Mailfilter - Anhänge blockieren

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Petasch
Beiträge: 450
Registriert: Di 22.05.2007, 13:17

Mailfilter - Anhänge blockieren

Beitrag von Petasch »

Hallo,

wie muss denn die korrekte Einstellung sein, das .doc Anhänge blockiert bzw. entfernt werden?

Filterkriterien: dessen Inhalt - Dateieinung ist - doc > Zutreffenden Inhalt filtern funktioniert nicht, Mails mit doc gehen weiter durch..

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo,

ändern Sie das "ist" einmal auf "enthält"

Gruß

Kenneth

Petasch
Beiträge: 450
Registriert: Di 22.05.2007, 13:17

Beitrag von Petasch »

so richtig verstehe ich es im Moment noch nicht, Anhänge werden TEILWEISE gefiltert. Manchmal wird eine .doc gefiltert und entsprechend eine .txt angehangen (das eine Datei entfernt wurde), manchmal gehen Dateien durch. o.O
Bei .exe genau das gleiche

Petasch
Beiträge: 450
Registriert: Di 22.05.2007, 13:17

Beitrag von Petasch »

hier im Moment noch mal das komplette Regelwerk:

Wenn eine Email eingeht
- und mit Inhalt dessen | Dateiendung | enthält | doc
- oder mit Inhalt dessen | Dateiendung | enthält | zip
- oder mit Inhalt dessen | Dateiendung | enthält | exe
- oder enthält einen Virus
zutreffenden Inhalt filtern.

Warum kommen teilweise DOC´s und ZIPs durch, warum werden Sie teilweise gefiltert?

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Generieren Sie doch mal eine Filterregel, welche sowohl auf Dateiendungen als auch MIME-Typs greift (vollständige Liste hier: http://www.iana.org/assignments/media-t ... ypes.xhtml).
Dazu am besten:

Wenn eine E-Mail eingeht
und mit Inhalt dessen | Dateiendung | ist | doc
oder mit Inhalt dessen | Dateiendung | ist | docx
oder mit Inhalt dessen | MIME-Typ | ist | application/msword
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.openxmlformats-officedocument.wordprocessingml.document
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.openxmlformats-officedocument.wordprocessingml.template
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.ms-word.template.macroEnabled.12
oder mit Inhalt dessen | Dateiendung | ist | exe
oder mit Inhalt dessen | MIME-Typ | ist | application/octet-stream
oder mit Inhalt dessen | Dateiendung | ist | zip
oder mit Inhalt dessen | MIME-Typ | ist | application/zip
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Petasch
Beiträge: 450
Registriert: Di 22.05.2007, 13:17

Beitrag von Petasch »

Problem besteht weiterhin, TEILWEISE werden Anhänge entfernt, TEILWEISE gehen Sie durch ..

nraeth
Beiträge: 32
Registriert: Fr 03.07.2015, 16:20

Beitrag von nraeth »

Beobachte bei uns dasselbe, sehr unbefriedigend.

Dürfte ich an dieser Stelle auch mal einen Featurerequest starten?
Wie wäre ein Regelassistent, der z.B: bei "alle ausführbaren Dateien", alle exe, com, scr etc, bei "alle Skriptdateien", alle cmd, bat, js, vbs etc, bei alle Worddateien, alle doc, docx, docm etc und die jeweiligen MIME-Types einträgt.
Das wäre eine große Entlastung.

Franz
Beiträge: 387
Registriert: Sa 02.04.2011, 17:52
Wohnort: Westerwald
Kontaktdaten:

Beitrag von Franz »

Den Wunsch hab ich auch!

Trägst du ihn ein?
http://www.securepoint.de/support-servi ... chbox.html

Gruß

Franz

nraeth
Beiträge: 32
Registriert: Fr 03.07.2015, 16:20

Beitrag von nraeth »

Heute hat die Appliance eine pdf gefiltert, obwohl gar keine passende Regel vorhanden ist.
Überhaupt nicht nachvollziehbar, da es ja auch nicht mal im Log irgendwo auftaucht.
Andere pdf-Anhänge kamen normal durch.

nraeth
Beiträge: 32
Registriert: Fr 03.07.2015, 16:20

Beitrag von nraeth »

Franz hat geschrieben:Den Wunsch hab ich auch!

Trägst du ihn ein?
http://www.securepoint.de/support-servi ... chbox.html
Bitte sehr :)
http://wunschbox.securepoint.de/forums/ ... mailfilter

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo nraeth,

in der aktuellen Version 11.6 gibt es im LiveLog eine Meldung welche Mailfilterregel auf die Mail angewandt wurde.

Gruß

Kenneth

nraeth
Beiträge: 32
Registriert: Fr 03.07.2015, 16:20

Beitrag von nraeth »

Kenneth hat geschrieben: in der aktuellen Version 11.6 gibt es im LiveLog eine Meldung welche Mailfilterregel auf die Mail angewandt wurde.
Hab am Logserver durchgesehen und nix gefunden. Welcher Meldungstyp denn?

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo,

die Meldung kommt vom Dienst "mailscanner":

Code: Alles auswählen

Feb 22 16:00:19 mailscanner[6335]: action=REJECT from=evil@spammer.cc to=support@securepoint.de selectors=SPAM_Verified  flags=SPAM:VERIFIED
Gruß

Kenneth

LarsK
Beiträge: 2
Registriert: Do 06.10.2011, 06:41

Beitrag von LarsK »

PDF wird teilweise gefiltert, obwohl für die Suffix die Regel auf "E-Mail annehmen" steht.
Und was noch gefährlicher ist:
Anhang mit Suffix PDF steht auf "E-Mail annehmen"
Anhang aller restlichen Suffixe steht mit Regex "." auf "zutreffenden Inhalt filtern" (also z.B. auch DOCX).
Nun kommt eine Mail mit 2 angehängten Dateien. Eine PDF und eine DOCX.
Und beide Anhänge landen beim Empfänger.

nraeth
Beiträge: 32
Registriert: Fr 03.07.2015, 16:20

Beitrag von nraeth »

Kenneth hat geschrieben:die Meldung kommt vom Dienst "mailscanner":

Code: Alles auswählen

Feb 22 16:00:19 mailscanner[6335]: action=REJECT from=evil@spammer.cc to=support@securepoint.de selectors=SPAM_Verified  flags=SPAM:VERIFIED
Danke, gefunden. Viel schlauer bin ich nun aber auch nicht, warum er jetzt diesen einen Anhang gefiltert hat...

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Der "SPAM"-Flag wird vom Cyren-Antispam-Daemon gesetzt. Cyren bewertet eine Email (und deren Absender) anhand mehrerer Punkte (Fuzzy Hash, Menge der Emails pro Zeit, ...) und berechnet anhand dessen die Wahrscheinlichkeit, dass eine bestimmte Email Spam ist. Wir können auch nicht in diesen Dienst reinschauen, sondern bekommen nur das Ergebnis mitgeteilt.

monstermania
Beiträge: 40
Registriert: Do 27.03.2014, 12:44
Wohnort: Hamburg

Beitrag von monstermania »

Ich bin ehrlicherweise froh, dass wir nach der SP UTM noch ein weiteres Mailgateway eines anderen Anbieters einsetzen.
Der Mailfilter ist salopp gesagt schwach!!! Und das betrifft sowohl die Filterung von SPAM als auch den Schutz vor Viren.
Nur gut, dass ich die Filterung von Anhängen auf der SP UTM gar nicht erst eingerichtet habe, sondern das über das nachgelagerte Mailgateway erledige.

nraeth
Beiträge: 32
Registriert: Fr 03.07.2015, 16:20

Beitrag von nraeth »

Erik hat geschrieben:Der "SPAM"-Flag wird vom Cyren-Antispam-Daemon gesetzt. Cyren bewertet eine Email (und deren Absender) anhand mehrerer Punkte (Fuzzy Hash, Menge der Emails pro Zeit, ...) und berechnet anhand dessen die Wahrscheinlichkeit, dass eine bestimmte Email Spam ist. Wir können auch nicht in diesen Dienst reinschauen, sondern bekommen nur das Ergebnis mitgeteilt.
Falls das eine Antwort auf mich war: Es geht nicht um Spam.
Es wurde ein Anhang entfernt mit einer Filterregel, die auf diesen Anhang absolut nicht zutraf.
Und da half mir der Logeintrag halt nicht wirklich.

Partypapst
Beiträge: 53
Registriert: Sa 19.09.2015, 01:20

Beitrag von Partypapst »

Erik hat geschrieben:Der "SPAM"-Flag wird vom Cyren-Antispam-Daemon gesetzt. Cyren bewertet eine Email (und deren Absender) anhand mehrerer Punkte (Fuzzy Hash, Menge der Emails pro Zeit, ...) und berechnet anhand dessen die Wahrscheinlichkeit, dass eine bestimmte Email Spam ist. Wir können auch nicht in diesen Dienst reinschauen, sondern bekommen nur das Ergebnis mitgeteilt.
Deswegen ist es ja so ärgerlich, dass der Bayes'sche Filter hinter dem Daemon aus der Version 10 eliminiert wurde. Man verlässt sich voll auf einen nicht beeinflussbaren Dienst. Außerdem wurde mit dem Mailfilter die Usability ad absurdum geführt. Selbst simple White-/Blacklisten sind 4stufige Regelwerke. Warum einfach, wenn's kompliziert geht. Syntax gehört nicht immer primär in ein Admin-Interface und wenn dann nur optional in einem erweiterten Interface. Das Ding heisst nicht umsonst Schwarz- oder Weiß, also ablehnen oder annehmen und die Unterscheidung, ob "Sender" "ist" oder "enthält" bzw. "Header-Feld From" "ist" oder "enthält" gehört für eine gute Usability unter die Haube. Über einen erweiterten Modus könnte man das vollständige Regelwerk wie o. g. erzeugen und ggf. vom User anpassen lassen. In der v10 war das noch halbwegs praktikabel, außer dass die alphabetische Sortierung gefehlt hat. Es gab "Blacklist" und "Whitelist" und die Unterscheidung nach Email, Domain und Host. Warum nicht dieses einfache Schema in der Oberfläche ausbauen?
Ähnlich geht es doch den Kunden hier im Thread und dem Filtern von Anhängen. Ein HowTo hilft da zwar, löst aber grundsätzliche Probleme der Usabilty in der v11 nicht, wie hier eindrucksvoll ersichtlich wird. Das geht vom Mailfilter über die zahlreichen wiederkehrenden RegEx-Einträge bis hin zum User-Webinterface.
Wie schwierig es das für Endnutzer macht, zeigt auch ihr Support-Modell bzw. wieder einmal dieser Thread. Wir müssen meist über relativ trägen Support der Reseller gehen, die dann aufgrund von unzureichendem Wissen auf den 2-Level-Support zugreifen müssen, was aber eben auch nicht alle Probleme zeitnah löst.
MfG
PP

Antworten