Bei dem SoSafe Phishing-Meldebutton handelt es sich um ein Office Add-In, welches auf dem Exchange Server des Kunden installiert wird.


Das Add-In wird lokal (in Outlook bzw. bei Outlook-Web-Access im Browser oder in der mobilen Outlook App) ausgeführt. Nach Betätigung der Schaltfläche lädt das Add-In zunächst die Funktionslogik (JavaScript Code unter https://reporter.sosafe.de), überprüft anschließend die Gültigkeit der Lizenz mittels SoSafe Schnittstelle (API unter https://api.sosafe.de) und lädt kundenspezifische Einstellungen nach. 

Wenn eine aktive Lizenz vorliegt, öffnet sich ein Fenster, in dem die vom Exchange Server abgerufenen Header & Mail-Informationen aufbereitet angezeigt werden. 

Mit Hilfe der nun eingeblendeten grundlegenden Informationen (Betreff und Absender der verdächtigen Mail) kann man final entscheiden, ob man die entsprechende Mail tatsächlich melden möchte. Fährt man mit dem Meldeprozess fort, wird – je nachdem, ob es sich um eine simulierte Phishing-Mail oder eine „echte“ verdächtige Mail handelt – eine andere Logik ausgelöst.


Fall simulierte Mail

Handelt es sich bei der gemeldeten Mail um eine simulierte Phishing-Mail, wird ein positives Feedback angezeigt, dass die Mail korrekt erkannt wurde. Jede simulierte SoSafe Phishing-Mail enthält einen anonymen Zuordnungscode. Über diesen Code können die Mails sicher als SoSafe Mails identifiziert werden. Der Button übermittelt diesen anonymen Zuordnungscode an die SoSafe Auswertungs-API (https://api.sosafe.de), wenn er eine Mail überprüft. Aus dieser Meldung wird in der Auswertung dann die Kennzahl „Melderate“ errechnet. Nach erfolgter Meldung schließt sich das Fenster und die gemeldete Mail wird aus dem Postfach gelöscht oder verschoben (je nach Konfiguration).


Fall verdächtige Mail

Sollte die gemeldete Mail nicht von SoSafe stammen, erzeugt die Funktionslogik des Meldebuttons eine neue Mail auf dem Kunden-Mail-System (Exchange Server). Der Button lädt die einzelnen Bestandteile (Mail-Header, Mail-Body und Attachments) der verdächtigen Mail vom Exchange Server und hängt diese Elemente als Anhänge an die neue Mail an. (Es besteht auch die Möglichkeit die komplette Mail als eine einzelne .eml-Datei anzuhängen.) Diese neue Mail wird anschließend mittels Exchange REST API (alternativ über die auslaufende Exchange Webservices (EWS) API) an die hinterlegte SOC-Adresse des Kunden versendet. Mittels REST API wird dann die verdächtige Mail aus dem Postfach gelöscht.

Die gesamte Verarbeitung findet in der Domäne des Kunden statt. Die von Endnutzerinnen und -nutzern gemeldeten Mails werden nie an SoSafe geschickt.


Voraussetzungen

Ermitteln Sie, ob die zentrale Bereitstellung von Add-Ins für Ihre Organisation funktioniert: https://docs.microsoft.com/de-de/microsoft-365/admin/manage/centralized-deployment-of-add-ins?view=o365-worldwide


Es wird einer der folgenden Server benötigt:

  • Microsoft 365 for Business / Microsoft 365 for Education
  • Exchange Server 2016, Version 15.1.544.27 (CU3) oder neuer

Außerdem sollten Sie eine Manifestdatei im XML-Format von uns erhalten haben, welche Sie für die Installation benötigen werden. 


Der Meldebutton kann nach Abschluss der Installation in folgenden Mailprogrammen genutzt werden:

  • Microsoft 365 Outlook Web Access (OWA)
  • Outlook für Microsoft 365 MSO
  • Outlook 2016 für Windows (nur in der Click-to-Run Installation)
  • Outlook 2016 für Mac
  • Outlook für iOS
  • Outlook für Android

Es muss sichergestellt sein, dass vom Mailprogramm ein Zugriff auf folgende URLs möglich ist und nicht durch z.B. eine Firewall blockiert wird:

Installation

Hier finden Sie die Installationsanleitungen für den Phishing-Meldebutton: https://support.sosafe.de/de/support/solutions/folders/77000077684




1 Empfohlen: Beim Auftreten von unerwarteten Fehlern werden Systeminformationen und Fehler-Logs an SoSafe-Server gesendet. Damit werden Fehler frühzeitig erkannt und behoben.