Mailfilter (Fehlender Absender)

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Partypapst
Beiträge: 53
Registriert: Sa 19.09.2015, 01:20

Mailfilter (Fehlender Absender)

Beitrag von Partypapst »

Hallo,

wir haben eine RC200 mit UTM 11.7.12 und ich möchte Mail mit fehlendem Absender in die Quarantäne verschieben.
Wie muss die Regel konkret aussehen?
Bild
https://picload.org/view/dlipdcrr/mailf ... r.jpg.html
BildBildBild
Danke
PP

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Guten Morgen,

am besten funktioniert das mit einem Regex:

und Sender -> pass auf Regex -> ^$ 
^ -> Start of Line
$ -> End of Line

Gruß

Kenneth

Partypapst
Beiträge: 53
Registriert: Sa 19.09.2015, 01:20

Beitrag von Partypapst »

Danke kennethj,

Funktioniert leider nicht. Es kommen immer noch Mails "ohne Absender" durch, zumindest werden im Userinterface keine Absender angezeigt.
Im Outlook steht dann irgendeine Mailadresse angezeigt und es handelt sich bei uns zu 100% um Spam.
Ist es vielleicht eher dieser Ausdruck?

und Header-Feld "From" -> passt auf Regex -> ^$

Was bezeichnet "Sender" und was "Header-Feld From"?
Irgendwie unlogisch dieser ganze Wirrwarr nur für 'ne simple Blacklist.
Bei anderen Anbietern ist das wie in Version 10 'ne sehr übersichtliche Tabelle, wo der User/Admin einen Host, Domain oder Mailadresse eingibt, die dann auch noch alphabetisch geordnet sind.
Um fehlende Absenderdaten (kommt ja eigentlich (fast) nur bei gescripteten Massenmails vor) reicht in diesen GUIs dann das Setzen eines Haken. Der Vorschlag kam schon vor vielen Monden bei Umstellung auf die Version 11.

Grüße
PP

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo,

ich teste das mal die Tage nochmal bei gegen (ich weiß auf jedenfall das der Regex mal funktioniert hat)
Bezüglich Ihrer Frage:

Header-Feld From: -> Bezieht sich auf das Header-Feld From
Sender bezieht sich auf den Sender in der SMTP Kommunikation ( mail from: )

Gruß

Partypapst
Beiträge: 53
Registriert: Sa 19.09.2015, 01:20

Beitrag von Partypapst »

Also (Header-Feld "From" -> passt auf Regex -> ^$ ) ist es auch nicht, aber eben auch nicht (Sender -> pass auf Regex -> ^$)
Gerade ist wieder eine CEO-Fraud Mail durchgekommen, die keinen Sender im UI hat.
Ist echt nervig und gefährlich, da ja offensichtlich das Outlook-Header-Feld "From" plausibel gefaked wird, das Sender-Feld aber zumindest im Securepoint-UI leer ist.
Wobei ich mir unsicher bin, unter welchen Voraussetzungen das überhaupt sein kann bzw. darf.

https://picload.org/view/dcolcior/fehle ... r.jpg.html

Gruß
PP

Partypapst
Beiträge: 53
Registriert: Sa 19.09.2015, 01:20

Beitrag von Partypapst »

Wobei auch zu bemerken ist, dass der "Spamerkennungdienst" (Commtouch?) hier fleißig "Bullshit-Bingo" spielt und mal Mails mit *.doc(x) durchlässt und manchmal nicht.
Hier wäre natürlich von Vorteil, wenn dieser Dienst schon eine Plausibilitätsprüfung übernimmt. So wie ich das vermute, wird ja im SMTP-Ablauf schon der Sender "manipuliert", so dass dort nix steht.

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Hallo,

mit der aktuellen Virenwelle haben wir auch damit zu kämpfen.
Allerdings ist das FROM-Feld in den Mails nicht leer, sondern ist folgendermaßen aufgebaut:

From: Vorname Nachname <eine.mail@adresse.de> <eine.andere.mail@adresse.de>

Das scheint im Webinterface als leeres Feld angezeigt zu werden.

Könnte man vielleicht irgendwie nach der Zeichenfolge "> <" filtern, oder hat noch jemand eine Idee?

Gruß
Rolf

Michael Schürle
Beiträge: 9
Registriert: Mi 21.11.2018, 11:43

Beitrag von Michael Schürle »

Was bei uns gut funktioniert ist folgende Regel:
Protokoll ist SMTP
und Header-Feld From passt auf regex .*<.*>.*<.*>.*
E-Mail in Quarantäne nehmen

Wir hatten bis dato keine false positives, aber ausschließen kann man natürlich nicht, dass jemand "Vorname Nachname <vorname.nachname@domain.tld>" als Anzeigename benutzt und damit auch in der Quarantäne landet.

Gruß
  Micha

Partypapst
Beiträge: 53
Registriert: Sa 19.09.2015, 01:20

Beitrag von Partypapst »

Danke, das probieren wir mal so aus.

Gruß
PP

merlin
Beiträge: 263
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Beitrag von merlin »

Code: Alles auswählen

Hallo,

zur Info:
Hübsche neue Variante heute im FROM-Feld:

From: =?UTF-8?B?Vm9ybmFtZSBOYWNobmFtZSA8dm5AYWRyZXNzZS5kZT4==?= <eine.andere.mail@adresse.de>

Hier zeigt das Webinterface einen Absender an: eine.andere.mail@adresse.de
Davor steht dann UTF-8-Base64 kodiert: Vorname Nachname <vn@adresse.de>

Ziemlich lästig das Ganze.

Gruß
Rolf

Partypapst
Beiträge: 53
Registriert: Sa 19.09.2015, 01:20

Beitrag von Partypapst »

Michael Schürle hat geschrieben:Was bei uns gut funktioniert ist folgende Regel:
Protokoll ist SMTP
und Header-Feld From passt auf regex .*<.*>.*<.*>.*
E-Mail in Quarantäne nehmen

...
Passt bei uns bisher auch. Ich habe noch eine weitere Regel ergänzt

Code: Alles auswählen

Protokoll ist SMTP
und Header-Feld From enthält ?UTF-8?
E-Mail in Quarantäne nehmen

Grüße
PP

Partypapst
Beiträge: 53
Registriert: Sa 19.09.2015, 01:20

Beitrag von Partypapst »

Partypapst hat geschrieben:...

Code: Alles auswählen

Protokoll ist SMTP
und Header-Feld From enthält ?UTF-8?
E-Mail in Quarantäne nehmen
War nicht zielführend, da wir internationale Mails empfangen und wenn der Absender nur einen Accent, Umlaut oder gar einen anderen Zeichensatz (Kyrillisch) hatte, war der in der Quarantäne.
Grüße
PP

Antworten