Die DHBW Ravensburg nutzt die Dienste der Fa. HornetSecurity, um SPAM, Phishing, Viren und Ähnliches möglichst aus der Inbox unserer Mail-User fernzuhalten.

Der sichtbare Hauptunterschied zum bisher genutzten Filterdienst des BelWü sind die regelmäßigen Quarantäne-Berichte von HornetSecurity.
Der Filterdienst des BelWü konnte verdächtige oder als schädlich erkannte Mails "nur" abweisen und den Absender hierüber informieren, eine Zwischenlagerung von Mails bis zur Klärung des Status war nicht möglich.
Hornet bietet nun diese Möglichkeit der "Mail-Quarantäne" und erlaubt es damit dem Empfänger, in gewissen Grenzen, das Filtersystem den eigenen Bedürfnissen anzupassen.

Der Absender der Quarantäne-Mails lautet "Hornetsecurity DHBW <mailadmin@dhbw.de>", der Betreff "[Extern] Quarantäne-Bericht vom $Datum $Uhrzeit für $Benutzer@dhbw-ravensburg.de"

Die Mail beinhaltet eine Liste der seit der letzten Benachrichtigung in Quarantäne genommenen Mails mit dem Grund der Zurückhaltung, sowie den Optionen zur "Vorschau", "Zustellung" der betroffenen Mail und "Whitelistung" des betreffenden Absenders.

Im obigen Beispiel handelt es sich um eine als "SPAM" klassifizierte Werbemail für Stellen an diversen europäischen Hochschulen.

Vorschau: Zeigt eine Vorschau der Mail ohne aktive Inhalte im Browser an.

Zustellen: Gibt diese Mail frei und veranlasst die Zustellung in die Inbox des Mailsystems.

Absender whitelisten: Erklärt diesen Absender für Ihre Mailbox als vertrauenswürdig, d.h. Mails dieses Absenders werden für Ihre Inbox zukünftig nicht mehr als SPAM klassifiziert.

Wichtig hierbei: die Filterung von "SPAM" und Bedrohungen wie "Phishing", "Viren", "Trojanern" und Ähnlichem läuft getrennt voneinander ab. Dies bedeutet, dass ein Virus von einem "vertrauenswürdigen" Absender künftig immer noch als "Virus" erkannt und entsprechend behandelt wird (im Rahmen der Erkennungsgenauigkeit für Viren).

HornetSecurity versucht, Links in Mails zu folgen, um beurteilen zu können, ob diese eine Bedrohung darstellen,
also z.B. zu einem Download von "Viren", "Trojanern" oder anderen schädlichen Inhalten führen.

Dies kann insbesondere in folgenden Fällen zu Problemen führen:

• Mails mit einem zeitlich nur beschränkt gültigem Link, z.B. für eine Zwei-Faktor-Authentifizierung;
• Mails mit einem einmaligen Link oder z.B. für einen Passwort-Reset. (Einmalige Links ermöglichen den sicheren Austausch vertraulicher Daten (kodierte Passwörter, Dateien), da sie sich nach dem Aufruf selbst zerstören.)

Sollten hier bei Ihnen Probleme auftreten, wenden Sie sich bitte an unseren Helpdesk servicedesk@dhbw-ravensburg.de, damit ggf. für den Absender eine Ausnahme vom Sandboxing eingetragen werden kann.

Aktive Inhalte in Dokumenten und durch den Virenscanner nicht kontrollierbare Container – zum Beispiel in Form von Dateianhängen – wurden in der Vergangenheit gerne als Einfallstor für Viren, Trojaner und Ähnliches genutzt. Der aktuelle Filtermechanismus von HornetSecurity betrachtet solche Inhalte als potentiell schädlich und filtert diese aus (Anhänge werden durch einen entsprechenden, erklärenden Text ersetzt).

Ist ein Austausch solcher Inhalte unabdingbar, kann hierfür z.B. der bwSync&Share-Dienst genutzt werden.
Seien Sie sich hierbei aber immer bewusst, dass Sie aktiv ein Sicherheitssystem der DHBW umgehen!

Ausführbare Programme (.exe, .bat, etc.) werden von HornetSecurity immer ausgefiltert.

Office-Dokumente in den historischen Formaten, welche potentiell aktiven Inhalte enthalten können, werden von HornetSecurity grundsätzlich ausgefiltert, insbesondere also:

• .doc
• .xls
• .ppt

Bei Microsoft-Office-Dokumenten bitte auf die aktuellen Versionen (.docx, .xlsx, .pptx etc.) ausweichen.

Verschlüsselte Container, die sich dem Virenscanner entziehen, werden ausgefiltert.
Dies betrifft z.B. folgende Dateiformate:

• .zip (passwortgeschützte ZIP-Datei)
• .pdf (PDF-Datei mit Kennwort)

Normale PDFs werden direkt gescannt. HornetSecurity analysiert hierbei eingebettete URLs (URL Scanning) und führt verdächtige Skripte in der Sandbox (Advanced Threat Protection) aus.

Kennwortgeschützte PDFs werden, da der Filter den Inhalt nicht ohne Schlüssel lesen kann, technisch wie ein passwortgeschütztes ZIP-Archiv behandelt.

Hier, in begründbaren Einzelfällen, bitte ggf. auf z.B. bwSync&Share ausweichen.