Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Norbert
Themen-Autor
Beiträge: 30
Registriert: Mo 28.11.2011, 12:11
Wohnort: Fürstenfeldbruck
Kontaktdaten:

Mailfilter wie konfigurieren

Di 03.12.2013, 10:24

Hallo zusammen,

ich "kämpfe" jetzt seit einiger Zeit mit dem Mailfilter weil immer wieder Mails als [PROBABLY_SPAM] gekennzeichnet werden die es nicht. Andere werden geblockt obwohl die Mailadresse des Versenders in der Withelist ist und wieder andere sollen geblockt werden, werden es aber nicht.

Zur Konfiguration:

Der Empfang erfolgt über das Mailrelay auf einen eigenen Mailserver.

Ich habe z.B. den Mailversender abc.de. Hier werden viele Mails meistens korrekt zugestellt, einige wenige Mails werde gekennzeichnet mit [PROBABLY_SPAM], andere werden vollständig geblockt. Folgendes ist im Mailfilter erstellt:

Rang - Protokoll - Kathegorie - Aktion - Inhalt
1 - smtp - probably_spam - none - mail_from beinhaltet "abc.de"
2 - smtp - spam - block - any
3 - smtp - probably_spam - mark - any

Was mache ich hier falsch?

Auch der URL-Filter funktioniert nicht so wie ich es mir gerne wünsch. Ich bekomme leider immer wieder Spam von unterschiedlichen Versendern, immer mit dem gleichen Inhalt. Alles reiner Text und ein Link. Also habe ich im URL-Filter diesen Link n der Blacklist hinzugefügt in dem ich den Domannamen "domain.de" unterhalb von dem Fenster Blacklist eingetragen habe und hinzufügen anklicke. Die Domain tacht dann im Fenster der Blacklist auf. Leider werden die Mails mit dem Inhalt nicht geblockt.

Ich habe zwar das Wiki aufmerksam gelesen, finde aber leider nicht die richtigen einstellungen. Ein paar Beispieleinträge wären hier bestimmt recht hilfreich....

Kann mir hier jemand weiter helfen?

Grüße

Norbert
 
Benutzeravatar
Erik
Securepoint
Beiträge: 1467
Registriert: Fr 07.11.2008, 11:50

Re: Mailfilter wie konfigurieren

Di 03.12.2013, 16:36

"mail_from" matcht auf das "MAIL FROM:" Command im SMTP-Dialog. Dieses enthält offenbar nicht den gleichen Eintrag, wie der "From:"-Header der Email. Das ist schlechter Stil seitens des Absenders.
Tauschen Sie doch einfach mal "mail_from"+"beinhaltet" gegen "Header" + "Feld: From" + "beinhaltet" und schauen, wie es sich verhält.

Zum URL-Filter:
Die korrekte Syntax wäre:
*domain.com*
 
Norbert
Themen-Autor
Beiträge: 30
Registriert: Mo 28.11.2011, 12:11
Wohnort: Fürstenfeldbruck
Kontaktdaten:

Re: Mailfilter wie konfigurieren

Di 03.12.2013, 17:09

Erik hat geschrieben:
"mail_from" matcht auf das "MAIL FROM:" Command im SMTP-Dialog. Dieses enthält offenbar nicht den gleichen Eintrag, wie der "From:"-Header der Email. Das ist schlechter Stil seitens des Absenders.
Tauschen Sie doch einfach mal "mail_from"+"beinhaltet" gegen "Header" + "Feld: From" + "beinhaltet" und schauen, wie es sich verhält.

Zum URL-Filter:
Die korrekte Syntax wäre:
*domain.com*


Habe ich mal eingestellt und werde es testen.

Wenn ich den Syntax *domain.com* in das Feld vom URL-Filter eintrage kommt die Meldung "Regulärer Ausdruck ist ungültig!" Es sind ausserdem stellenweise auch Mailadressen hinterlegt.
 
Benutzeravatar
Erik
Securepoint
Beiträge: 1467
Registriert: Fr 07.11.2008, 11:50

Re: Mailfilter wie konfigurieren

Do 05.12.2013, 13:33

Hm... in der Tat möchte das Webinterface da gerne einen Regex, während das Backend mit der Sternchen-Syntax arbeitet. Danke für den Hinweis, wir werden das in der nächsten Version beheben.
 
Benutzeravatar
cjp
Beiträge: 39
Registriert: Di 27.12.2011, 16:05

Funktioniert nicht

Do 12.06.2014, 14:00

egal wie ich es versuche...

1 - smtp - spam - block - mail_from + beinhaltet "hugo@test.at"
header + beinhaltet "From" + "hugo@test.at"

die mailheader wurden überprüft und dementsprechend eingetragen aber weder das freischalten einzelner absender noch das blocken einzelner absender funktioniert.

gibt es eine möglichkeit die black und whitelist über ssh zu verwalten wie es auf anderen systemen üblich ist?
z.b.
/etc/smtp_blacklist
from:hugo@test.at
from:willi@wunderlich.de
to:praktikant@firma.de


/etc/smtp_whitelist
from:support@no-spam.de
to:erni@firma.de


was auch noch bedauerlicherweise hinzukommt:

über das mailadmin interface wo alle ein und ausgehenden nachrichten zu sehen sind gibt es die möglichkeit nach nachrichten zu suchen --> ok

will man nun eine einzelne nachricht erneut versenden weil der spamfilter falsch (oder noch nicht) konfiguriert ist wird immer nach der empfänger-mailadresse gefragt, trägt man die ein wird die mail versendet --> ok
was nicht schlau ist das sich der filter wieder zurückstellt und man erneut nach den nachrichten suchen muss um diese erneut zu versenden
mehrere nachrichten können nicht auf einmal versendet werden
 
Benutzeravatar
cjp
Beiträge: 39
Registriert: Di 27.12.2011, 16:05

Re: Funktioniert nicht

Mi 18.06.2014, 12:56

aktuell wird das problem für eine mailadresse mit einr portfilterregel gelöst:

[mailserver_ip] --> external-interface --> smtp --> reject


funktioniert, nur ist das keine lösung

solange die spamfilterkonfiguration nicht astrein funktioniert ist es bedenklich die v11 bei einer größeren firma einzusetzen bzw. einen upgrade von v10 auf v11 durchzuführen!!!

ein paar beispiele im wiki oder hier im forum wären nicht schlecht, ich denke es ergeht nicht nur mir so.

um vorschläge wird gebeten
 
Benutzeravatar
Erik
Securepoint
Beiträge: 1467
Registriert: Fr 07.11.2008, 11:50

Re: Mailfilter wie konfigurieren

Mi 18.06.2014, 18:00

Geben Sie dem admin-Benutzer mal bitte Mailfilter-Admin Berechtigungen, melden sich dann auf der SSH-Konsole an und führen aus: "mail archive get". Im Normalfall, steht die gerade versendete Testmail ganz unten. Ist dort die Spalte "Protokoll" leer? Wenn ja, konnte der Mailfilter die Email beim Empfang nicht parsen, dadurch das Protokoll-Feld nicht befüllen und dadurch matcht später auch kein Whitelist-Eintrag.
Im nächsten Release werden wir um solche kaputten Mails versuchen herum-zu-workarounden.
 
Benutzeravatar
cjp
Beiträge: 39
Registriert: Di 27.12.2011, 16:05

Re: Mailfilter wie konfigurieren

Do 16.10.2014, 12:10

das problem tritt weiterhin auf, bei dem befehl "mail archive get" wird überall das protokoll smtp angezeigt.

weiters gibt es immer noch massive probleme mit der whitelist des spamfilters.
z.b. ein absender wurde als ausnahme im spamfilter hinzugefügt, die mail wird jedoch als spam markiert und nicht weitergeleitet, die regeln welche hier im forum stehen habe ich schon alle probiert.

es wäre sehr hilfreich einige beispiele im wiki zu erklären.
 
Bjoern
Securepoint
Beiträge: 464
Registriert: Mi 03.07.2013, 10:06

Re: Mailfilter wie konfigurieren

Do 16.10.2014, 12:57

Hallo,

lautet die Regel wirklich so?

1 - smtp - spam - block - mail_from + beinhaltet   "hugo@test.at"
header + beinhaltet "From" + "hugo@test.at"   


Also wenn Sie alle Mails von dieser Absenderadresse blocken wollen versuchen Sie mal die Regel:

Protokoll: smtp
Kategorie: nullfilter
Aktion: block
+ Regel
Typ: header
Regel: beinhaltet
Header-Feld: from
Wert: @domain.de

Gruß Björn
 
R33p3r
Beiträge: 13
Registriert: Mi 18.06.2014, 11:46

Re: Mailfilter wie konfigurieren

Do 20.08.2015, 10:15

Wenn ich eine TLD blocken will wie z.B. .ru geht das so ???

Protokoll: smtp
Kategorie: nullfilter
Aktion: block
+ Regel
Typ: mail_from
Regel: beinhaltet
Wert: @*.*.ru

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste