Zum Inhalt

Sandbox

Anhangs-Detonation. Verdächtige Office-, PDF-, Archive- und ausführbare Dateien werden in einer isolierten Sandbox auf dem Cluster-Node detoniert und mit pflegbaren Detection-Regeln analysiert.

Wann läuft die Sandbox

rspamd setzt das MAIL_HAS_SUSPICIOUS_ATTACHMENT-Symbol unter folgenden Bedingungen:

  • Anhang-Datei-Typ ist Office-Dokument, PDF, Archive (zip/rar/7z) oder Executable (exe/msi/dll/ps1/bat/sh)
  • Datei ist nicht in Sandbox-Whitelist (Operator pflegbar)
  • Datei-Hash unbekannt im Cluster-weiten Cache (Wiederholungs-Attachments laufen nicht durch)

Dann wird ein Sandbox-Job erstellt und an nmg-sandbox-Service übergeben.

Detonation-Workflow

  1. Anhang wird in temporäres Working-Dir extrahiert
  2. Sandbox-Container wird mit Resource-Limits gestartet:
  3. CPU — 1 Kern, 30 s Wall-Clock-Time max
  4. RAM — 512 MB
  5. Filesystem — Read-only base + 100 MB writable scratch
  6. Network — kein Outbound (oder kontrolliert per Toggle)
  7. Datei wird in der Sandbox ausgeführt (Exe) oder in einem geeigneten Reader geöffnet (Office/PDF)
  8. Verhalten wird beobachtet:
  9. Prozess-Tree (Spawns, Exec-Versuche)
  10. Datei-Operationen (Schreiben, Lesen, Löschen)
  11. Netzwerk-Calls (auch wenn geblockt — die Versuche werden geloggt)
  12. Registry-Manipulation (bei Office-Dokumenten via Wine)
  13. Detection-Regeln werden gegen das Verhaltens-Log gematcht
  14. Verdict + Detail-Report werden in DB geschrieben
  15. Sandbox-Container wird abgerissen, Working-Dir gelöscht

Verdict-Stufen

Verdict Aktion
clean Mail durchgelassen, Sandbox-Run im Audit-Log protokolliert
suspicious Soft-Flag im Header (X-Spam-Sandbox: suspicious), Mail durchgelassen
malicious +Score 20.0, Mail in Quarantäne, Operator + Empfänger benachrichtigt
error Sandbox konnte nicht laufen (z.B. Disk voll), Operator-Policy entscheidet (Default: pessimistic, Mail in Quarantäne)

Detection-Regeln

Operator kann eigene Regeln in einem Standardformat ablegen (das von der Security-Community breit genutzt wird). Wer eine spezifische Bedrohungslage hat (etwa eine gezielte Phishing-Welle gegen die eigene Branche), kann eigene Indicators of Compromise hinzufügen ohne auf den Hersteller zu warten.

Default-Regeln werden mit jedem Update aktualisiert — eigene Regeln überleben Updates (separate Pflege-Verzeichnis).

Was die Sandbox typisch erkennt

  • Macro-Malware in Office-Dokumenten — auto-execute-Makros, Powershell-Aufrufe, Registry-Manipulation
  • PDF-Exploits — JavaScript-Heap-Spray, Embedded-Executables, kompromittierte XFA-Forms
  • Verschachtelte Archive — passwortgeschützte ZIPs (Passwort steht oft im Mail-Body), ZIP-Bomben
  • Living-off-the-Land — Dateien die legitime Tools (PowerShell, certutil, mshta) zur Eskalation nutzen
  • C2-Indicators — Verbindungs-Versuche zu bekannten Command-and-Control-Servern

Sample-Caching

Erfolgreich detonierte Samples werden für 30 Tage forensisch verfügbar gehalten — Operator kann im UI auf den Sample-Path zugreifen für eigene Analyse mit YARA, IDA, Ghidra etc.

Cluster-Verhalten

Sandbox läuft lokal auf dem Node der die Mail empfangen hat — kein zentraler Sandbox-Cluster. Verdicts werden in der DB clusterweit verfügbar; ein zweiter Mail mit demselben Anhang-SHA256 auf einem anderen Node nimmt das gecachte Verdict ohne erneute Detonation.

Verwandte Pages

Home Features Preise Kontakt Impressum Datenschutz
© 2026 NetCell IT — NetCell MailGuard ist ein Produkt von NetCell-IT.