Phishing-Meldebutton - Allgemeine Informationen
Der Phishing-Meldebutton ist ein Office Add-In, das auf Ihrem Exchange-Server installiert und dann lokal ausgeführt wird. Damit läuft die Software direkt in Outlook, in der Outlook-App auf Smartphones bzw. bei Outlook Web Access im Browser. Der Zweck des Buttons ist es, Nutzenden die Möglichkeit zu geben, eine fundierte Entscheidung bezüglich der Sicherheit empfangener E-Mails zu treffen und verdächtige E-Mails zu melden, um Ihre Organisation zu schützen.
So funktioniert die Verwendung aus technischer Sicht:
Wenn Sie den Button öffnen, wird der nötige JavaScript-Code von der SoSafe-Schnittstelle heruntergeladen (die API ist unter https://reporter.sosafe.dezu erreichen).
Wenn eine aktive SoSafe-Lizenz vorliegt, öffnet sich ein neues Dialogfenster.
Hier werden Informationen zum Header der E-Mail angezeigt. Der Header wird direkt vom Exchange-Server abgerufen und enthält Informationen wie den Betreff und den Absender. Außerdem werden Informationen zum Inhalt der E-Mail und zu möglichen Anhängen angezeigt.
Mithilfe dieser Informationen können Sie nun entscheiden, ob Sie die Mail melden wollen.
Wenn Sie sich entscheiden, die E-Mail zu melden, hängt der restliche Meldeprozess davon ab, ob es sich um einen simulierten Phishing-Versuch handelt oder um eine “echte” verdächtige E-Mail.
Simulierte E-Mail
Wenn Sie eine E-Mail melden, die Teil des Phishing-Trainings ist, bekommen Sie direkt positives Feedback, dass Sie die E-Mail korrekt identifiziert haben. Jede simulierte E-Mail hat einen einzigartigen und anonymen Zuordnungscode, der die E-Mail SoSafe zuordnet. Wenn sie mit dem Button eine E-Mail melden, wird dieser Code an die API von SoSafe (https://api.sosafe.de) geschickt. So kann nicht nur die Authentizität der E-Mail überprüft werden - auch die Melderate in den Analytics im SoSafe Manager kann so berechnet werden. Nach dem Melden einer solchen E-Mail schließt sich das Fenster des Buttons und die E-Mail wird automatisch aus Ihrem Posteingang entfernt.
Verdächtige E-Mail
Falls die gemeldete E-Mail nicht von SoSafe verschickt wurde, wird ein anderes Vorgehen ausgelöst. Der Button erstellt auf dem Exchange-Server eine neue E-Mail, die den Inhalt der verdächtigen E-Mail (Header, Body und Anhänge) als Anhänge enthält. Diese Informationen werden dann an Ihr SOC-Team verschickt. Dies geschieht mithilfe der Exchange GraphAPI, der REST API (von Microsoft mittlerweile als veraltet designiert) oder über EWS. Nach dem Melden wird die verdächtige E-Mail in Ihrem Posteingang über die jeweilige API gelöscht.
Die gesamte Verarbeitung findet in Ihrer Domäne statt. Die gemeldeten E-Mails werden zu keinem Zeitpunkt an SoSafe geschickt!
Weitere Details
Die folgenden Umgebungen werden unterstützt:
Microsoft 365 for Business / Microsoft 365 for Education
Exchange Server 2016, Version 15.1.544.27 (CU3) oder neuer
Außerdem sollten Sie eine Manifestdatei im XML-Format von uns erhalten haben, welche Sie für die Installation benötigen werden (sosafe-manifest.xml).
Der Phishing-Meldebutton kann in den folgenden E-Mailprogrammen genutzt werden:
Microsoft 365 Outlook Web Access (OWA)
Outlook for Office MSO
Outlook 2016 für Windows
Outlook 2016 für Mac
Outlook für iOS
Outlook für Android
Es muss sichergestellt sein, dass vom Mailprogramm ein Zugriff auf folgende URLs möglich ist und nicht durch z.B. eine Firewall blockiert wird:
https://sentry.sosafe.de 1
1 Diese URL ist empfohlen: Beim Auftreten von unerwarteten Fehlern werden Systeminformationen und Fehler-Logs an SoSafe-Server gesendet. Damit werden Fehler frühzeitig erkannt und behoben.