Limiet aan versturen e-mails kan virusverspreiding vertragen
Door het beperken van het aantal e-mails dat een PC kan versturen, kan men een virusverspreiding vertragen, zo hebben onderzoekers van Hewlett Packard ontdekt. Door deze vertragingstechniek toe te passen verspreiden virussen zich langzaam genoeg zodat technici het gevaar kunnen elimineren. Virusschrijvers zouden met een antwoord kunnen komen door een virus te schrijven dat zich langzamer verspreidt, maar dat zou de technici weer genoeg tijd geven om het virus te identificeren en op te lossen
Bron: VNUnet
Goed idee. Helaas voor de virusschrijvers de achrilleshiel voor het verspreiden van deze digitale rotzooi.
De achilleshiel is als mensen geen windows meer gaan gebruiken.
De achilleshiel is als mensen geen windows meer gaan gebruiken.
Dit is natuurlijk geen optie... Je kan dan beter zeggen dat mensen maar geen Outlook moeten gebruiken. (Ik wil ook niet zeggen dat Windows een wereld product is)
In de client ? Je hebt toch geen client nodig om mail te versturen ?
Of in de mail server ? mailservers genoeg, en als ze op basis van IP-adressen gaan blocken denk ik dat bedrijven met veel mailende werknemers hierdoor een probleem gaan krijgen.
..
En is 1 (een) email met een kilometer of wat aan BCC: dan wel toegestaan ?
Er gaat dan immers maar 1 (een) bericht naar de MTA, die vervolgens braafjes alle mail doorspuugt.
Als ze nou eens kijken naar de oorzaak van virussen (ms ie, ms windows en ms outlook) er daarvoor een oplossing vinden!
Daarbij moet je eens een mailtje sturen aan everyone@<willekeurig_bedrijf> en verbaas je erover hoeveel mailservers van bedrijven met een eigen mailserver dit adres kennen en alles forwarden naar alle postbussen op die server.
Veel van die servers hebben dan wel een virusscanner maar een nieuw virus heeft een grote kans van slagen op dit soort adressen.
Met het weigeren van pure HTML mailtjes en het renamen van uitvoerbare atachements door mailservers kom je al een heel eind. De meest onzekere factor in de verspreiding van virussen blijven toch de ontvangers die klakkeloos elk attachment openen.
Frans E.
Niet echt een oplossing. Enkele virussen hebben tegenwoordig zelf al een end2end smtp module ingebakken die de mail rechtstreeks op de mailserver van de geadreseerde aflevert.
Als je er nu voor zorgt, dat de router(s) op poort 25 naar buiten dichtzitten voor clients, en alleen de mailserver doorlaat.
Vervolgens gooi je in de mailserver een block voor e-mail met het .scr en .vbs extensie (inkomend en uitgaand). Je stelt een maximaal aantal MB of aantal e-mails voor het verzenden van een gebruiker in.
Ook zorg je ervoor dat je mailserver altijd up to date is (al dan niet automatisch) van virusscanner die de e-mail doorneemt.
Hoever zit je dan dicht?
Als je er nu voor zorgt, dat de router(s) op poort 25 naar buiten dichtzitten voor clients, en alleen de mailserver doorlaat.
Vervolgens gooi je in de mailserver een block voor e-mail met het .scr en .vbs extensie (inkomend en uitgaand). Je stelt een maximaal aantal MB of aantal e-mails voor het verzenden van een gebruiker in.
Ook zorg je ervoor dat je mailserver altijd up to date is (al dan niet automatisch) van virusscanner die de e-mail doorneemt.
Hoever zit je dan dicht?
Nog niet.
De uitgaande (source) poort kan tussen 1 en 65535 liggen.
Zoals ik al zei hebben steeds meer virussen een end2end smtp mudule waardoor het versturen niet meer via de eigen mailserver gaat maar het virus zelf als smtp server werkt en direct contact opneemt met de mailserver die genoemd in het MX record van de geadresseerde.
Zelfs het up2date houden van je antivirus mailscanner is geen garantie dat er geen nieuw of zelfs bekend virus doorglipt.
Zelf draai ik SMTP netshield van McAfee op de mailservers en daar valt het me op dat een bepaalde uitvoering van BugBear in een mail volgens het mime exploit wel door wordt gelaten en pas wordt herkend door de scanners op de PC van de ontvanger zodra hij als executable code op de disk wordt opgeslagen.
Frans E.
Nu ben ik niet helemaal thuis in routers, maar staat in het TCP/IP protocol niet in de header de (destination) port? Dit zou kunnen betekenen dat hierop gefilterd kan worden, samen met de source IP. Zodoende kan voor een groot gedeelte de router voor een blokkering van verzenden zorgen.. Toch??
Wat betreft het up2date houden van de virusscan ben ik het met je eens, maar je kunt het wel proberen voor 99,9% dicht te krijgen..
Het is correct dat de destination port wordt meegezonden en dat je daar op kunt filteren zodat rechtstreekse verzending van mail kan worden geblokkeerd.
Zo is het tevens mogelijk voor een specifiek adres (MTA) aan te geven dat deze als enige wèl (gecentraliseerd) mail naar buiten mag verzenden zodat je alle contrôle houdt op alle mailverkeer binnen het lokale netwerk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
