Bei dem SoSafe Phishing-Melde-Button handelt es sich um ein Office Add-In, welches auf dem Exchange Server des Kunden installiert wird.


Das Add-In wird lokal (in Outlook bzw. bei Outlook-Web-Access im Browser oder in der mobilen Outlook App) ausgeführt. Nach Betätigung der Schaltfläche durch den/die Nutzer/in lädt das Add-In zunächst die Funktionslogik (JavaScript Code unter https://reporter.sosafe.de), überprüft anschließend die Gültigkeit der Lizenz mittels SoSafe Schnittstelle (API unter https://api.sosafe.de) und lädt kundenspezifische Einstellungen nach. 

Wenn eine aktive Lizenz vorliegt, öffnet sich ein Fenster für den/die Nutzer/in, in dem die vom Exchange Server abgerufenen Header & Mail-Informationen aufbereitet angezeigt werden. 

Der/die Nutzer/in kann anschließend mit Hilfe der nun eingeblendeten grundlegenden Informationen (Betreff und Absender der verdächtigen Mail) final entscheiden, ob er/sie die entsprechende Mail tatsächlich melden möchte. Fährt der/die Nutzer/in mit dem Meldeprozess fort, wird – je nachdem, ob es sich um eine simulierte SoSafe Phishing-Mail oder eine „echte“ verdächtige Mail handelt – eine andere Logik ausgelöst.


Fall simulierte Mail

Handelt es sich bei der gemeldeten Mail um eine simulierte SoSafe Mail, wird dem/der Nutzer/in ein positives Feedback angezeigt, dass er die Mail korrekt erkannt hat. Jede simulierte SoSafe Phishing-Mail enthält einen anonymen Zuordnungscode. Über diesen Code können die Mails sicher als SoSafe Mails identifiziert werden. Der Button übermittelt diesen anonymen Zuordnungscode an die SoSafe Auswertungs-API (https://api.sosafe.de), wenn er eine Mail überprüft. Aus dieser Meldung wird in der Auswertung dann die Kennzahl „Melderate“ errechnet. Nach erfolgter Meldung schließt sich das Fenster und die gemeldete Mail wird aus dem Postfach des/der Nutzers/in gelöscht oder verschoben (je nach Konfiguration).


Fall verdächtige Mail

Sollte die gemeldete Mail nicht von SoSafe stammen, erzeugt die Funktionslogik des Melde-Buttons eine neue Mail auf dem Kunden-Mail-System (Exchange Server). Der Button lädt die einzelnen Bestandteile (Mail-Header, Mail-Body und Attachments) der verdächtigen Mail vom Exchange Server und hängt diese Elemente als Anhänge an die neue Mail an. (Es besteht auch die Möglichkeit die komplette Mail als eine einzelne .eml-Datei anzuhängen.) Diese neue Mail wird anschließend mittels Exchange REST API (alternativ über die auslaufende Exchange Webservices (EWS) API) an die hinterlegte SOC-Adresse des Kunden versendet. Mittels REST API wird dann die verdächtige Mail aus dem Postfach des/der Nutzers/in gelöscht.

Die gesamte Verarbeitung findet in der Domäne des Kunden statt. Die von dem/der Nutzer/in gemeldeten Mails werden nie an SoSafe geschickt.


Voraussetzungen

Ermitteln Sie, ob die zentrale Bereitstellung von Add-Ins für Ihre Organisation funktioniert: https://docs.microsoft.com/de-de/office365/admin/manage/centralized-deployment-of-add-ins?view=o365-worldwide


Es wird einer der folgenden Server benötigt:

  • Office 365 for Business / Office 365 for Education
  • Exchange Server 2016, Version 15.1.544.27 (CU3) oder neuer

Außerdem sollten Sie eine Manifestdatei im XML-Format von uns erhalten haben, welche Sie für die Installation benötigen werden. 


Der Melde-Button kann nach Abschluss der Installation in folgenden Mailprogrammen genutzt werden:

  • Office 365 Outlook Web Access (OWA)
  • Outlook für Office 365 MSO
  • Outlook 2016 für Windows (nur in der Click-to-Run Installation)
  • Outlook 2016 für Mac
  • Outlook für iOS
  • Outlook für Android

Es muss sichergestellt sein, dass vom Mailprogramm ein Zugriff auf folgende URLs möglich ist und nicht durch z.B. eine Firewall blockiert wird:

Installation

Hier finden Sie die Installationsanleitungen für den Phishing-Melde-Button: https://support.sosafe.de/de/support/solutions/folders/77000077684




1 Empfohlen: Beim Auftreten von unerwarteten Fehlern werden Systeminformationen und Fehler Logs an SoSafe Server gesendet. Damit werden Fehler frühzeitig erkannt und behoben.