Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Partypapst
Themen-Autor
Beiträge: 41
Registriert: Sa 19.09.2015, 01:20

Mailfilter (Fehlender Absender)

Do 06.09.2018, 08:27

Hallo,

wir haben eine RC200 mit UTM 11.7.12 und ich möchte Mail mit fehlendem Absender in die Quarantäne verschieben.
Wie muss die Regel konkret aussehen?
Bild
https://picload.org/view/dlipdcrr/mailf ... r.jpg.html
BildBildBild
Danke
PP
 
kennethj
Beiträge: 156
Registriert: Di 25.04.2017, 10:17

Re: Mailfilter (Fehlender Absender)

So 09.09.2018, 10:45

Guten Morgen,

am besten funktioniert das mit einem Regex:

und Sender -> pass auf Regex -> ^$ 
^ -> Start of Line
$ -> End of Line

Gruß

Kenneth
 
Partypapst
Themen-Autor
Beiträge: 41
Registriert: Sa 19.09.2015, 01:20

Re: Mailfilter (Fehlender Absender)

Di 13.11.2018, 11:16

Danke kennethj,

Funktioniert leider nicht. Es kommen immer noch Mails "ohne Absender" durch, zumindest werden im Userinterface keine Absender angezeigt.
Im Outlook steht dann irgendeine Mailadresse angezeigt und es handelt sich bei uns zu 100% um Spam.
Ist es vielleicht eher dieser Ausdruck?

und Header-Feld "From" -> passt auf Regex -> ^$

Was bezeichnet "Sender" und was "Header-Feld From"?
Irgendwie unlogisch dieser ganze Wirrwarr nur für 'ne simple Blacklist.
Bei anderen Anbietern ist das wie in Version 10 'ne sehr übersichtliche Tabelle, wo der User/Admin einen Host, Domain oder Mailadresse eingibt, die dann auch noch alphabetisch geordnet sind.
Um fehlende Absenderdaten (kommt ja eigentlich (fast) nur bei gescripteten Massenmails vor) reicht in diesen GUIs dann das Setzen eines Haken. Der Vorschlag kam schon vor vielen Monden bei Umstellung auf die Version 11.

Grüße
PP
 
kennethj
Beiträge: 156
Registriert: Di 25.04.2017, 10:17

Re: Mailfilter (Fehlender Absender)

Di 13.11.2018, 11:24

Hallo,

ich teste das mal die Tage nochmal bei gegen (ich weiß auf jedenfall das der Regex mal funktioniert hat)
Bezüglich Ihrer Frage:

Header-Feld From: -> Bezieht sich auf das Header-Feld From
Sender bezieht sich auf den Sender in der SMTP Kommunikation ( mail from: )

Gruß
 
Partypapst
Themen-Autor
Beiträge: 41
Registriert: Sa 19.09.2015, 01:20

Re: Mailfilter (Fehlender Absender)

Di 13.11.2018, 12:15

Also (Header-Feld "From" -> passt auf Regex -> ^$ ) ist es auch nicht, aber eben auch nicht (Sender -> pass auf Regex -> ^$)
Gerade ist wieder eine CEO-Fraud Mail durchgekommen, die keinen Sender im UI hat.
Ist echt nervig und gefährlich, da ja offensichtlich das Outlook-Header-Feld "From" plausibel gefaked wird, das Sender-Feld aber zumindest im Securepoint-UI leer ist.
Wobei ich mir unsicher bin, unter welchen Voraussetzungen das überhaupt sein kann bzw. darf.

https://picload.org/view/dcolcior/fehle ... r.jpg.html

Gruß
PP
 
Partypapst
Themen-Autor
Beiträge: 41
Registriert: Sa 19.09.2015, 01:20

Re: Mailfilter (Fehlender Absender)

Di 13.11.2018, 12:21

Wobei auch zu bemerken ist, dass der "Spamerkennungdienst" (Commtouch?) hier fleißig "Bullshit-Bingo" spielt und mal Mails mit *.doc(x) durchlässt und manchmal nicht.
Hier wäre natürlich von Vorteil, wenn dieser Dienst schon eine Plausibilitätsprüfung übernimmt. So wie ich das vermute, wird ja im SMTP-Ablauf schon der Sender "manipuliert", so dass dort nix steht.
 
merlin
Beiträge: 159
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Re: Mailfilter (Fehlender Absender)

Do 15.11.2018, 18:16

Hallo,

mit der aktuellen Virenwelle haben wir auch damit zu kämpfen.
Allerdings ist das FROM-Feld in den Mails nicht leer, sondern ist folgendermaßen aufgebaut:

From: Vorname Nachname <eine.mail@adresse.de> <eine.andere.mail@adresse.de>

Das scheint im Webinterface als leeres Feld angezeigt zu werden.

Könnte man vielleicht irgendwie nach der Zeichenfolge "> <" filtern, oder hat noch jemand eine Idee?

Gruß
Rolf
 
Michael Schürle
Beiträge: 3
Registriert: Mi 21.11.2018, 11:43

Re: Mailfilter (Fehlender Absender)

Mi 21.11.2018, 17:11

Was bei uns gut funktioniert ist folgende Regel:
Protokoll ist SMTP
und Header-Feld From passt auf regex .*<.*>.*<.*>.*
E-Mail in Quarantäne nehmen

Wir hatten bis dato keine false positives, aber ausschließen kann man natürlich nicht, dass jemand "Vorname Nachname <vorname.nachname@domain.tld>" als Anzeigename benutzt und damit auch in der Quarantäne landet.

Gruß
  Micha
 
Partypapst
Themen-Autor
Beiträge: 41
Registriert: Sa 19.09.2015, 01:20

Re: Mailfilter (Fehlender Absender)

Mo 26.11.2018, 13:03

Danke, das probieren wir mal so aus.

Gruß
PP
 
merlin
Beiträge: 159
Registriert: So 01.07.2007, 12:34
Wohnort: Erlangen

Re: Mailfilter (Fehlender Absender)

Mo 26.11.2018, 16:34

Hallo,

zur Info:
Hübsche neue Variante heute im FROM-Feld:

From: =?UTF-8?B?Vm9ybmFtZSBOYWNobmFtZSA8dm5AYWRyZXNzZS5kZT4==?= <eine.andere.mail@adresse.de>

Hier zeigt das Webinterface einen Absender an: eine.andere.mail@adresse.de
Davor steht dann UTF-8-Base64 kodiert: Vorname Nachname <vn@adresse.de>

Ziemlich lästig das Ganze.

Gruß
Rolf
 
Partypapst
Themen-Autor
Beiträge: 41
Registriert: Sa 19.09.2015, 01:20

Re: Mailfilter (Fehlender Absender)

Fr 30.11.2018, 13:30

Michael Schürle hat geschrieben:
Was bei uns gut funktioniert ist folgende Regel:
Protokoll ist SMTP
und Header-Feld From passt auf regex .*<.*>.*<.*>.*
E-Mail in Quarantäne nehmen

...

Passt bei uns bisher auch. Ich habe noch eine weitere Regel ergänzt

Protokoll ist SMTP
und Header-Feld From enthält ?UTF-8?
E-Mail in Quarantäne nehmen



Grüße
PP

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste