Link-Schutz
Alle Funktionen des MailGuard Link-Schutzes: URL-Analyse, QR-Code-Erkennung, Click-Time-Recheck, Defanging und Tracking-Erkennung.
Link-Schutz (Link Protection)
Der Link-Schutz ist eines der mächtigsten Module in MailGuard. Er analysiert alle URLs in einer E-Mail — auch solche in QR-Codes — und kann sie in Echtzeit entschärfen, umschreiben oder blockieren.
Grundfunktionen
URL-Analyse
Jeder Link wird in Echtzeit geprüft:
- Redirect-Verfolgung: URLs werden bis zum Endziel aufgelöst. Konfigurierbar mit maximaler Hop-Anzahl (Standard: 5).
- Domain-Reputation: Die Zieldomain wird gegen Reputationsdatenbanken geprüft.
- URL-Shortener-Erkennung: Verkürzte URLs (bit.ly, t.co, etc.) werden als potenzielle Verschleierung erkannt.
- IP-Host-Erkennung: Links auf direkte IP-Adressen (statt Domains) werden markiert.
- Display-Target-Mismatch: Erkennt, wenn der angezeigte Linktext eine andere URL enthält als das tatsächliche Linkziel (z.B. Text zeigt
paypal.com, Link führt zuevil-site.com).
Login-Seiten-Erkennung
MailGuard erkennt Credential-Harvesting-Seiten — also gefälschte Login-Formulare, die Zugangsdaten abgreifen wollen. Diese werden automatisch als verdächtig eingestuft.
Aktionen bei verdächtigen Links
| Aktion | Beschreibung |
|---|---|
| Score erhöhen | Spam-Score wird um den konfigurierten Delta-Wert erhöht |
| Defanging | Links werden entschärft (verschiedene Modi verfügbar) |
| Quarantäne | E-Mail wird in Quarantäne verschoben |
| Blockieren | E-Mail wird blockiert |
Defanging-Modi
Wenn Defanging als Aktion gewählt wird, stehen drei Hauptmodi zur Verfügung:
| Modus | Beschreibung | Beispiel |
|---|---|---|
| Rewrite | Links werden durch einen Conbool-Proxy umgeschrieben (für Click-Time-Recheck) | https://proxy.conbool.com/?url=... |
| Redact | URL wird durch einen benutzerdefinierten Text ersetzt | [Link entfernt - verdächtig] |
| Style | Links werden mit konfigurierbaren Stilen entschärft (siehe unten) | Kombination mehrerer Methoden |
Defanging-Stile (Modus „Style")
| Stil | Beschreibung | Beispiel |
|---|---|---|
| hxxp-Ersetzung | http:// wird zu hxxp:// | hxxp://example.com/link |
| Klammer-Umschließung | URL wird in eckige Klammern gesetzt | [http://example.com/link] |
| href-Entfernung | Der klickbare Link wird entfernt, die URL bleibt als Text | URL ist nicht mehr anklickbar |
Diese Stile können kombiniert werden. Sie können auch unterschiedliche Modi für verdächtige und nicht-verdächtige Links konfigurieren.
Erweiterte Funktionen
Click-Time-Recheck
Wenn aktiviert, werden Links nicht nur beim Empfang geprüft, sondern auch beim Klick durch den Empfänger. Dazu wird die URL durch einen Conbool-Proxy umgeschrieben:
- E-Mail kommt an → Link wird geprüft und als sicher eingestuft.
- Link wird mit Conbool-Proxy-URL umgeschrieben.
- Empfänger klickt den Link → Conbool prüft die URL erneut in Echtzeit.
- Wenn die URL zwischen Empfang und Klick bösartig geworden ist, wird der Zugriff blockiert.
Das ist besonders wichtig, weil Angreifer Links oft erst Stunden nach dem Versand einer Phishing-Kampagne aktivieren (sog. "Delayed Phishing").
QR-Code-Erkennung
MailGuard extrahiert URLs aus QR-Codes in E-Mail-Anhängen und Bildern:
| Einstellung | Beschreibung |
|---|---|
| QR-URL-Extraktion | URLs aus QR-Codes werden extrahiert und wie normale Links geprüft |
| QR-Defanging | QR-Codes mit verdächtigen URLs werden entschärft (unkenntlich gemacht) |
QR-Code-basiertes Phishing ("Quishing") ist eine zunehmende Bedrohung, da QR-Codes von vielen traditionellen Spamfiltern nicht erkannt werden.
Tracking-Parameter
MailGuard kann Tracking-Parameter in URLs erkennen und optional entfernen:
| Einstellung | Beschreibung |
|---|---|
| Tracking-Erkennung | Erkennt bekannte Tracking-Parameter (utm_source, fbclid, etc.) |
| Tracking-Entfernung | Entfernt erkannte Tracking-Parameter aus URLs |
| Benutzerdefinierte Patterns | Eigene Regex-Muster für Tracking-Parameter |
Unsubscribe-Links
MailGuard respektiert standardmäßig Abmelde-Links (List-Unsubscribe-Header). Diese werden nicht entschärft oder blockiert, um die E-Mail-Compliance zu gewährleisten.
Domain-Regeln
Sie können Domain-basierte Ausnahmen konfigurieren:
| Regeltyp | Beschreibung |
|---|---|
| Erlaubte Domains | Links zu diesen Domains werden nie entschärft |
| Blockierte Domains | Links zu diesen Domains werden immer blockiert |
Jede Regel hat eine Position zur Priorisierung.
Konfigurationsbeispiel
Eine typische Link-Schutz-Konfiguration für ein Unternehmen:
- Link-Schutz: Aktiviert
- Aktion bei verdächtigen Links: Score +10
- Redirect-Verfolgung: Aktiviert, max. 5 Hops
- Domain-Reputation: Aktiviert
- Login-Seiten-Erkennung: Aktiviert
- Click-Time-Recheck: Aktiviert
- QR-Code-Extraktion: Aktiviert
- QR-Defanging: Aktiviert
- URL-Shortener-Erkennung: Aktiviert
- Erlaubte Domains:
microsoft.com,google.com, eigene Domains
Erforderliche Berechtigungen
- Anzeigen: Owner, Operator, Analyst, Auditor
- Konfigurieren: Owner, Operator
Siehe auch
- Richtlinien – Link-Schutz-Einstellungen über Richtlinien gezielt anwenden.
- Funktionsübersicht – Alle MailGuard-Module im Überblick.