Mailfilter (Fehlender Absender)
Moderator: Securepoint
-
- Beiträge: 53
- Registriert: Sa 19.09.2015, 01:20
Mailfilter (Fehlender Absender)
Hallo,
wir haben eine RC200 mit UTM 11.7.12 und ich möchte Mail mit fehlendem Absender in die Quarantäne verschieben.
Wie muss die Regel konkret aussehen?
https://picload.org/view/dlipdcrr/mailf ... r.jpg.html
Danke
PP
wir haben eine RC200 mit UTM 11.7.12 und ich möchte Mail mit fehlendem Absender in die Quarantäne verschieben.
Wie muss die Regel konkret aussehen?
https://picload.org/view/dlipdcrr/mailf ... r.jpg.html
Danke
PP
Guten Morgen,
am besten funktioniert das mit einem Regex:
und Sender -> pass auf Regex -> ^$
^ -> Start of Line
$ -> End of Line
Gruß
Kenneth
am besten funktioniert das mit einem Regex:
und Sender -> pass auf Regex -> ^$
^ -> Start of Line
$ -> End of Line
Gruß
Kenneth
-
- Beiträge: 53
- Registriert: Sa 19.09.2015, 01:20
Danke kennethj,
Funktioniert leider nicht. Es kommen immer noch Mails "ohne Absender" durch, zumindest werden im Userinterface keine Absender angezeigt.
Im Outlook steht dann irgendeine Mailadresse angezeigt und es handelt sich bei uns zu 100% um Spam.
Ist es vielleicht eher dieser Ausdruck?
und Header-Feld "From" -> passt auf Regex -> ^$
Was bezeichnet "Sender" und was "Header-Feld From"?
Irgendwie unlogisch dieser ganze Wirrwarr nur für 'ne simple Blacklist.
Bei anderen Anbietern ist das wie in Version 10 'ne sehr übersichtliche Tabelle, wo der User/Admin einen Host, Domain oder Mailadresse eingibt, die dann auch noch alphabetisch geordnet sind.
Um fehlende Absenderdaten (kommt ja eigentlich (fast) nur bei gescripteten Massenmails vor) reicht in diesen GUIs dann das Setzen eines Haken. Der Vorschlag kam schon vor vielen Monden bei Umstellung auf die Version 11.
Grüße
PP
Funktioniert leider nicht. Es kommen immer noch Mails "ohne Absender" durch, zumindest werden im Userinterface keine Absender angezeigt.
Im Outlook steht dann irgendeine Mailadresse angezeigt und es handelt sich bei uns zu 100% um Spam.
Ist es vielleicht eher dieser Ausdruck?
und Header-Feld "From" -> passt auf Regex -> ^$
Was bezeichnet "Sender" und was "Header-Feld From"?
Irgendwie unlogisch dieser ganze Wirrwarr nur für 'ne simple Blacklist.
Bei anderen Anbietern ist das wie in Version 10 'ne sehr übersichtliche Tabelle, wo der User/Admin einen Host, Domain oder Mailadresse eingibt, die dann auch noch alphabetisch geordnet sind.
Um fehlende Absenderdaten (kommt ja eigentlich (fast) nur bei gescripteten Massenmails vor) reicht in diesen GUIs dann das Setzen eines Haken. Der Vorschlag kam schon vor vielen Monden bei Umstellung auf die Version 11.
Grüße
PP
Hallo,
ich teste das mal die Tage nochmal bei gegen (ich weiß auf jedenfall das der Regex mal funktioniert hat)
Bezüglich Ihrer Frage:
Header-Feld From: -> Bezieht sich auf das Header-Feld From
Sender bezieht sich auf den Sender in der SMTP Kommunikation ( mail from: )
Gruß
ich teste das mal die Tage nochmal bei gegen (ich weiß auf jedenfall das der Regex mal funktioniert hat)
Bezüglich Ihrer Frage:
Header-Feld From: -> Bezieht sich auf das Header-Feld From
Sender bezieht sich auf den Sender in der SMTP Kommunikation ( mail from: )
Gruß
-
- Beiträge: 53
- Registriert: Sa 19.09.2015, 01:20
Also (Header-Feld "From" -> passt auf Regex -> ^$ ) ist es auch nicht, aber eben auch nicht (Sender -> pass auf Regex -> ^$)
Gerade ist wieder eine CEO-Fraud Mail durchgekommen, die keinen Sender im UI hat.
Ist echt nervig und gefährlich, da ja offensichtlich das Outlook-Header-Feld "From" plausibel gefaked wird, das Sender-Feld aber zumindest im Securepoint-UI leer ist.
Wobei ich mir unsicher bin, unter welchen Voraussetzungen das überhaupt sein kann bzw. darf.
https://picload.org/view/dcolcior/fehle ... r.jpg.html
Gruß
PP
Gerade ist wieder eine CEO-Fraud Mail durchgekommen, die keinen Sender im UI hat.
Ist echt nervig und gefährlich, da ja offensichtlich das Outlook-Header-Feld "From" plausibel gefaked wird, das Sender-Feld aber zumindest im Securepoint-UI leer ist.
Wobei ich mir unsicher bin, unter welchen Voraussetzungen das überhaupt sein kann bzw. darf.
https://picload.org/view/dcolcior/fehle ... r.jpg.html
Gruß
PP
-
- Beiträge: 53
- Registriert: Sa 19.09.2015, 01:20
Wobei auch zu bemerken ist, dass der "Spamerkennungdienst" (Commtouch?) hier fleißig "Bullshit-Bingo" spielt und mal Mails mit *.doc(x) durchlässt und manchmal nicht.
Hier wäre natürlich von Vorteil, wenn dieser Dienst schon eine Plausibilitätsprüfung übernimmt. So wie ich das vermute, wird ja im SMTP-Ablauf schon der Sender "manipuliert", so dass dort nix steht.
Hier wäre natürlich von Vorteil, wenn dieser Dienst schon eine Plausibilitätsprüfung übernimmt. So wie ich das vermute, wird ja im SMTP-Ablauf schon der Sender "manipuliert", so dass dort nix steht.
Hallo,
mit der aktuellen Virenwelle haben wir auch damit zu kämpfen.
Allerdings ist das FROM-Feld in den Mails nicht leer, sondern ist folgendermaßen aufgebaut:
From: Vorname Nachname <eine.mail@adresse.de> <eine.andere.mail@adresse.de>
Das scheint im Webinterface als leeres Feld angezeigt zu werden.
Könnte man vielleicht irgendwie nach der Zeichenfolge "> <" filtern, oder hat noch jemand eine Idee?
Gruß
Rolf
mit der aktuellen Virenwelle haben wir auch damit zu kämpfen.
Allerdings ist das FROM-Feld in den Mails nicht leer, sondern ist folgendermaßen aufgebaut:
From: Vorname Nachname <eine.mail@adresse.de> <eine.andere.mail@adresse.de>
Das scheint im Webinterface als leeres Feld angezeigt zu werden.
Könnte man vielleicht irgendwie nach der Zeichenfolge "> <" filtern, oder hat noch jemand eine Idee?
Gruß
Rolf
-
- Beiträge: 9
- Registriert: Mi 21.11.2018, 11:43
Was bei uns gut funktioniert ist folgende Regel:
Protokoll ist SMTP
und Header-Feld From passt auf regex .*<.*>.*<.*>.*
E-Mail in Quarantäne nehmen
Wir hatten bis dato keine false positives, aber ausschließen kann man natürlich nicht, dass jemand "Vorname Nachname <vorname.nachname@domain.tld>" als Anzeigename benutzt und damit auch in der Quarantäne landet.
Gruß
Micha
Protokoll ist SMTP
und Header-Feld From passt auf regex .*<.*>.*<.*>.*
E-Mail in Quarantäne nehmen
Wir hatten bis dato keine false positives, aber ausschließen kann man natürlich nicht, dass jemand "Vorname Nachname <vorname.nachname@domain.tld>" als Anzeigename benutzt und damit auch in der Quarantäne landet.
Gruß
Micha
-
- Beiträge: 53
- Registriert: Sa 19.09.2015, 01:20
Danke, das probieren wir mal so aus.
Gruß
PP
Gruß
PP
Code: Alles auswählen
Hallo,
zur Info:
Hübsche neue Variante heute im FROM-Feld:
From: =?UTF-8?B?Vm9ybmFtZSBOYWNobmFtZSA8dm5AYWRyZXNzZS5kZT4==?= <eine.andere.mail@adresse.de>
Hier zeigt das Webinterface einen Absender an: eine.andere.mail@adresse.de
Davor steht dann UTF-8-Base64 kodiert: Vorname Nachname <vn@adresse.de>
Ziemlich lästig das Ganze.
Gruß
Rolf
-
- Beiträge: 53
- Registriert: Sa 19.09.2015, 01:20
Passt bei uns bisher auch. Ich habe noch eine weitere Regel ergänztMichael Schürle hat geschrieben:Was bei uns gut funktioniert ist folgende Regel:
Protokoll ist SMTP
und Header-Feld From passt auf regex .*<.*>.*<.*>.*
E-Mail in Quarantäne nehmen
...
Code: Alles auswählen
Protokoll ist SMTP
und Header-Feld From enthält ?UTF-8?
E-Mail in Quarantäne nehmen
Grüße
PP
-
- Beiträge: 53
- Registriert: Sa 19.09.2015, 01:20
War nicht zielführend, da wir internationale Mails empfangen und wenn der Absender nur einen Accent, Umlaut oder gar einen anderen Zeichensatz (Kyrillisch) hatte, war der in der Quarantäne.Partypapst hat geschrieben:...Code: Alles auswählen
Protokoll ist SMTP und Header-Feld From enthält ?UTF-8? E-Mail in Quarantäne nehmen
Grüße
PP