Securepoint Support Forum

Hallo,

wir haben eine RC200 mit UTM 11.7.12 und ich möchte Mail mit fehlendem Absender in die Quarantäne verschieben.
Wie muss die Regel konkret aussehen?

https://picload.org/view/dlipdcrr/mailf ... r.jpg.html

Danke
PP

Guten Morgen,

am besten funktioniert das mit einem Regex:

und Sender -> pass auf Regex -> ^$ 
^ -> Start of Line
$ -> End of Line

Gruß

Kenneth

Danke kennethj,

Funktioniert leider nicht. Es kommen immer noch Mails "ohne Absender" durch, zumindest werden im Userinterface keine Absender angezeigt.
Im Outlook steht dann irgendeine Mailadresse angezeigt und es handelt sich bei uns zu 100% um Spam.
Ist es vielleicht eher dieser Ausdruck?

und Header-Feld "From" -> passt auf Regex -> ^$

Was bezeichnet "Sender" und was "Header-Feld From"?
Irgendwie unlogisch dieser ganze Wirrwarr nur für 'ne simple Blacklist.
Bei anderen Anbietern ist das wie in Version 10 'ne sehr übersichtliche Tabelle, wo der User/Admin einen Host, Domain oder Mailadresse eingibt, die dann auch noch alphabetisch geordnet sind.
Um fehlende Absenderdaten (kommt ja eigentlich (fast) nur bei gescripteten Massenmails vor) reicht in diesen GUIs dann das Setzen eines Haken. Der Vorschlag kam schon vor vielen Monden bei Umstellung auf die Version 11.

Grüße
PP

Hallo,

ich teste das mal die Tage nochmal bei gegen (ich weiß auf jedenfall das der Regex mal funktioniert hat)
Bezüglich Ihrer Frage:

Header-Feld From: -> Bezieht sich auf das Header-Feld From
Sender bezieht sich auf den Sender in der SMTP Kommunikation ( mail from: )

Gruß

Also (Header-Feld "From" -> passt auf Regex -> ^$ ) ist es auch nicht, aber eben auch nicht (Sender -> pass auf Regex -> ^$)
Gerade ist wieder eine CEO-Fraud Mail durchgekommen, die keinen Sender im UI hat.
Ist echt nervig und gefährlich, da ja offensichtlich das Outlook-Header-Feld "From" plausibel gefaked wird, das Sender-Feld aber zumindest im Securepoint-UI leer ist.
Wobei ich mir unsicher bin, unter welchen Voraussetzungen das überhaupt sein kann bzw. darf.

https://picload.org/view/dcolcior/fehle ... r.jpg.html

Gruß
PP

Wobei auch zu bemerken ist, dass der "Spamerkennungdienst" (Commtouch?) hier fleißig "Bullshit-Bingo" spielt und mal Mails mit *.doc(x) durchlässt und manchmal nicht.
Hier wäre natürlich von Vorteil, wenn dieser Dienst schon eine Plausibilitätsprüfung übernimmt. So wie ich das vermute, wird ja im SMTP-Ablauf schon der Sender "manipuliert", so dass dort nix steht.

Hallo,

mit der aktuellen Virenwelle haben wir auch damit zu kämpfen.
Allerdings ist das FROM-Feld in den Mails nicht leer, sondern ist folgendermaßen aufgebaut:

From: Vorname Nachname <eine.mail@adresse.de> <eine.andere.mail@adresse.de>

Das scheint im Webinterface als leeres Feld angezeigt zu werden.

Könnte man vielleicht irgendwie nach der Zeichenfolge "> <" filtern, oder hat noch jemand eine Idee?

Gruß
Rolf

Was bei uns gut funktioniert ist folgende Regel:
Protokoll ist SMTP
und Header-Feld From passt auf regex .*<.*>.*<.*>.*
E-Mail in Quarantäne nehmen

Wir hatten bis dato keine false positives, aber ausschließen kann man natürlich nicht, dass jemand "Vorname Nachname <vorname.nachname@domain.tld>" als Anzeigename benutzt und damit auch in der Quarantäne landet.

Gruß
  Micha

Danke, das probieren wir mal so aus.

Gruß
PP

Michael Schürle hat geschrieben:Was bei uns gut funktioniert ist folgende Regel:
Protokoll ist SMTP
und Header-Feld From passt auf regex .*<.*>.*<.*>.*
E-Mail in Quarantäne nehmen

...

Passt bei uns bisher auch. Ich habe noch eine weitere Regel ergänzt

Grüße
PP

Partypapst hat geschrieben:...

Code: Alles auswählen

Protokoll ist SMTP
und Header-Feld From enthält ?UTF-8?
E-Mail in Quarantäne nehmen

War nicht zielführend, da wir internationale Mails empfangen und wenn der Absender nur einen Accent, Umlaut oder gar einen anderen Zeichensatz (Kyrillisch) hatte, war der in der Quarantäne.
Grüße
PP