MDaemon: Makros in Dokumenten erkennen via Cyren AV

In diesem Artikel zeigen wir Ihnen, wie Sie in der aktuellen Version 19.5.0 des Mail- und Groupware-Servers MDaemon Email Server die Erkennung von Makros in Dokumenten und die Heuristik-Stufe des Cyren AV-Plugins konfigurieren können. 

Es kommt immer häufiger vor, dass Cyberkriminelle versuchen, anhand von Makros in Microsoft-Office-Dateien Schadcode in Firmennetzwerken zu verteilen. Es handelt sich dabei oft um Spam oder Phishing-E-Mails, die die Benutzer dazu bringen sollen, dass sie die entsprechenden Anhänge öffnen und dadurch das Makro im Hintergrund ausgelöst wird. Schlimmstenfalls können einzelne Dateien oder ganze Systeme von aktueller Ransomware wie Emotet befallen werden.

Um auf diese Bedrohung zu reagieren, kann Cyren AV nun Dateianlagen als Virus kennzeichnen, falls diese Makros enthalten und damit die Gefahr durch schadhafte Makros minimieren. Zudem können Sie die Heuristik-Stufe des Plugins ändern, um das Verhalten des Plugins an Ihre Wünsche anzupassen. Dabei gibt es die Stufen -1 bis 5 (-1 steht für die automatische Voreinstellung, 0 deaktiviert die Heuristik und 5 bedeutet die höchste Heuristik-Stufe).

Sie finden die Optionen für die Aktivierung des Features und der Anpassung der Heuristikstufe unter Sicherheit → AntiVirus → Virenprüfung → KonfigurierenDort gibt es die Option "Dateianlagen als Viren kennzeichnen, falls sie Makros enthalten" und "Heuristik Stufe".



Nach der erfolgreichen Erkennung eines Makros innerhalb einer E-Mail erscheint im Protokoll des MDaemon folgendes:

Fri 2019-10-18 12:58:22.441: Passing message through AntiVirus (Size: 18822)...
Fri 2019-10-18 12:58:22.461: *  Nachricht geprüft durch (Cyren AV) - Nachricht ist infiziert mit Virus macro-detected
Fri 2019-10-18 12:58:22.461: ---- End AntiVirus results
Fri 2019-10-18 12:58:22.461: Message refused because it contains a virus
Fri 2019-10-18 12:58:22.461: --> 550 5.6.0 Sorry, virus detected within message
Fri 2019-10-18 12:58:22.472: <-- QUIT
Fri 2019-10-18 12:58:22.473: --> 221 2.0.0 See ya in cyberspace
Fri 2019-10-18 12:58:22.473: SMTP session terminated (Bytes in/out: 27046/4509)