Securepoint Support Forum

Hallo,

wie muss denn die korrekte Einstellung sein, das .doc Anhänge blockiert bzw. entfernt werden?

Filterkriterien: dessen Inhalt - Dateieinung ist - doc > Zutreffenden Inhalt filtern funktioniert nicht, Mails mit doc gehen weiter durch..

Hallo,

ändern Sie das "ist" einmal auf "enthält"

Gruß

Kenneth

so richtig verstehe ich es im Moment noch nicht, Anhänge werden TEILWEISE gefiltert. Manchmal wird eine .doc gefiltert und entsprechend eine .txt angehangen (das eine Datei entfernt wurde), manchmal gehen Dateien durch.
Bei .exe genau das gleiche

hier im Moment noch mal das komplette Regelwerk:

Wenn eine Email eingeht
- und mit Inhalt dessen | Dateiendung | enthält | doc
- oder mit Inhalt dessen | Dateiendung | enthält | zip
- oder mit Inhalt dessen | Dateiendung | enthält | exe
- oder enthält einen Virus
zutreffenden Inhalt filtern.

Warum kommen teilweise DOC´s und ZIPs durch, warum werden Sie teilweise gefiltert?

Generieren Sie doch mal eine Filterregel, welche sowohl auf Dateiendungen als auch MIME-Typs greift (vollständige Liste hier: http://www.iana.org/assignments/media-t ... ypes.xhtml).
Dazu am besten:

Wenn eine E-Mail eingeht
und mit Inhalt dessen | Dateiendung | ist | doc
oder mit Inhalt dessen | Dateiendung | ist | docx
oder mit Inhalt dessen | MIME-Typ | ist | application/msword
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.openxmlformats-officedocument.wordprocessingml.document
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.openxmlformats-officedocument.wordprocessingml.template
oder mit Inhalt dessen | MIME-Typ | ist | application/vnd.ms-word.template.macroEnabled.12
oder mit Inhalt dessen | Dateiendung | ist | exe
oder mit Inhalt dessen | MIME-Typ | ist | application/octet-stream
oder mit Inhalt dessen | Dateiendung | ist | zip
oder mit Inhalt dessen | MIME-Typ | ist | application/zip

Problem besteht weiterhin, TEILWEISE werden Anhänge entfernt, TEILWEISE gehen Sie durch ..

Beobachte bei uns dasselbe, sehr unbefriedigend.

Dürfte ich an dieser Stelle auch mal einen Featurerequest starten?
Wie wäre ein Regelassistent, der z.B: bei "alle ausführbaren Dateien", alle exe, com, scr etc, bei "alle Skriptdateien", alle cmd, bat, js, vbs etc, bei alle Worddateien, alle doc, docx, docm etc und die jeweiligen MIME-Types einträgt.
Das wäre eine große Entlastung.

Den Wunsch hab ich auch!

Trägst du ihn ein?
http://www.securepoint.de/support-servi ... chbox.html

Gruß

Franz

Heute hat die Appliance eine pdf gefiltert, obwohl gar keine passende Regel vorhanden ist.
Überhaupt nicht nachvollziehbar, da es ja auch nicht mal im Log irgendwo auftaucht.
Andere pdf-Anhänge kamen normal durch.

Franz hat geschrieben:Den Wunsch hab ich auch!

Trägst du ihn ein?
http://www.securepoint.de/support-servi ... chbox.html

Bitte sehr
http://wunschbox.securepoint.de/forums/ ... mailfilter

Hallo nraeth,

in der aktuellen Version 11.6 gibt es im LiveLog eine Meldung welche Mailfilterregel auf die Mail angewandt wurde.

Gruß

Kenneth

Kenneth hat geschrieben: in der aktuellen Version 11.6 gibt es im LiveLog eine Meldung welche Mailfilterregel auf die Mail angewandt wurde.

Hab am Logserver durchgesehen und nix gefunden. Welcher Meldungstyp denn?

Hallo,

die Meldung kommt vom Dienst "mailscanner": Gruß

Kenneth

PDF wird teilweise gefiltert, obwohl für die Suffix die Regel auf "E-Mail annehmen" steht.
Und was noch gefährlicher ist:
Anhang mit Suffix PDF steht auf "E-Mail annehmen"
Anhang aller restlichen Suffixe steht mit Regex "." auf "zutreffenden Inhalt filtern" (also z.B. auch DOCX).
Nun kommt eine Mail mit 2 angehängten Dateien. Eine PDF und eine DOCX.
Und beide Anhänge landen beim Empfänger.

Kenneth hat geschrieben:die Meldung kommt vom Dienst "mailscanner":

Code: Alles auswählen

Feb 22 16:00:19 mailscanner[6335]: action=REJECT from=evil@spammer.cc to=support@securepoint.de selectors=SPAM_Verified  flags=SPAM:VERIFIED

Danke, gefunden. Viel schlauer bin ich nun aber auch nicht, warum er jetzt diesen einen Anhang gefiltert hat...

Der "SPAM"-Flag wird vom Cyren-Antispam-Daemon gesetzt. Cyren bewertet eine Email (und deren Absender) anhand mehrerer Punkte (Fuzzy Hash, Menge der Emails pro Zeit, ...) und berechnet anhand dessen die Wahrscheinlichkeit, dass eine bestimmte Email Spam ist. Wir können auch nicht in diesen Dienst reinschauen, sondern bekommen nur das Ergebnis mitgeteilt.

Ich bin ehrlicherweise froh, dass wir nach der SP UTM noch ein weiteres Mailgateway eines anderen Anbieters einsetzen.
Der Mailfilter ist salopp gesagt schwach!!! Und das betrifft sowohl die Filterung von SPAM als auch den Schutz vor Viren.
Nur gut, dass ich die Filterung von Anhängen auf der SP UTM gar nicht erst eingerichtet habe, sondern das über das nachgelagerte Mailgateway erledige.

Erik hat geschrieben:Der "SPAM"-Flag wird vom Cyren-Antispam-Daemon gesetzt. Cyren bewertet eine Email (und deren Absender) anhand mehrerer Punkte (Fuzzy Hash, Menge der Emails pro Zeit, ...) und berechnet anhand dessen die Wahrscheinlichkeit, dass eine bestimmte Email Spam ist. Wir können auch nicht in diesen Dienst reinschauen, sondern bekommen nur das Ergebnis mitgeteilt.

Falls das eine Antwort auf mich war: Es geht nicht um Spam.
Es wurde ein Anhang entfernt mit einer Filterregel, die auf diesen Anhang absolut nicht zutraf.
Und da half mir der Logeintrag halt nicht wirklich.

Erik hat geschrieben:Der "SPAM"-Flag wird vom Cyren-Antispam-Daemon gesetzt. Cyren bewertet eine Email (und deren Absender) anhand mehrerer Punkte (Fuzzy Hash, Menge der Emails pro Zeit, ...) und berechnet anhand dessen die Wahrscheinlichkeit, dass eine bestimmte Email Spam ist. Wir können auch nicht in diesen Dienst reinschauen, sondern bekommen nur das Ergebnis mitgeteilt.

Deswegen ist es ja so ärgerlich, dass der Bayes'sche Filter hinter dem Daemon aus der Version 10 eliminiert wurde. Man verlässt sich voll auf einen nicht beeinflussbaren Dienst. Außerdem wurde mit dem Mailfilter die Usability ad absurdum geführt. Selbst simple White-/Blacklisten sind 4stufige Regelwerke. Warum einfach, wenn's kompliziert geht. Syntax gehört nicht immer primär in ein Admin-Interface und wenn dann nur optional in einem erweiterten Interface. Das Ding heisst nicht umsonst Schwarz- oder Weiß, also ablehnen oder annehmen und die Unterscheidung, ob "Sender" "ist" oder "enthält" bzw. "Header-Feld From" "ist" oder "enthält" gehört für eine gute Usability unter die Haube. Über einen erweiterten Modus könnte man das vollständige Regelwerk wie o. g. erzeugen und ggf. vom User anpassen lassen. In der v10 war das noch halbwegs praktikabel, außer dass die alphabetische Sortierung gefehlt hat. Es gab "Blacklist" und "Whitelist" und die Unterscheidung nach Email, Domain und Host. Warum nicht dieses einfache Schema in der Oberfläche ausbauen?
Ähnlich geht es doch den Kunden hier im Thread und dem Filtern von Anhängen. Ein HowTo hilft da zwar, löst aber grundsätzliche Probleme der Usabilty in der v11 nicht, wie hier eindrucksvoll ersichtlich wird. Das geht vom Mailfilter über die zahlreichen wiederkehrenden RegEx-Einträge bis hin zum User-Webinterface.
Wie schwierig es das für Endnutzer macht, zeigt auch ihr Support-Modell bzw. wieder einmal dieser Thread. Wir müssen meist über relativ trägen Support der Reseller gehen, die dann aufgrund von unzureichendem Wissen auf den 2-Level-Support zugreifen müssen, was aber eben auch nicht alle Probleme zeitnah löst.
MfG
PP