Artikel-ID: 070520315

Mit iQ.Suite Wall können Formatierungs-Inhalte einer MIME-Mail auf Textmuster durchsucht und blockiert werden

Schlagwörter:  IBM Domino  Microsoft Exchange  Microsoft SMTP  SharePoint  Connections  Watchdog  FileSafe  Wall  Trailer  Crypt Pro  PDFCrypt  KeyManager  WebCrypt Pro  WebCrypt Live  Bridge

Problembeschreibung

Aufgrund einer Apple-Mail Schwachstelle (Ursprünglichen Meldung von ZecOps.
https://blog.zecops.com/vulnerabilities/unassisted-ios-attacks-via-mobilemail-maild-in-the-wild/) wurde nach einer Möglichkeit gesucht, Formatierungs-Inhalte einer MIME-Mail auf Textmuster zu durchsuchen und diese dann zu blockieren.

Wie ist dies mit der iQ.Suite realisierbar?

Lösung

Mit iQ.Suite Wall

Wall-Advanced-Job im Modus MIME-Analyse

Im Text-Analyse-Modus muss man keine Konvertierung auswählen. Jedoch werden immer implizit die MIME-Transport-Kodierungen dekodiert. Im MIME-Analyse-Modus bleiben die Transportkodierungen so, wie sie sind.

Mit dem „Unicode Analyzer for Regular Expressions“ kann man nach Zeilenumbrüchen mit der Syntax \r\n suchen. Es sollte dabei aber beachtet werden, dass im Domino-System die MIME-Parts etwas umformatiert werden können und die Zeilenumbrüche u.U. an anderen Stellen landen.

Ein Teilmuster aus der “Indicators of Compromise“-Tabelle von https://blog.zecops.com/vulnerabilities/youve-got-0-click-mail/ ist in der Tat häufig anzutreffen: „AAAAAAAA“ passt auf sechs Base64-kodierte Nullbytes. Solche Nullbyte-Sequenzen findet man sehr oft in Anhängen.

Bei regulären Ausdrücken kann man ein UND mit kleinen Einschränkungen umsetzen: Ein Muster der Form „Teilmuster1.*Teilmuster2“ passt, wenn Teilmuster2 nach Teilmuster 1 vorkommt („.*“ passt auf eine beliebig lange Sequenz aus beliebigen Zeichen). Wenn nicht klar ist, in welcher Reihenfolge die Teilmuster vorkommen müssen, kann man einen zweiten regulären Ausdruck mit umgedrehter Reihenfolge angeben: “Teilmuster2.*Teilmuster1“.

Weitere Information

Der Wall-Advanced-Job bietet nur die Möglichkeit, die komplette Mail (mit Headern, Body, Anhängen und sonstige Teile der Mail) auf MIME-Ebene zu analysieren.

Zuletzt aktualisiert am 07.05.2020


« vorheriger Artikel

Wie bewerten Sie diesen Artikel?

0/5 Sterne (0 Stimmen)
Mit iQ.Suite Wall können Formatierungs-Inhalte einer MIME-Mail auf Textmuster durchsucht und blockiert werden 0 5 0

Ihr Kommentar


Captcha

Zurück

Cookies erleichtern die Bereitstellung dieser Webseite. Mit der Nutzung dieser Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Mehr >>