Exchange Online Safe Attachment - Malware Test

Hallo zusammen,

Wie man Office 365 Defender for Office 365 (Damals hiess das noch "Office 365 ATP") einrichtet, habe ich schon mal gebloggt.

Was jedoch passiert, wenn ein Dokument von Safe Attachment als Malware erkannt wird, habe ich damals nicht ausprobiert.

Um das zu testen habe ich ein Word Dokument mit Makro erstellt, welches beim öffnen das Eicar (Anti Malware Testfile) File herunterlädt. Ein klassischer Fall, bei dem das Attachment keine Malware selbst enthält, sondern diese zur Laufzeit nachlädt.

Das Word Macro habe ich dann mit PowerShell über Send-MailMessage versendet.

Der Anwender erhält dank "Dynamic Delivery" das Mail sofort, während das Attachment noch von Safe Attachment in einer Sandbox geprüft wird.

In der Vorschau des Attachment sieht man genau das

Es hat fast fünfzehn Minuten gedauert, bis das Attachment gescannt war. Danach wurde die Mail in den Junk-E-Mail Folder verschoben. 

Im Junk-E-Mail Folder können die Links nicht angeklickt werden und auch die Attachments nicht geöffnet werden.

Ich habe das Mail deshalb in den Posteingang verschoben und hier sieht man, dass das Attachment geblockt ist

In der Vorschau des Attachment sieht man, was da erkannt wurde

Als Exchange Administrator sieht man das geblockte Mail auch in der Quarantäne

Und kann es dort auch freigeben

In dem Fall wird aber kein neues Mail ausgeliefert, sondern einfach das Attachment an das bestehende Mail gehängt. Falls die Mail noch im Junk-E-Mail Folder ist, muss man es erst in den Posteingang verschieben um das Attachment zu öffnen.

Fazit: Ich finde das ganze sehr gelungen umgesetzt. Es sind viele Schutzmassnahmen bereits in Outlook und Exchange Online Protection eingebaut, um die Benutzer vor Malware zu schützen. Und auch die Admin Controls, sowie die Benutzerfreundlichkeit lassen nicht zu wünschen übrig.