Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
HaPe
Themen-Autor
Beiträge: 24
Registriert: Di 09.05.2017, 22:40

Mailfilter Header From - Regex doppelte Absenderadressen bei mehrzeiligen Feldern

Di 04.06.2019, 20:50

Hallo,

ich wollte mir eigentlich einen Regex basteln, der auf Dinge wie z.B. "Bekannter" <bekannter@domain.at> <echterabsender@absenderdomain.com> im FROM-Feld einer Mail matcht und diese entweder in Quarantäne nimmt oder ablehnt.

Das dürfte mir mit .*<.*@.*[<>].*@.*>.* lt. Regexpal.com auch gut gelungen sein (es gibt dann ja noch momentan gängige Sonderformen ala "Bekannter <bekannter@domain.at>" 3Cechterabsender@absenderdomain.com>, usw.)

In der Praxis stehe ich allerdings vor dem Problem, dass der Regex nicht mehr matcht, weil das FROM-Feld neuerdings teilweise mehrzeilig sein dürfte - ich habe dazu leider keine passende Mail im Klartext, sofern ich mir die Header allerdings in der Quarantäne des am Exchange installierten ESET Mailsecurity ansehe steht die Absenderadresse des Bekannten gleich rechts neben FROM: und eine Zeile darunter dann die echte Absenderadresse in spitzen Klammern, bevor es noch eine Zeile darunter mit den restlichen Header-Feldern weitergeht.

Daher habe ich folgende Fragen:
* Wie kriege ich meinen RegEx dazu, dass er auch bei mehrzeiligen Feldern matcht (am besten egal, wo der Zeilenumbruch enthalten ist)?
* Wie verhält sich die UTM im Falle eines mehrzeiligen FROM-Feldes? (Den kompletten mehrzeiligen Feldinhalt nehmen und für die Prüfung umwandeln zu einzeilig z.B. durch ersetzen des Zeilenumbruchs durch ein Leerzeichen bzw. entfernen des Zeilenumbruchs dürfte es ja nicht sein, sonst müsste der RegEx ja nun auch schon funktionieren)
* Sonderfall UTF-8: UTF-8 codierte Felder werden momentan so belassen wie sie sind und nicht für den Mailfilter decodiert - oder doch?

Eventuell kann mir hier jemand mit meinem "Projekt" weiterhelfen :)
 

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 5 Gäste