Mailfilter - Anhänge blockieren
Moderator: Securepoint
Mailfilter - Anhänge blockieren
Hallo,
wie muss denn die korrekte Einstellung sein, das .doc Anhänge blockiert bzw. entfernt werden?
Filterkriterien: dessen Inhalt - Dateieinung ist - doc > Zutreffenden Inhalt filtern funktioniert nicht, Mails mit doc gehen weiter durch..
wie muss denn die korrekte Einstellung sein, das .doc Anhänge blockiert bzw. entfernt werden?
Filterkriterien: dessen Inhalt - Dateieinung ist - doc > Zutreffenden Inhalt filtern funktioniert nicht, Mails mit doc gehen weiter durch..
so richtig verstehe ich es im Moment noch nicht, Anhänge werden TEILWEISE gefiltert. Manchmal wird eine .doc gefiltert und entsprechend eine .txt angehangen (das eine Datei entfernt wurde), manchmal gehen Dateien durch.
Bei .exe genau das gleiche
Bei .exe genau das gleiche
hier im Moment noch mal das komplette Regelwerk:
Wenn eine Email eingeht
- und mit Inhalt dessen | Dateiendung | enthält | doc
- oder mit Inhalt dessen | Dateiendung | enthält | zip
- oder mit Inhalt dessen | Dateiendung | enthält | exe
- oder enthält einen Virus
zutreffenden Inhalt filtern.
Warum kommen teilweise DOC´s und ZIPs durch, warum werden Sie teilweise gefiltert?
Wenn eine Email eingeht
- und mit Inhalt dessen | Dateiendung | enthält | doc
- oder mit Inhalt dessen | Dateiendung | enthält | zip
- oder mit Inhalt dessen | Dateiendung | enthält | exe
- oder enthält einen Virus
zutreffenden Inhalt filtern.
Warum kommen teilweise DOC´s und ZIPs durch, warum werden Sie teilweise gefiltert?
Generieren Sie doch mal eine Filterregel, welche sowohl auf Dateiendungen als auch MIME-Typs greift (vollständige Liste hier: http://www.iana.org/assignments/media-t ... ypes.xhtml).
Dazu am besten:
Wenn eine E-Mail eingeht
und mit Inhalt dessen | Dateiendung | ist | doc
oder mit Inhalt dessen | Dateiendung | ist | docx
oder mit Inhalt dessen | MIME-Typ | ist | application/msword
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.openxmlformats-officedocument.wordprocessingml.document
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.openxmlformats-officedocument.wordprocessingml.template
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.ms-word.template.macroEnabled.12
oder mit Inhalt dessen | Dateiendung | ist | exe
oder mit Inhalt dessen | MIME-Typ | ist | application/octet-stream
oder mit Inhalt dessen | Dateiendung | ist | zip
oder mit Inhalt dessen | MIME-Typ | ist | application/zip
Dazu am besten:
Wenn eine E-Mail eingeht
und mit Inhalt dessen | Dateiendung | ist | doc
oder mit Inhalt dessen | Dateiendung | ist | docx
oder mit Inhalt dessen | MIME-Typ | ist | application/msword
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.openxmlformats-officedocument.wordprocessingml.document
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.openxmlformats-officedocument.wordprocessingml.template
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.ms-word.template.macroEnabled.12
oder mit Inhalt dessen | Dateiendung | ist | exe
oder mit Inhalt dessen | MIME-Typ | ist | application/octet-stream
oder mit Inhalt dessen | Dateiendung | ist | zip
oder mit Inhalt dessen | MIME-Typ | ist | application/zip
Mit freundlichen Grüßen
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
David Gundermann
Head of Mobile Security
Tel. 04131/2401-0
Fax 04131/2401-50
Securepoint GmbH
Bleckeder Landstraße 28
D-21337 Lüneburg
http://www.securepoint.de
Beobachte bei uns dasselbe, sehr unbefriedigend.
Dürfte ich an dieser Stelle auch mal einen Featurerequest starten?
Wie wäre ein Regelassistent, der z.B: bei "alle ausführbaren Dateien", alle exe, com, scr etc, bei "alle Skriptdateien", alle cmd, bat, js, vbs etc, bei alle Worddateien, alle doc, docx, docm etc und die jeweiligen MIME-Types einträgt.
Das wäre eine große Entlastung.
Dürfte ich an dieser Stelle auch mal einen Featurerequest starten?
Wie wäre ein Regelassistent, der z.B: bei "alle ausführbaren Dateien", alle exe, com, scr etc, bei "alle Skriptdateien", alle cmd, bat, js, vbs etc, bei alle Worddateien, alle doc, docx, docm etc und die jeweiligen MIME-Types einträgt.
Das wäre eine große Entlastung.
Den Wunsch hab ich auch!
Trägst du ihn ein?
http://www.securepoint.de/support-servi ... chbox.html
Gruß
Franz
Trägst du ihn ein?
http://www.securepoint.de/support-servi ... chbox.html
Gruß
Franz
Bitte sehrFranz hat geschrieben:Den Wunsch hab ich auch!
Trägst du ihn ein?
http://www.securepoint.de/support-servi ... chbox.html
http://wunschbox.securepoint.de/forums/ ... mailfilter
Hallo,
die Meldung kommt vom Dienst "mailscanner":
Gruß
Kenneth
die Meldung kommt vom Dienst "mailscanner":
Code: Alles auswählen
Feb 22 16:00:19 mailscanner[6335]: action=REJECT from=evil@spammer.cc to=support@securepoint.de selectors=SPAM_Verified flags=SPAM:VERIFIED
Kenneth
PDF wird teilweise gefiltert, obwohl für die Suffix die Regel auf "E-Mail annehmen" steht.
Und was noch gefährlicher ist:
Anhang mit Suffix PDF steht auf "E-Mail annehmen"
Anhang aller restlichen Suffixe steht mit Regex "." auf "zutreffenden Inhalt filtern" (also z.B. auch DOCX).
Nun kommt eine Mail mit 2 angehängten Dateien. Eine PDF und eine DOCX.
Und beide Anhänge landen beim Empfänger.
Und was noch gefährlicher ist:
Anhang mit Suffix PDF steht auf "E-Mail annehmen"
Anhang aller restlichen Suffixe steht mit Regex "." auf "zutreffenden Inhalt filtern" (also z.B. auch DOCX).
Nun kommt eine Mail mit 2 angehängten Dateien. Eine PDF und eine DOCX.
Und beide Anhänge landen beim Empfänger.
Danke, gefunden. Viel schlauer bin ich nun aber auch nicht, warum er jetzt diesen einen Anhang gefiltert hat...Kenneth hat geschrieben:die Meldung kommt vom Dienst "mailscanner":Code: Alles auswählen
Feb 22 16:00:19 mailscanner[6335]: action=REJECT from=evil@spammer.cc to=support@securepoint.de selectors=SPAM_Verified flags=SPAM:VERIFIED
Der "SPAM"-Flag wird vom Cyren-Antispam-Daemon gesetzt. Cyren bewertet eine Email (und deren Absender) anhand mehrerer Punkte (Fuzzy Hash, Menge der Emails pro Zeit, ...) und berechnet anhand dessen die Wahrscheinlichkeit, dass eine bestimmte Email Spam ist. Wir können auch nicht in diesen Dienst reinschauen, sondern bekommen nur das Ergebnis mitgeteilt.
-
- Beiträge: 40
- Registriert: Do 27.03.2014, 12:44
- Wohnort: Hamburg
Ich bin ehrlicherweise froh, dass wir nach der SP UTM noch ein weiteres Mailgateway eines anderen Anbieters einsetzen.
Der Mailfilter ist salopp gesagt schwach!!! Und das betrifft sowohl die Filterung von SPAM als auch den Schutz vor Viren.
Nur gut, dass ich die Filterung von Anhängen auf der SP UTM gar nicht erst eingerichtet habe, sondern das über das nachgelagerte Mailgateway erledige.
Der Mailfilter ist salopp gesagt schwach!!! Und das betrifft sowohl die Filterung von SPAM als auch den Schutz vor Viren.
Nur gut, dass ich die Filterung von Anhängen auf der SP UTM gar nicht erst eingerichtet habe, sondern das über das nachgelagerte Mailgateway erledige.
Falls das eine Antwort auf mich war: Es geht nicht um Spam.Erik hat geschrieben:Der "SPAM"-Flag wird vom Cyren-Antispam-Daemon gesetzt. Cyren bewertet eine Email (und deren Absender) anhand mehrerer Punkte (Fuzzy Hash, Menge der Emails pro Zeit, ...) und berechnet anhand dessen die Wahrscheinlichkeit, dass eine bestimmte Email Spam ist. Wir können auch nicht in diesen Dienst reinschauen, sondern bekommen nur das Ergebnis mitgeteilt.
Es wurde ein Anhang entfernt mit einer Filterregel, die auf diesen Anhang absolut nicht zutraf.
Und da half mir der Logeintrag halt nicht wirklich.
-
- Beiträge: 53
- Registriert: Sa 19.09.2015, 01:20
Deswegen ist es ja so ärgerlich, dass der Bayes'sche Filter hinter dem Daemon aus der Version 10 eliminiert wurde. Man verlässt sich voll auf einen nicht beeinflussbaren Dienst. Außerdem wurde mit dem Mailfilter die Usability ad absurdum geführt. Selbst simple White-/Blacklisten sind 4stufige Regelwerke. Warum einfach, wenn's kompliziert geht. Syntax gehört nicht immer primär in ein Admin-Interface und wenn dann nur optional in einem erweiterten Interface. Das Ding heisst nicht umsonst Schwarz- oder Weiß, also ablehnen oder annehmen und die Unterscheidung, ob "Sender" "ist" oder "enthält" bzw. "Header-Feld From" "ist" oder "enthält" gehört für eine gute Usability unter die Haube. Über einen erweiterten Modus könnte man das vollständige Regelwerk wie o. g. erzeugen und ggf. vom User anpassen lassen. In der v10 war das noch halbwegs praktikabel, außer dass die alphabetische Sortierung gefehlt hat. Es gab "Blacklist" und "Whitelist" und die Unterscheidung nach Email, Domain und Host. Warum nicht dieses einfache Schema in der Oberfläche ausbauen?Erik hat geschrieben:Der "SPAM"-Flag wird vom Cyren-Antispam-Daemon gesetzt. Cyren bewertet eine Email (und deren Absender) anhand mehrerer Punkte (Fuzzy Hash, Menge der Emails pro Zeit, ...) und berechnet anhand dessen die Wahrscheinlichkeit, dass eine bestimmte Email Spam ist. Wir können auch nicht in diesen Dienst reinschauen, sondern bekommen nur das Ergebnis mitgeteilt.
Ähnlich geht es doch den Kunden hier im Thread und dem Filtern von Anhängen. Ein HowTo hilft da zwar, löst aber grundsätzliche Probleme der Usabilty in der v11 nicht, wie hier eindrucksvoll ersichtlich wird. Das geht vom Mailfilter über die zahlreichen wiederkehrenden RegEx-Einträge bis hin zum User-Webinterface.
Wie schwierig es das für Endnutzer macht, zeigt auch ihr Support-Modell bzw. wieder einmal dieser Thread. Wir müssen meist über relativ trägen Support der Reseller gehen, die dann aufgrund von unzureichendem Wissen auf den 2-Level-Support zugreifen müssen, was aber eben auch nicht alle Probleme zeitnah löst.
MfG
PP