Sandboxing, lohnt sich das?

Carsten Rosenberg cr at ncxs.de
Mi Jan 11 19:09:40 CET 2023 

Hallo Frank,

On 09.01.23 22:01, Frank Fiene via Postfixbuch-users wrote:
> Kurze Frage:
> 
> Wenn man File-Extensions blockt (Office-Makro-Dateien, - Templates, exe, etc) und verschlüsselte Anhänge ebenfalls und man die noch durchkommenden Office-Dokumente durch oletools jagt, bringt dann eigentlich ein Sandboxing noch etwas?
> 
> Im Moment wollen mir alle irgendwelche Mailsecurity-Lösungen andrehen (FortiMail, CISCO Secure Email Threat Defense etc), die eigentlich genau dasselbe machen, wie ein Postfix-Server mit rspamd, diversen RBLs, URIBLs und Virenscannern.
> Das einzige was fehlen würde, wäre Sandboxing.

Die Frage ist welches Sicherheitsniveau du abbilden möchtest. Sandboxing 
kann gefährliche Anhänge entdecken, die eben nicht vom Anti-Virus oder 
einer Skript-Analyse wie Oletools entdeckt wurde.

Den Aufwand, auch der kommerziellen Lösungen, sollte man aber nicht 
unterschätzen. Es muss genau deine Umgebung abbilden. Eine ungepatchte 
Adobe Reader Version bei dir reagiert vielleicht ganz anders als die 
aktuellste Version.

Meiner Erfahrung nach findet ein Sandboxing hinter einem guten Rspamd + 
Extras so gut wie nix für ihr Geld/Ressourcenverbrauch, kann aber eben 
im entscheidenden Moment den Unterschied ausmachen.

Du kannst Sandboxing auch mit Open Source machen wenn du den initialen 
Aufwand nicht scheust. (Bei den kommerziellen müsste man den Aufwand 
eigentlich genauso betreiben -  was sagen die dazu?)
Ich habe die Idee damals mal in diesem Vortrag skizziert:

https://chemnitzer.linux-tage.de/2021/de/programm/beitrag/209

Mittlerweile haben wir die Lösung, leicht architektonisch abgewandelt, 
mit den Jungs von PeekabooAV umgesetzt und es läuft produktiv bei einem 
ersten Kunden.

Leider fehlen hier noch ein paar Aufräumarbeiten um das Projekt einmal 
konkret bewerben.

Aber wir haben Pre-Queue Sandboxing mit einer sehr flexiblen 
Infrastruktur implementiert, in die in Zukunft noch einige extra Tools 
integriert werden können und sollten :)

Wenn hier Interesse besteht, breite ich das gern nochmal detailierter aus.


Viele Grüße

Carsten

Mehr Informationen über die Mailingliste Postfixbuch-users