SPAM wird identifiziert, aber nicht verschoben

[SimonFB 10]

Hallo allerseits,

 

ich habe ein dringendes Problem mit meinem SPAM-Filter und hoffe, dass sich jemand findet, der mir auch beim 113. Beitrag dieser Art Hilfe leistet :)

 

Kurz zur Vorgeschichte: Netzwerk mit ~100 Benutzern, E-Mails wurden bisher über Ken via POP3 abgeholt und unserem Exchange 2007 übergeben. Spam-Filterung ist also bisher beim Provider (Strato) geschehen. Da es aber zunehmend Problem mit dem Abruf gab, wurde sehr kurzfristig der MX-Eintrag umgelegt, so dass wir jetzt selber Mailserver "spielen".

 

Zur Umgebung: Exchange 2007, SP2, aktueller Patchstand (auch beim IMF). Vorgelagert eine Firewall (Securepoint) als Mail-Relay mit Virenschutz. Ein paar Tage war auf der Firewall Greylisting (2 Minuten) aktivert - als erster Spam-Schutz sehr effektiv, allerdings gab es teilweise sehr große Verzögerungen (>6 Stunden) im Mailverkehr. Für den Kunden nicht hinnehmbar, Greylisting ist also erstmal wieder aus.

 

Das Problem: Soweit ich das sehen kann, wird Spam von der Transport-Rolle (Inhaltsfilter) erkannt und markiert, aber von der Mailboxrolle nicht in Junk-Mail verschoben.

SCLJunkTreshold ist auf "3" gesetzt, eine Mail (Header folgt) mit SCL von 4 landet trotzdem im Posteingang.

Schwellwerte zum Blocken, Isolieren oder Löschen sind vorerst nicht gesetzt, Mails sollen zu den Benutzern.

Der Einsatz vom Outlook-eigenen Filter scheidet aufgrund von Exchange-Online-Modus aus.

 

Received: from firewall.domain.local (192.168.3.10) by mail01.domain.local (192.168.3.7)
with Microsoft SMTP Server id 8.2.254.0; Wed, 23 Jun 2010 04:51:34 +0200
Received: from %IP DES SPAMMERS% ([%IP DES SPAMMERS%])	by firewall.domain.local
(8.14.4/8.14.4) with SMTP id o5N2pVa3015465	for
<benutzer@meinedomain.com>; Wed, 23 Jun 2010 04:51:33 +0200
Date: Wed, 23 Jun 2010 04:51:31 +0200
Message-ID: <201006230251.o5N2pVa3015465@firewall.domain.local>
From: <benutzer@meinedomain.com>
To: <benutzer@meinedomain.com>
Subject: %benutzer% VIAGRA ? Official Site -93%
MIME-Version: 1.0
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: 7bit
Return-Path: benutzer@meinedomain.com
X-MS-Exchange-Organization-PRD: meinedomain.com
X-MS-Exchange-Organization-SenderIdResult: None
Received-SPF: None (MAIL01.domain.local: benutzer@meinedomain.com does not  designate permitted sender hosts)
X-MS-Exchange-Organization-SCL: 4
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.9021.476;SID:SenderIDStatus None;OrigIP:192.168.3.10

 

Absender-E-Mail-Adresse ist gefälscht und gleich der Empfänger-Adresse.

 

Vielen Dank im Vorraus für Eure Mühe!

 

Gruß,

Simon

[marka 587]

Es gibt in Outlook ja die Möglichkeit, Nachrichten nach bestimmten Eigenschaften zu filtern.

Wir machen das auch so.

Unsere Barracuda ist so eingestellt, dass sie, außer Virenverseuchte Mails, Spam-Mails nur im Betreff mit [sPAM] markiert.

 

Die User haben eine Outlook-Regel, die die Nachrichten in den Junk-Ordner verschiebt, sobald im Betreff die Markierung auftaucht.

 

Das funktioniert auch im Online-Modus, da sich der Junkmail-Ordner ja auch im Postfach des Users befindet, und nicht lokal.

[NorbertFe 2.104]

Zur Umgebung: Exchange 2007, SP2, aktueller Patchstand (auch beim IMF). Vorgelagert eine Firewall (Securepoint) als Mail-Relay mit Virenschutz. Ein paar Tage war auf der Firewall Greylisting (2 Minuten) aktivert - als erster Spam-Schutz sehr effektiv, allerdings gab es teilweise sehr große Verzögerungen (>6 Stunden) im Mailverkehr. Für den Kunden nicht hinnehmbar, Greylisting ist also erstmal wieder aus.

 

Man muß Greylisting nur mal richtig konfigurieren. ;)

 

Das Problem: Soweit ich das sehen kann, wird Spam von der Transport-Rolle (Inhaltsfilter) erkannt und markiert, aber von der Mailboxrolle nicht in Junk-Mail verschoben.

 

Hast du den Junkfilter denn pro Postfach auch aktiviert? Ansonsten verschiebt da niemand was.

Teste doch mal per OWA, da sollte man den Haken am einfachsten erstmal setzen können.

 

SCLJunkTreshold ist auf "3" gesetzt, eine Mail (Header folgt) mit SCL von 4 landet trotzdem im Posteingang.

 

3 ist aber schon heftig. ;) Da dürften häufiger auch mal False Positives dabei sein.

 

Bye

Norbert

[SimonFB 10]

Man muß Greylisting nur mal richtig konfigurieren. ;)

Ich bin bei dem Thema recht neu und bin für Tipps offen ;)

In meiner Naivität habe ich gedacht, dass es die Sache der Senderseite ist, wann die Zustellung neu versucht wird - ich sperre ja nur ein oder zwei Minuten?

Antwort meiner Firewall als es aktiviert war:

reject=451 4.7.1 Greylisting in action, please come back in 00:01:00

 

Hast du den Junkfilter denn pro Postfach auch aktiviert? Ansonsten verschiebt da niemand was.

Teste doch mal per OWA, da sollte man den Haken am einfachsten erstmal setzen können.

Da war ich mir beim Informationen sammeln im Netz nicht sicher. Ich hatte es so verstanden:

1. Benutzereinstellungen überschreiben Organisationeinstellungen, wenn benutzerspezifisch nichts konfiguriert ist, greift Organisationseinstellung.

Ist das so falsch? Meine Mailboxkonfig ist dementsprechend nicht angepasst:

[PS] C:\Windows\system32>Get-Mailbox -Identity "Benutzer" | fl scl*,antispam*, identity


SCLDeleteThreshold     :
SCLDeleteEnabled       :
SCLRejectThreshold     :
SCLRejectEnabled       :
SCLQuarantineThreshold :
SCLQuarantineEnabled   :
SCLJunkThreshold       :
SCLJunkEnabled         :
AntispamBypassEnabled  : False
Identity               : local.domain/User/Nachname, Vorname

Muss ich also das Verschieben explizit für jede Mailbox aktivieren?

 

3 ist aber schon heftig. ;) Da dürften häufiger auch mal False Positives dabei sein.

3 ist heftig, ist klar. Dient aber auch ein bisschen zum Testen. Das dutzend Viagra-Mails heute morgen hat aber auch nur eine SCL von 4 bekommen, würde also bei einer Threshold von 4 nicht verschoben werden...?!

 

Gruß,

Simon

[SimonFB 10]

Es gibt in Outlook ja die Möglichkeit, Nachrichten nach bestimmten Eigenschaften zu filtern.

An diesen Weg habe ich auch schon gedacht, habe aber erstmal Abstand davon genommen, weil es ja "Exchange-intern" auch automatisch gehen müsste.

 

Wenn das nicht klappt, werde ich auch so verfahren. Wäre nur ein bisschen mehr Aufwand, weil im Unternehmen min. 3 Office-Versionen zum Einsatz kommen, und dementsprechend die Gruppenrichtlinenobjekte angepasst werden müssten.

[NorbertFe 2.104]

Ich bin bei dem Thema recht neu und bin für Tipps offen ;)

In meiner Naivität habe ich gedacht, dass es die Sache der Senderseite ist, wann die Zustellung neu versucht wird - ich sperre ja nur ein oder zwei Minuten?

Antwort meiner Firewall als es aktiviert war:

reject=451 4.7.1 Greylisting in action, please come back in 00:01:00

 

Ist ja auch korrekt. Du hast keinen Einfluß darauf, wie der Sender auf diese Meldung reagiert und den nächsten Zustellversuch startet. Deswegen gibt es bei vielen Produkten eben mehr als nur ein und aus ;)

 

Da war ich mir beim Informationen sammeln im Netz nicht sicher. Ich hatte es so verstanden:

1. Benutzereinstellungen überschreiben Organisationeinstellungen, wenn benutzerspezifisch nichts konfiguriert ist, greift Organisationseinstellung.

 

Teste es doch einfach mal. ;)

 

Muss ich also das Verschieben explizit für jede Mailbox aktivieren?

 

AFAIK ja. Geht zur Not ja per Script. ;)

 

 

Bye

Norbert

[SimonFB 10]

OK, im Nachhinein gesehen hätte ich es auch selber ausprobieren können. Gefehlt hat also tatsächlich nur die Einstellung per Mailbox.

 

Trotzdem finde ich die entsprechenden MS-Artikel zum Thema sehr uneindeutig - sowohl in Deutsch als auch in Englisch.

 

Vielen Dank an Euch für die Denkansätze, mir wurde sehr geholfen! :)

 

Grüße,

Simon

[NorbertFe 2.104]

Dacht ich mir schon. Ja, man muß sich das ein paar Mal durchlesen und auch testen, sonst wird das meist nix. Danach hat man dann aber das Prinzip der Spamfilterung in Exchange "gefressen" ;)

 

Bye

Norbert