Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
HaPe
Themen-Autor
Beiträge: 39
Registriert: Di 09.05.2017, 22:40

Mailfilter Header From - Regex doppelte Absenderadressen bei mehrzeiligen Feldern

Di 04.06.2019, 20:50

Hallo,

ich wollte mir eigentlich einen Regex basteln, der auf Dinge wie z.B. "Bekannter" <bekannter@domain.at> <echterabsender@absenderdomain.com> im FROM-Feld einer Mail matcht und diese entweder in Quarantäne nimmt oder ablehnt.

Das dürfte mir mit .*<.*@.*[<>].*@.*>.* lt. Regexpal.com auch gut gelungen sein (es gibt dann ja noch momentan gängige Sonderformen ala "Bekannter <bekannter@domain.at>" 3Cechterabsender@absenderdomain.com>, usw.)

In der Praxis stehe ich allerdings vor dem Problem, dass der Regex nicht mehr matcht, weil das FROM-Feld neuerdings teilweise mehrzeilig sein dürfte - ich habe dazu leider keine passende Mail im Klartext, sofern ich mir die Header allerdings in der Quarantäne des am Exchange installierten ESET Mailsecurity ansehe steht die Absenderadresse des Bekannten gleich rechts neben FROM: und eine Zeile darunter dann die echte Absenderadresse in spitzen Klammern, bevor es noch eine Zeile darunter mit den restlichen Header-Feldern weitergeht.

Daher habe ich folgende Fragen:
* Wie kriege ich meinen RegEx dazu, dass er auch bei mehrzeiligen Feldern matcht (am besten egal, wo der Zeilenumbruch enthalten ist)?
* Wie verhält sich die UTM im Falle eines mehrzeiligen FROM-Feldes? (Den kompletten mehrzeiligen Feldinhalt nehmen und für die Prüfung umwandeln zu einzeilig z.B. durch ersetzen des Zeilenumbruchs durch ein Leerzeichen bzw. entfernen des Zeilenumbruchs dürfte es ja nicht sein, sonst müsste der RegEx ja nun auch schon funktionieren)
* Sonderfall UTF-8: UTF-8 codierte Felder werden momentan so belassen wie sie sind und nicht für den Mailfilter decodiert - oder doch?

Eventuell kann mir hier jemand mit meinem "Projekt" weiterhelfen :)
 
 
HaPe
Themen-Autor
Beiträge: 39
Registriert: Di 09.05.2017, 22:40

Re: Mailfilter Header From - Regex doppelte Absenderadressen bei mehrzeiligen Feldern

Fr 05.07.2019, 15:17

Hallo,

danke für den Tipp!

Es müsste ja eine m-Option geben - die sollte das sein, was ich möchte (kompletten mehrzeiligen Text als einzeilig behandeln - sofern er überhaupt von der Securepoint komplett mehrzeilig erfasst wird) - ich steh aber entweder gewaltig auf dem Schlauch oder bin wohl zu wenig Programmierer um das an der richtigen Stelle einzubauen.

Somit bin ich mal zwischenzeitlich bei diesem hier gelandet:

.*<.*@.*[<>\s]{2,}.*@.*>.*

Allerdings habe ich das Ganze mal nach hinten gereiht, da die Mails, die hierauf passen im Moment nur noch relativ selten kommen.

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste