Phishing-Meldebutton - Allgemeine Informationen
Der Phishing-Meldebutton ist ein Office Add-In, das auf Ihrem Exchange-Server installiert und dann lokal ausgeführt wird. Damit läuft die Software direkt in Outlook, in der Outlook-App auf Smartphones bzw. bei Outlook Web Access im Browser. Der Zweck des Buttons ist es, Nutzenden die Möglichkeit zu geben, eine fundierte Entscheidung bezüglich der Sicherheit empfangener E-Mails zu treffen und verdächtige E-Mails zu melden, um Ihre Organisation zu schützen.
So funktioniert die Verwendung aus technischer Sicht:
Wenn Sie den Button öffnen, wird der nötige JavaScript-Code von der SoSafe-Schnittstelle heruntergeladen (die API ist unter https://reporter.sosafe.de zu erreichen).
Wenn eine aktive SoSafe-Lizenz vorliegt, öffnet sich ein neues Dialogfenster.
Hier werden Informationen zum Header der E-Mail angezeigt. Der Header wird direkt vom Exchange-Server abgerufen und enthält Informationen wie den Betreff und den Absender. Außerdem werden Informationen zum Inhalt der E-Mail und zu möglichen Anhängen angezeigt.
Mithilfe dieser Informationen können Sie nun entscheiden, ob Sie die Mail melden wollen.
Wenn Sie sich entscheiden, die E-Mail zu melden, hängt der restliche Meldeprozess davon ab, ob es sich um einen simulierten Phishing-Versuch handelt oder um eine “echte” verdächtige E-Mail.
Simulierte E-Mail
Wenn Sie eine E-Mail melden, die Teil des Phishing-Trainings ist, bekommen Sie direkt positives Feedback, dass Sie die E-Mail korrekt identifiziert haben. Jede simulierte E-Mail hat einen einzigartigen und anonymen Zuordnungscode, der die E-Mail SoSafe zuordnet. Wenn sie mit dem Button eine E-Mail melden, wird dieser Code an die API von SoSafe (https://api.sosafe.de) geschickt. So kann nicht nur die Authentizität der E-Mail überprüft werden - auch die Melderate in den Analytics im SoSafe Manager kann so berechnet werden. Nach dem Melden einer solchen E-Mail schließt sich das Fenster des Buttons und die E-Mail wird automatisch aus Ihrem Posteingang entfernt.
Verdächtige E-Mail
Falls die gemeldete E-Mail nicht von SoSafe verschickt wurde, wird ein anderes Vorgehen ausgelöst. Der Button erstellt auf dem Exchange-Server eine neue E-Mail, die den Inhalt der verdächtigen E-Mail (Header, Body und Anhänge) als Anhänge enthält. Diese Informationen werden dann an Ihr SOC-Team verschickt. Dies geschieht mithilfe der Exchange GraphAPI, der REST API (von Microsoft mittlerweile als veraltet designiert) oder über EWS. Nach dem Melden wird die verdächtige E-Mail in Ihrem Posteingang über die jeweilige API gelöscht.
Die gesamte Verarbeitung findet in Ihrer Domäne statt. Die gemeldeten E-Mails werden zu keinem Zeitpunkt an SoSafe geschickt!
Weitere Details
Die vom Button unterstützten Exchange Server Versionen als auch Outlook Versionen finden Sie in der Kompatibilitätsmatrix.
Zur Installation des Buttons benötigen Sie eine Manifestdatei (XML Format). Dieses können Sie im SoSafe Manager herunterladen.
Klicken Sie linker Hand auf “Phishing-Meldebutton → Microsoft-Integrationen”
Unter der Überschrift “Phishing-Meldebutton Manifest” laden Sie die passende Datei für Ihre Umgebung herunter.
Wenn Ihr Exchange Server eine Verbindung zum Internet hat, können Sie die Manifestdatei auch über eine URL in Ihrem Server laden.
Die Installationsanleitungen des Buttons finden Sie hier.
Um die volle Funktionalität des Buttons sicherzustellen, muss vom Mailprogramm ein Zugriff auf folgende URLs möglich sein. Diese dürfen nicht durch z.B. eine Firewall blockiert werden:
https://sentry.sosafe.de 1
1 Diese URL ist empfohlen: Beim Auftreten von unerwarteten Fehlern werden Systeminformationen und Fehler-Logs an SoSafe-Server gesendet. Damit werden Fehler frühzeitig erkannt und behoben.