Mailfilter; URL-Filter vs. Kategorie?

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Michel
Beiträge: 1
Registriert: Fr 16.06.2017, 13:51

Mailfilter; URL-Filter vs. Kategorie?

Beitrag von Michel »

Hallo,

wir nutzen unseren Zwerg (UTM, v11.6.12) als Mailrelay zur Weiterleitung an unseren Exchange. Natürlich setzen wir auch den Mailfilter ein, insgesamt sind dort 8 Regel konfiguriert. Die letzte Filterkategorie lautet: "Protokoll ist SMTP und wurde vom URL-Filter erfasst > eMail in Quarantäne nehmen" und genau diese Regel bereitet mir gerade etwas Kopfzerbrechen.
Leider ist es nun so, dass die eMails die aufgrund des URL-Filters in der Quarantäne landen knapp 40% falsch positiv sind: Hierbei handelt es sich um valide eMails der Geschäftspartner und Lieferanten, etc. Es kommen so also je nach Tagesform 10-30 falsch positive eMails in der Quarantäne zusammen.

Ich würde nun gerne den URL-Filter "fein-tunen" um die Anzahl der falsch-positiven eMails zu reduzieren, allerdings will ich nicht riskieren zu viele SPAMs durchzulassen. Daher meine Frage: Gibt es eine Möglichkeit herauszufinden aufgrund welcher Kategorie des URL-Filters eine eMail erfasst und quarantiert wurde?

Im Webinterface des SPAM-Report-Admins (alle eMails aller User) sehe ich nur Protokoll: SMTP, Aktion: Quarantäne und Flags: SPAM:URLFILTER. Leider kann ich nicht erkennen, welche Kategorie des URL-Filters genau dafür gesorgt hat dass die eMail in der Quarantäne landet.

Folgende Kategorien sind aktiviert:
- Abstoßend
- Dating
- Danger
- Porno und Erotik
- Waffen
- Casting
- Kult
- Chat
- Geld verdienen
- Hacking

Danke und Gruß,
Michel

EBBSNOS
Beiträge: 29
Registriert: Di 16.07.2013, 06:54

Beitrag von EBBSNOS »

Wir würden auch gern wissen welche Kategorie für False Positives veranwortlich ist.

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Hallo Michel,
aktuell ist dies leider nicht möglich.
Ich werde unsere Entwicklung kontaktieren und schauen ob wir dies in einem der nächsten Releases implementieren.
Aktuell bleibt Ihnen nur folgende Option:
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

antony-bocholt
Beiträge: 6
Registriert: Do 29.03.2018, 16:55

Beitrag von antony-bocholt »

Hallo David,
wenn ich kategorien-basiert filtere aber dennoch URLs hinzufüge die z.B. durchkommen sollen, welche Einstellung greift vorher?

Ein Beispiel: Ich habe Kontakt mit jemandem der von  "beck@meinstadtkurieranzeiger.de" E-Mails verschickt.
Dieser wird aber normalerweise gefiltert über die Kategorie "News - Nachrichten, News, Tagesthemen, Prominews, Branchennews".
Wenn ich nun die "meinstadtkurieranzeiger.de" hinzufüge und explizit erlaube, kommen diese E-Mails dann an?

mfg
antony

Benutzeravatar
David
Securepoint
Beiträge: 444
Registriert: Di 09.02.2016, 14:01

Beitrag von David »

Hi Antony,
wenn ich es richtig verstanden kommt die Mail an, wenn Ihre Freigabe in der Reihenfolge über dem Blockeintrag kommt.
Nach dem Motto: First hit wins.
Mit freundlichen Grüßen

David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de

Benutzeravatar
NETworks-IT
Beiträge: 23
Registriert: Mi 11.06.2014, 12:13
Wohnort: Hehlen
Kontaktdaten:

Beitrag von NETworks-IT »

Hallo anthony,

die Filterregeln werden von oben nach unten abgeabeitet.
Du kannst Whitelists mit Adressen / Domains anlegen (evtl. eingehend und ausgehend), die auf jeden Fall nicht gefiltert werden dürfen. Entsprechend natürlich auch Blacklists, für E-Mails, die false negative durchkommen. Diese White und Blacklists sollte an Stelle 2 dirket nach dem Virenfilter stehen. Danach dann die Kategorien  und URL - Filter. So setzen wir es bei einigen Kunden ein.

antony-bocholt
Beiträge: 6
Registriert: Do 29.03.2018, 16:55

Beitrag von antony-bocholt »

Hallo,
habe es einmal probiert und das Ergebnis ist ernüchternd.
Wenn im URL Filter Domains "whiteliste" und ganz oben in die Liste sortiere, werden diese trotzdem geblockt. Anscheinend hat nicht einmal die Schreibweise eine Auswirkung darauf z.B. *meinstadtkurieranzeiger.de* oder meinstadtkurieranzeiger.de.
Bisher funktioniert bei eingeschaltetem URL Filter nur eine whitelist unter "Filterregeln". Dort habe ich angegeben "wurde vom URL-Filter erfasst und enthält nicht domainxy.de".
Gibt es hier ein Best-Practice ?
Was ist mit "Kategorie unbekannt", kann ich diese grundsätzlich whitelisten? Bisher landet ALLES im URL Filter was auch unkategorisiert ist.
Vielen Dank für die Rückmeldung.

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo Antony,

der URL-Filter greift unabhängig von den Mailfilterregeln. 
Bei dem URL-Filter handelt es sich auch nur um URLs innerhalb der Mail, z.B. wenn sich in der Mail https://www.securepoint.de befindet. Der URL-Filter bezieht sich nicht auf den Absender der Mail.
Wenn eine Mail anhand des URL-Filters gefiltert wurde, müssten Sie einmal schauen welche URL(s) sich in der Mail befinden.
Diese können Sie mittels  https://cf-support.securepoint.de prüfen.
Sollte eine Kategorie gefilterte Kategorie zutreffen können Sie diese auch im URL-Filter whitelisten: *securepoint.de*
Die URL-Whitelist greift immer vor den URL-Kategorien.

Beste Grüße
Christian

antony-bocholt
Beiträge: 6
Registriert: Do 29.03.2018, 16:55

Beitrag von antony-bocholt »

Hallo Christian,
eine Prüfung der URL wurde bereits von David im März vorgeschlagen. Viele der Domains sind allerdings "nicht kategorisiert".
Ich habe vor den eigentlichen URL Filtern bereits Domains auf die Whitelist gesetzt, diese Regeln greifen nicht, wenn im Mailfilter angegeben ist "Wurde vom URL Filter" erfasst. Diese sind mit Whitelist Einträgen innerhalb des URL Filters ausgehebelt. Bin leider bisher nicht weitergekommen bzw. zu einem zufriedenstellenden Ergebnis gekommen.

Benutzeravatar
Christian E.
Securepoint
Beiträge: 238
Registriert: Do 05.07.2012, 16:19
Wohnort: Lüneburg

Beitrag von Christian E. »

Hallo Antony,

leider kann ich die Konfiguration nicht nachvollziehen, können wir uns das einmal "live" auf der Firewall anschauen und telefonisch besprechen?
Ich denke so kommen wir am einfachsten zur gewünschten Konfiguration. Melden Sie sich dazu bitte einmal über unsere Support Hotline 04131-24010.

Beste Grüße
Christian

Antworten