Bei dem SoSafe Phishing-Melde-Button handelt es sich um ein Office Add-In, welches auf dem Exchange Server des Kunden installiert wird.

Das Add-In wird lokal (in Outlook bzw. im Browser bei Outlook-Web-Access oder der mobilen Outlook App) ausgeführt. Nach Betätigung der Schaltfläche durch den Nutzer lädt das Add-In zunächst die Funktionslogik (JavaScript Code unter https://reporter.sosafe.de), überprüft anschließend die Gültigkeit der Lizenz mittels SoSafe Schnittstelle (API unter https://api.sosafe.de) und lädt kundenspezifische Einstellungen nach. Wenn eine aktive Lizenz vorliegt, öffnet sich ein Fenster für den Nutzer in dem, die vom Exchange Server abgerufenen Header & Mail-Informationen, aufbereitet angezeigt werden. 

Der Nutzer kann anschließend mit Hilfe der nun eingeblendeten grundlegenden Informationen (Betreff und Absender der verdächtigen Mail) final entscheiden, ob er die entsprechende E-Mail tatsächlich melden möchte. Fährt der Nutzer mit dem Meldeprozess fort, wird – je nachdem ob es sich um eine simulierte SoSafe Phishing-Mail oder eine „echte“ verdächtige E-Mail handelt – eine andere Logik ausgelöst.

Fall Simulierte Mail

Handelt es sich bei der gemeldeten E-Mail um eine simulierte SoSafe Mail, wird dem Nutzer ein positives Feedback angezeigt, dass er die Mail korrekt erkannt hat. Jede simulierte SoSafe Phishing-Mail enthält einen anonymen Zuordnungscode, über diesen Code können die Mails sicher als SoSafe Mails identifiziert werden. Der Button übermittelt diesen anonymen Zuordnungscode an die SoSafe Auswertungs-API (https://api.sosafe.de), wenn er eine Mail überprüft. Aus dieser Meldung wird in der Auswertung dann die Kennzahl „Melderate“ errechnet. Nach erfolgter Meldung schließt sich das Fenster und die gemeldete Mail wird aus dem Postfach des Nutzers gelöscht (je nach Konfiguration).

Fall Verdächtige Mail

Sollte die gemeldete Mail nicht von SoSafe stammen, erzeugt die Funktionslogik des Melde-Buttons eine neue E-Mail auf dem Kunden-Mail-System (Exchange Server). Der Button lädt die einzelnen Bestandteile (Mail-Header, Mail-Body und Attachments) der verdächtigen Mail vom Exchange Server und hängt diese Elemente als Anhänge an die neue E-Mail an (Es besteht auch die Möglichkeit die komplette E-Mail als eine einzelne .eml-Datei anzuhängen). Diese neue E-Mail wird anschließend mittels Exchange REST API (alternativ über die auslaufende Exchange Webservices (EWS) API) an die hinterlegte SOC-Adresse des Kunden versendet. Mittels REST API wird dann die verdächtige E-Mail aus dem Postfach des Nutzers gelöscht.

Die gesamte Verarbeitung findet in der Domäne des Kunden statt. Die vom Nutzer gemeldeten E-Mails werden nie an SoSafe geschickt.

Voraussetzungen

Ermitteln Sie, ob die zentrale Bereitstellung von Add-Ins für Ihre Organisation funktioniert: https://docs.microsoft.com/de-de/office365/admin/manage/centralized-deployment-of-add-ins?view=o365-worldwide

Es wird einer der folgenden Server benötigt:

  • Office 365 for Business / Office 365 for Education
  • Exchange Server 2016, Version 15.1.544.27 (CU3) oder neuer

Außerdem sollten Sie eine Manifestdatei im XML-Format von uns erhalten haben, welche Sie für die Installation benötigen werden. 

Der Melde-Button kann nach Abschluss der Installation in folgenden Mailprogrammen genutzt werden:

  • Office 365 Outlook Web Access (OWA)
  • Outlook für Office 365 MSO
  • Outlook 2016 für Windows (nur in der Click-to-Run Installation)
  • Outlook 2016 für Mac
  • Outlook für iOS
  • Outlook für Android

Es muss sichergestellt sein, dass vom Mailprogramm ein Zugriff auf folgende URLs möglich ist und nicht durch z.B. eine Firewall blockiert wird:

Installation

Hier finden Sie die Installationsanleitungen für den Phishing Melde Button: https://support.sosafe.de/de/support/solutions/folders/77000077684




1 Empfohlen: Beim Auftreten von unerwarteten Fehlern werden Systeminformationen und Fehler Logs an SoSafe Server gesendet. Damit werden Fehler frühzeitig erkannt und behoben.