heeft dus geen enkele zin om een adres toe te voegen aan de whitelist om een bijlage probleem op te lossen.
Het verboden bijlagen systeem vindt u onder uw domein instellingen. Het is een matrix met zeer veel opties, Een aantal van de opties wordt in dit document verduidelijkt.
Applicatie bestanden
Aanduiding in Onlinespamfilter Portal | Uitleg |
|---|---|
DOS applicaties met gewijzigde extensies | Dit zijn bijvoorbeeld .bat bestanden die ge-renamed zijn naar .bak |
Microsoft HTMLApplication | |
MSDOS Applicatie | |
Windows Class CLSID bestanden | Dit zijn bestanden waarvan de bestandsnaam de vorm heeft van een Windows Registry Key en zo kunnen worden gebruikt om het systeem te beinvloeden. De CLSID is a 128-bit hexadecimaal nummer binnen a paar van 'curly braces'. Zie ook: https://msdn.microsoft.com/en-us/library/windows/desktop/ms691424.aspx |
Embedded Microsoft application | |
Microsoft applicaties met gewijzigde extensies | Dit zijn bijvoorbeeld .com en .exe files die een andere naam hebben gekregen |
Microsoft Office Macro's
MS Office documenten met macro's worden veelvuldig misbruikt om bijvoorbeeld cryptolockers bij bedrijven naar binnen te krijgen. Ondanks de vele waarschuwingen die er bij de opening van zo'n document worden gegeven lijken gebruikers slecht in staat te beoordelen of er daadwerkelijk een gevaar schuilt. Bij een nieuw aangemaakt domein worden daarom de settings op de hoogst mogelijke veiligheidsniveau ingesteld: Blokkeer alle macro's. Dit is niet altijd gewenst. Onlinespamfilter kent 4 instellingen voor macro's:
Aanduiding in Onlinespamfilter Portal | Uitleg | Altijd Veilig | Momenteel veilig |
|---|---|---|---|
Microsoft Office macro's van voor 2007 (alle) | Blokkeert alle macros van voor 2007 | X |
|
Microsoft Office macro's van na 2007 (alle) | Blokkeert alle macros van na 2007 | X |
|
Microsoft Office macro's die uitvoeren bij inladen | Blokkeert macros die automatisch gaan werken bij het laden van het document |
| X |
Microsoft Office macro's met verdachte routines | Blokkeert macros die zichzelf kopieren of verdachte operaties uitvoeren op het bestandssysteem |
| X |
Standaard worden dus de bovenste twee opties ingeschakeld. Wanneer u vindt dat macros toch doorgestuurd moeten worden, kunt u kiezen voor de iets minder veilige optie in de 'Verboden Bijlagen' sectie voor uw domein. U zet dan de bovenste twee opties af en schakelt de onderste twee opties beide in. Dit laat normale macros door, maar houdt alle op dit moment bekende virussen en trojans buiten de deur.
Let op: Aangezien niet alle macros geblokkeerd worden is er geen garantie dat alle toekomstige malware vormen worden tegengehouden, dus u dient uw macro veiligheids-instellingen op de client PC's restrictief in te stellen!
Blokkeren op basis van extensie
De instellingen bevatten een lange lijst van mogelijke extensies. Per extensie kan worden besloten hoe deze te behandelen. Het blokkeren van de extensie ‘.com’ zal er bijvoorbeeld toe leiden dat alle bestanden eindigend op extensie ‘.com’ worden tegen gehouden.
Wanneer een extensie wordt geblokkeerd zal het systeem proberen ook alle bestanden van dat type (ook wanneer de extensie later is veranderd) tegen te houden. Zo kan het zijn dat een zip-bestand dat is hernoemd naar de extensie ‘.txt’ alsnog als zodanig wordt herkend.