Arbeitsweise Mailfilter

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Benutzeravatar
Bene
Beiträge: 24
Registriert: Di 26.06.2018, 14:03

Arbeitsweise Mailfilter

Beitrag von Bene »

Hallo zusammen,

wir haben einen Mail Connector mit einem Catch-All Postfach auf der UTM eingerichtet. Funktioniert soweit auch gut. Da es meine erste Konfiguration eines Mailfilters ist bin ich mit der genauen funktionsweise nicht so gut vertraut.
Die Filterregeln sehen wie folgt aus.

1. White List | und-Operator
und Protokoll: ist Mail-Connector | und Sender enhält: "beispiel.de" | E-Mail annehmen
2. Filter Extension | und-Operator
und Protokoll: ist Mail-Connector | und mit Inhalt dessen Dateiname endet auf: .docx, .exe, ... | Email in Quarantäne nehmen
4. Virus | und-Operator
und enthält einen Virus | Email in Quarantäne nehmen
5. Black List | und-Operator
und Protokoll: ist Mail-Connector | und Sender enthält: beispiel.is | Email in Quarantäne nehmen


Mails die auf der White List stehen werden dennoch in Quarantäne geschoben. Ich habe nach der Erstellung ein bisschen herumgespielt.
Ich habe meine Mail Adresse auf die White List genommen und eine Mail mit einem docx-Dokument geschickt und es hat geklappt.
Allerdings als ich meine Mail aus der White List entfernt habe sind die meine Mails mit dem docx Anhang immer noch durchgekommen.
Werden immer alle Regeln abgearbeitet oder sobald eine Regel greift werden die restlichen nicht mehr beachtet?
Wird die 4. Regel beachtet, weil kein Protokoll angeben ist?
 
Gibt es eine Möglichkeit im Benutzerinterface nachzuvollziehen durch welche Regel eine Mail in Quarantäne geschickt wurde.
Ich habe meine Mail in der Firewall als Globale Adresse hinterlegt. Nun bekam ich ab und an Kundenmails weitergeleitet. Unter welchen Bedingungen werden diese Mails weitergeleitet und können diese beeinflusst werden?

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

nur Accept, Reject, Drop oder Quarantäne - Regeln beenden die weitere Abarbeitung der Filter-Kette. Wenn es also vorher akzeptiert wird greifen die im Anschluss nicht mehr. Diese Information wird auch noch in das Wiki aufgenommen.

Gruß Björn

Benutzeravatar
Bene
Beiträge: 24
Registriert: Di 26.06.2018, 14:03

Beitrag von Bene »

Moin Bjoern,

danke für die Antwort hat mir gut weitergeholfen.
Habe leider immer noch das Problem das Mails von Absendern die in der White-list stehen in Quarantäne geschoben werden. Das sind Mails die docx -Dokumente im Anhang haben. Die White-list ist an erste Position. Auch ein neustart der Dienste hat leider nichts gebrachte.
Ich verstehe leider noch nicht so ganz wann Mails an die globale E-Mail Adresse weiter geleitet werden.

Gruß
Benedikt

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Das liegt daran, das Sie den SENDER pruefen. Das ist jedoch der Mailserver/ Client, der sich an das Mailrelay anmeldet.

Richtig waere wahrscheinlich statt "SENDER" > "HEADER" und dann "FROM" "enthält".
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Benutzeravatar
Bene
Beiträge: 24
Registriert: Di 26.06.2018, 14:03

Beitrag von Bene »

Morgen zusammen,

Ich habe die Mailfilter Regel jetzt angepasst und es schein zu klappen. Danke :))
Nachtrag: Das Phänomen das Mails die auf der White-List stehen vereinzelt auf die globale Mail-Adresse umgeleitet werden bleibt leider noch.
Zu groß sind diese Mails nicht. 8 PDF Dateien als Anhang, aber nur 4MB groß. Die Grenze liegt beim Mail-Connector bei 20MB

Kann ich den Vierenscanner im Mailfilter beeinflussen? Es werden Mails vom Vierenscanner gefiltert die augenscheinlich kein Virus enthalten. In der Quarantäne ist ein html-Dateianhang zu sehen der mit einem kleinen Quarantänesymbol versehen ist. Absender ist eine Privatperson die dem Kunden bekannt ist.

Ich haber weiterhin das Phänomän das

Grüße Benedikt

Benutzeravatar
Bene
Beiträge: 24
Registriert: Di 26.06.2018, 14:03

Beitrag von Bene »

Das mit dem Virenscanner hat sich geklärt.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ok
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten