Daniel-H 10 Geschrieben 10. Mai 2011 Melden Teilen Geschrieben 10. Mai 2011 Hallo, ich habe das Problem, dass E-Mails eines ganz bestimmten organisationsinternen Exchangeusers regelmäßig bei Mitarbeitern der selbern Exchangeorganisation im Junk-Ordner von Outlook landen. Die Option "Absender zur Liste siecherer Absender hinzufügen" kann in dem Fall nicht genutzt werden (Fehlermeldung: "interner User"). Mir ist nicht klar, warum die Mails im Junk landen. Der einzige Unterschied zu allen anderen Mitarbeitern ist, das er via IMAP/SMTP (Thunderbird) auf sein Postfach zugreift. Folgendes schreibt Exchange in den Header: X-MS-Exchange-Organization-AuthSource: DC1.intern.domain.de X-MS-Exchange-Organization-AuthAs: Internal X-MS-Exchange-Organization-AuthMechanism: 06 X-Originating-IP: [122.161.168.100] X-MS-Exchange-Organization-SCL: 6 X-Spam-Flag: NO X-Spam-Status: NO, hits=6 required=7, ct-refid=[str=0001.0A3C0202.4DC8C4CE.0036,ss=1,fgs=0], database-version=[2010-10-05_01], tests=CTENGINE_UNKNOWN,DNS_AVAILABLE,FS_UNTRUSTED_2,HTML_MESSAGE,RCVD_IN_PBL,RCVD_IN_SORBS_DUL,RCVD_IN_XBL,FS_CLASS_SPAM_6 Hat jemand eine Idee, warum Outlook das trotz "X-Spam-Flag: No" als SPAM klassifiziert? Danke, Daniel Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 10. Mai 2011 Melden Teilen Geschrieben 10. Mai 2011 Hallo, Du machst mir ja Spaß. Soll das ein heiteres Ratespiel werden? Ein bisschen mehr Infos wären nicht schlecht. Z.B. Exch-Version, Anti-SPAM-Software etc. Sieht so aus, als würde die Mail einen SCL-Wert von 6 haben. Wird daher auch als SPAM behandelt. Interne Nachrichten bekommen meines Wissens durch den IMF den Wert -1 . (korrigiert mich, wenn ich da falsch liege :) ). Ich tippe da auf einen falsch konfigurierten Fremdscanner. Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 10. Mai 2011 Melden Teilen Geschrieben 10. Mai 2011 Hallo. Um welche Exchange Version geht es den überhaupt? LG Günther Zitieren Link zu diesem Kommentar
Daniel-H 10 Geschrieben 11. Mai 2011 Autor Melden Teilen Geschrieben 11. Mai 2011 Du machst mir ja Spaß. Soll das ein heiteres Ratespiel werden? Ein bisschen mehr Infos wären nicht schlecht. Z.B. Exch-Version, Anti-SPAM-Software etc. Sorry, glatt vergessen: Exchange 2010 SP1 auf 2K8SP1. MS Anti-Spam ist im Hubtransport aktiviert. Zusätzlich läuft ein F-Secure SPAM-Agent auf Basis von SpamAssasin. Sieht so aus, als würde die Mail einen SCL-Wert von 6 haben. Wird daher auch als SPAM behandelt. Interne Nachrichten bekommen meines Wissens durch den IMF den Wert -1 . (korrigiert mich, wenn ich da falsch liege :) ). Ich tippe da auf einen falsch konfigurierten Fremdscanner. Stimmt, -1 wäre für intern normal. Der Fremdscanner fasst diese "X-MS_Exchange..." Werte angeblich nicht an, er trägt eigene Header ein, die bei diesen Mails allerdings fehlen (noch so eine Merkwürdigkeit)... THX, Daniel Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 11. Mai 2011 Melden Teilen Geschrieben 11. Mai 2011 Dann schau Dir halt mal die Spam-Logs an Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 11. Mai 2011 Melden Teilen Geschrieben 11. Mai 2011 Stimmt, -1 wäre für intern normal. Der Fremdscanner fasst diese "X-MS_Exchange..." Werte angeblich nicht an, er trägt eigene Header ein, die bei diesen Mails allerdings fehlen (noch so eine Merkwürdigkeit)... Korrekt, was irgendwie aber darauf schliessen läßt, dass Mails dieses Users eben nicht als intern erkannt werden. Nutzt der User denn Outlook im Exchange Mode, oder sendet er möglicherweise per SMTP? Bye Norbert Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 11. Mai 2011 Melden Teilen Geschrieben 11. Mai 2011 X-Originating-IP: [122.161.168.100] Was ist das denn für eine IP? Intern, extern oder unbekannt? Zitieren Link zu diesem Kommentar
Daniel-H 10 Geschrieben 11. Mai 2011 Autor Melden Teilen Geschrieben 11. Mai 2011 (bearbeitet) Korrekt, was irgendwie aber darauf schliessen läßt, dass Mails dieses Users eben nicht als intern erkannt werden. Nutzt der User denn Outlook im Exchange Mode, oder sendet er möglicherweise per SMTP? Siehe erster Post: "...via IMAP/SMTP (Thunderbird)..." Dann schau Dir halt mal die Spam-Logs an Outlook hat SPAM-Logs? Exchange sagt: 2011-05-10T04:53:33.717Z,08CDDB7D4CD148CC,192.168.xxx.xxx:25,122.161.168.100:17677,122.161.168.100,<4DC8C4C7.8060808@domain.de>,sender@domain.de,sender@domain.de;,receiver@domain.de;cc-receiver@domain.de,2,Content Filter Agent,OnEndOfData,AcceptMessage,,SCL,not available: policy is disabled., Was ist das denn für eine IP? Intern, extern oder unbekannt? Unbekannt. Der User sitzt als Roadwarrior in Indien... Noch ergänzend unsere Konfiguration: - Absenderfilterung aktiviert, Liste enthält nur einen Eintrag sowie "ohne Absender" - Absenderzuverlässigkeit: Wert 7 - Anbieter für zugelassene IPs: keine - Empfängerfilterung: blockiert nur unbekannte Empfänger - Inhaltfilterung: löschen/isolieren deaktiviert, ablehnen bei SCL 9 - Sperrlistenanbieter: keine - Sender-ID: deaktiviert (macht sonst Probleme mit F-Secure) bearbeitet 11. Mai 2011 von Daniel-H Zitieren Link zu diesem Kommentar
Daniel-H 10 Geschrieben 11. Mai 2011 Autor Melden Teilen Geschrieben 11. Mai 2011 Hab grad gelesen (Understanding Spam Confidence Level Threshold: Exchange 2010 SP1 Help) das es neben den SCLs der Inhaltsfilterung einen SCLJunkThreshold auf Mailboxebene gibt. Weiss jemand den Dafaultwert oder wie man den Wert per PS auslesen kann (get-mailbox)? Update: Hat sich erledigt: "get-OrganizationConfig", Default: 4 Da die Mail SCL 6 hat, landet sie folgerichtig im Junk. An dem Wert möchte ich auch nicht drehen, da es kontraproduktiv wäre. Bleibt also zu klären, warum der SCL bei der internen Mail nicht auf -1 gesetzt wird.... Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 11. Mai 2011 Melden Teilen Geschrieben 11. Mai 2011 Hi. Für den Exchange ist das kein internes Mail, weil: - Der einzige Unterschied zu allen anderen Mitarbeitern ist, das er via IMAP/SMTP (Thunderbird) auf sein Postfach zugreift - Der User sitzt als Roadwarrior in Indien... Das heißt, für den Exchange kommt eine Mail aus der eigenen Domain über eine externe IP Adresse. Das ist für jeden SPAM Filter ein gefundenes Fressen ;) Nimm dieses externen User in die Whitelist des Exchange auf, und es sollte auch von extern klappen - dein Stichwort dazu "Set-ContentFilterConfig -BypassedSenders" LG Günther Zitieren Link zu diesem Kommentar
Daniel-H 10 Geschrieben 11. Mai 2011 Autor Melden Teilen Geschrieben 11. Mai 2011 Vielen Dank Günther! Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 11. Mai 2011 Melden Teilen Geschrieben 11. Mai 2011 Bitte gerne geschehen :) LG Günther Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 11. Mai 2011 Melden Teilen Geschrieben 11. Mai 2011 Wenn sich aber der Externe authentifiziert, sollte das eigentlich nicht als Spam gelten, sondern SCL-1 bewirken. Insofern wäre es ja eher interessant, was diese Konfiguration falsch macht. ;) Bye Norbert Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Wenn sich aber der Externe authentifiziert Müsste dann im Log nicht die interne IP erscheinen? Insofern wäre es ja eher interessant, was diese Konfiguration falsch macht Vermutlich genau das was du vermutest. Es wir über einen fremden Relayhost versendet. LG Günther Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 12. Mai 2011 Melden Teilen Geschrieben 12. Mai 2011 Stimmt. Aber wenn von einem fremden Relayhost gesendet wird, ist das sowieso ne ziemlich "kranke" Konfig, die es zuläßt, dass mich solche Hosts mit meinen eigenen Usern "bemailen". Bzw. wenn schon, dann muß so ein Host als intermediate eingetragen werden, um dieses Problem zu verhindern. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.