Alles geht in die Quarantäne.
Dazu hatte ich dir ja auch bereits mehrfach geraten es nicht zu tun. Schau dir mal diese Links an:
-
https://ap-verlag.de/spam-und-quarantaene-order-sind-rechtliche-zeitbomben/82495/
-
https://www.msxfaq.de/spam/quarantaene.htm
Was kommuniziert ihr das an die Mitarbeiter / Geschäftsführung?
Der Wunsch oder die Notwendigkeit einer solchen Lösung ergibt sich in der Regel ja aus technischen oder betrieblichen Anforderungen. Wenn also die GF nun bereits den Wunsch nach einer solchen Lösung geäußert hat, musst du die ja nicht mehr abholen. Wenn es eine technische Anforderung ist, sollte der BL / AL / RGL etc. ja im Bilde sein und die nötigen Ressourcen / Budgets von der GF einholen bzw. freigeben.
Bei der Kommunikation der Mitarbeiter ist immer die Frage worum genau du dir Gedanken machst? Rein um die technische Implementierung würde ich diese gar nicht abholen, allenfalls sollte man eine HA oder ähnliches erstellen und die MA zumindest bezogen auf die Quarantäne mitnehmen und wie man das bedient. Es sollte dann auch in der HA geregelt sein, wer was wohin melden muss, falls was hängen geblieben ist. Da du mit der Quarantäne dir einige rechtliche Schwierigkeiten einfängst, solltest du hier ggf. auch die Interessenvertretung über die Maßnahme informieren. E-Mails in der Quarantäne sind in der Regel von jedem einsehbar, daher wird der Datenschutz hierbei sicherlich ein gesondertes Interesse haben.
Wie ist euere Vorgehensweise bei der Einführung vom PMG in einer Firma?
Zuerst mal solltest du sicherstellen, dass dir bekannt ist, welche Systeme E-Mails wohin versenden. Heißt also, dass du erst mal das gesamte Netzwerk dahingehend prüfen musst. Bedenke auch, dass du alle Domains betrachten solltest und dafür ggf. eigenständige Transports in PMG definieren musst. Gibt es entsprechende Empfänger die ggf. auf TLS forciert wurden? Sobald du diese Aufstellung hast, musst du dir ggf. Gedanken über den Aufbau des Netzwerk oder der Firewall regeln machen. Der PMG kann ja sowohl die E-Mails empfangen als auch als Smarthost versenden. Der PMG sollte daher meiner Ansicht nach immer an der Netzgrenze stehen.
Du solltest hier aber auch weitere mögliche Anforderungen aus allen perspektiven einholen, möchtest du z.B. bestimmte Anhänge blockieren (.exe oder .bat Files), soll es einen Hinweis geben wenn die E-Mail von extern kommt, gibt es vielleicht gewisse Postfächer die nur zu bestimmten Uhrzeiten eine E-Mail erhalten sollen?
Konzeptionell betrachtet sollte der PMG Cluster die einzigen Systeme sein, welche E-Mails versenden oder empfangen dürfen. Sollte es Systeme geben welche ebenfalls direkt E-Mails empfangen könnten, sollte hier auch im Konzept bedacht sein, dass die Annahme nach einer Übergangsphase abgestellt wird, so dass eine Einlieferung nur noch über den PMG erfolgen kann und darf.
Erst mal ist es wichtig, dass du die Grundinfrastruktur optimal aufbaust, also die Funktion des PMG Clusters etc. sollte gewährleistet sein (kannst du ja z. B. mit Swaks prüfen indem du E-Mails gezielt über die Server verschickst). Du solltest an alle Arten von DNS Records denken, also MX, PTR, SPF, DMARC und DKIM. Die PMG sollten auch per IPv4 und IPv6 erreichbar sein.
Wenn du das alles berücksichtigt hast, sollten die PMGs erst mal möglichst transparent rein, also noch keine größeren Block Rules definieren oder auf einzelnen Server den Emfpang von E-Mails einschränken. Du prüfst dann erst mal nach und nach welche E-Mails da so durchkommen und versucht diese einzufangen und abzuwehren. Du definierst also z. B. eigene Regeln oder stellst die DNSBL etwas um bzw. richtest diese ein.
Aus meiner Sicht ist es aber wichtig, dass du Regeln möglichst allgemein verfasst und so die Verwendung von Block- und Welcomelists auf ein Minimum reduzierst. Meiner Auffassung nach ist das auf die Welcomeliste setzen nur dann nötig, wenn sich jemand nicht an Standards hält. Wenn er also z. B. schlecht formatierte E-Mails verschickt, die wenig Inhalt haben, der Betreff fehlt oder er aber keinen richtigen PTR Record hat etc. pp. Ansonsten ist das eigentlich nie nötig.
Ich habe z.B. die Support E-Mail-Adressen des Rechenzentrum auf der Whitelist, das ist damit begründet, dass wir Abuse E-Mails darüber erhalten - ist natürlich schlecht, wenn diesen icht ankommen. Dann stehen einige interne kryptische Absender auf der Whitelist damit uns speziellere Systeme E-Mails zu Fehlern etc. zukommen lassen können. Dann unser Steuerberater (der ja dank unserer Blockierung von Microsoft auch davon betroffen wäre) und ansonsten stehen nur die von uns exklusiv genutzten IP Netze auf der Whitelist (falls doch mal irgendwas irgendwo ist was wir nicht auf dem Schirm hatten).
Wie / wann schaltet Ihr die Regel auf blockieren?
Das hängt von deinem Empfinden ab und was du dir erlauben kannst. Ich bin ja durchaus ein Freund davon erst mal alles zu blockieren und dann zu erlauben. Ansonsten musst du etwas differenzieren, du legst verschiedene Filterlisten an, welche auf bestimmte weitere Objects referenzieren (z.B. Who oder What Objects). Wenn du also nun eine Filterregel für das Whitelisten erstellt hast, welche auf Prio 100 steht und du fügst in dem Who oder What Object eine weitere Domain ein, ist diese direkt aktiv. Es gibt also hier potenziell keine Möglichkeit einzelne Regeln sukzessive scharfzuschalten, wenn du das brauchst musst du diese nach und nach anlegen.
