soulseeker 13 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 Hallo zusammen, hier läuft vor unserer Exchange Farm ein zweistufiges Antispam-Konzept mit zwei unterschiedlichen Appliances, durch die Mails durchgeleitet werden. Leider kommt es (zwar selten) schonmal vor, dass die Antispam-Engine bei einer der Appliances streikt. Der Dienst läuft dann weiter, aber der Mailspool verarbeitet dann keine Mails mehr, d.h. im Exchange kommt nichts mehr an. Das ist letztens erst nach mehreren Stunden aufgefallen. Zum Monitoring setzen wir u.a. PRTG ein, aber da finde ich noch keine Option, eingehende Mails, bzw. das ungewöhnliche Vorkommen, dass mal längere Zeit nichts mehr eingeht zu überwachen. Momentan hätte ich die Idee, das ich die eingehenden Mails pro Stunde auf dem Exchange per Powershell zähle und wenn diese z.B. innerhalb einer Stunde zur Kernarbeitszeit 0 ist, einen Alarm triggere. Eine andere Idee wäre, pro Stunde eine Mail an eine externe Adresse zu senden und dort einen Forwarder auf ein anderes Postfach einrichte. Wenn die dann per Powershell gesendete Mail nicht wieder in ein Alarmpostfach ankommt, dann ebenfalls einen Alarm triggern. Habt ihr vielleicht andere/bessere Ideen? VG Marcel Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 vor 8 Minuten schrieb soulseeker: Momentan hätte ich die Idee, das ich die eingehenden Mails pro Stunde auf dem Exchange per Powershell zähle und wenn diese z.B. innerhalb einer Stunde zur Kernarbeitszeit 0 ist, einen Alarm triggere. Aufgrund von managed availablity im Exchange sollte die aber bei einem funktionierenden Exchange nie 0 sein. Insofern wär das eher eine falsche Monitoringmethode. Wie wärs, wenn du die ausgehenden Mails auf der Appliance monitorst? ;) Denn die is schließlich der Verursacher. (Was genau nutzt ihr da?). Bye Norbert Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 22. Mai 2023 Autor Melden Teilen Geschrieben 22. Mai 2023 Wir nutzen im ersten Step den NoSpamproxy, der aber noch nie gestreikt hat. Die Mails laufen dann weiter in eine Sophos UTM, wo die Antispam-Engine momentan öfters mal "hängt". Da weiß ich leider momentan noch nicht, wie ich da die ausgehenden Mails überwachen, bzw. unser PRTG antriggern könnte. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 vor 4 Minuten schrieb NorbertFe: Aufgrund von managed availablity im Exchange sollte die aber bei einem funktionierenden Exchange nie 0 sein. Insofern wär das eher eine falsche Monitoringmethode. Wie wärs, wenn du die ausgehenden Mails auf der Appliance monitorst? ;) Denn die is schließlich der Verursacher. (Was genau nutzt ihr da?). Oder den Dienst direkt, dafür müsste man wissen was ihr davor habt Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 Ich bezweifle, dass die Sophos wirklichen Benefit für die Antispamfilterung bringt, wenn davor ein NoSpamProxy läuft. Habt ihr da mal angesetzt? ;) Ich würde das problemverursachende Glied aus der Kette entfernen. 1 Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 vor 40 Minuten schrieb NorbertFe: Ich bezweifle, dass die Sophos wirklichen Benefit für die Antispamfilterung bringt, wenn davor ein NoSpamProxy läuft. Habt ihr da mal angesetzt? ;) Ich würde das problemverursachende Glied aus der Kette entfernen. Sehe ich auch so Wenn dann anders herum, wobei es derzeit kaum etwas besseres als die NSP gibt - meiner Meinung nach - lass die UTM weg Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 22. Mai 2023 Autor Melden Teilen Geschrieben 22. Mai 2023 Sorry, Sophos XGS :) Die benutzen wir ganz gerne noch wegen der Mail-Quarantäne und Anlagenverwaltung. Ich werde aber nochmal die Diskussion anregen, ob wir das nicht evtl. auch auf den NSP umlegen. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 vor 10 Minuten schrieb soulseeker: Sorry, Sophos XGS :) Machts nicht besser. Die XGS kann an der Stelle nichts irgendwie anders/besser als die SG und die war schon suboptimal. Ich würde alles im NSP regeln. Der wird aktiv weiterentwickelt. Das kann man meiner Meinung nach von der Mailsecurity-Komponente der XGS nicht behaupten. Bye Norbert Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 22. Mai 2023 Autor Melden Teilen Geschrieben 22. Mai 2023 ok, ich danke euch für den Input :) Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 vor 51 Minuten schrieb soulseeker: Die benutzen wir ganz gerne noch wegen der Mail-Quarantäne und Anlagenverwaltung. Ich werde aber nochmal die Diskussion anregen, ob wir das nicht evtl. auch auf den NSP umlegen. Nö, das kann der NSP auch besser Wir hatten das so eingestellt, das ALLE Office-Dokumente grundsätzlich als konvertiertes PDF weitergeleitet werden (auf der 1ten Seite wir ein Hinweis davor geschaltet) und die eigenlichen Office-Dokumente bleiben auf der NSP Wenn dann doch jemand die Datei braucht (ist in 97% der Fälle nicht so!) schicken die User eine kurze Mail an den internen Support und der gibt den Anhang frei, dre User bekommt eine Mail von dem NSP und kann sich das Dokument herunterladen (inkl. Monitoring wann das war) Schafft auf beiden Seiten (Anwender und Support) Vertrauen und Sicherheit My2Cent Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 Für das Monitoring könntest Du den SMTP&IMAP-Roundtrip-Sensor vom PRTG einsetzen. Damit kannst Du regelmässig eine E-Mail an die vorderste Appliance (also den MX) schicken und er prüft per IMAP, ob diese auf dem Exchange ankommt. Aber ich schliesse mich meinen Vorrednern an und würde mich auf einen Filter konzentrieren, in diesem Fall ist der NSP die bessere Wahl. Da Du es erwähnt hast und es evtl. in der Diskussion mit dem Vorgesetzten auftauchen kann: E-Mail-Quarantäne ist eine schlechte Idee. Damit müssen entweder die Mitarbeiter regelmässig den Inhalt des Spam-Ordners prüfen (was den Zeitgewinn durch Spamfilterung mindert) oder aber E-Mails werden "vergessen", ohne dass der Absender eine Meldung bekommt. Moderne Filter haben so wenige False Positives, dass es besser ist, als Spam oder Viren erkannte E-Mails abzulehnen. Dann wird der Absender benachrichtigt und kann entsprechend reagieren. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 vor 3 Minuten schrieb mwiederkehr: Da Du es erwähnt hast und es evtl. in der Diskussion mit dem Vorgesetzten auftauchen kann: E-Mail-Quarantäne ist eine schlechte Idee. Damit müssen entweder die Mitarbeiter regelmässig den Inhalt des Spam-Ordners prüfen (was den Zeitgewinn durch Spamfilterung mindert) oder aber E-Mails werden "vergessen", ohne dass der Absender eine Meldung bekommt. Moderne Filter haben so wenige False Positives, dass es besser ist, als Spam oder Viren erkannte E-Mails abzulehnen. Dann wird der Absender benachrichtigt und kann entsprechend reagieren. Unterschreibe ich zu 100%. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 Moin, ich sogar zu 101%. Gruß, Nils ... der einen Kunden hat, der sich einen Spamreport in ExO nachbauen lässt, wie man ihn Anfang der 2000er hatte ... Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 22. Mai 2023 Melden Teilen Geschrieben 22. Mai 2023 vor 2 Minuten schrieb NilsK: ich sogar zu 101%. Ich gehe mit und erhöhe auf 102%. 1 Zitieren Link zu diesem Kommentar
soulseeker 13 Geschrieben 22. Mai 2023 Autor Melden Teilen Geschrieben 22. Mai 2023 vor 49 Minuten schrieb Nobbyaushb: Wir hatten das so eingestellt, das ALLE Office-Dokumente grundsätzlich als konvertiertes PDF weitergeleitet werden (auf der 1ten Seite wir ein Hinweis davor geschaltet) und die eigenlichen Office-Dokumente bleiben auf der NSP Wenn dann doch jemand die Datei braucht (ist in 97% der Fälle nicht so!) schicken die User eine kurze Mail an den internen Support und der gibt den Anhang frei, dre User bekommt eine Mail von dem NSP und kann sich das Dokument herunterladen (inkl. Monitoring wann das war) Schafft auf beiden Seiten (Anwender und Support) Vertrauen und Sicherheit Ich halte das auch für eine sehr gute Idee, aber leider hat sich das hier bisher nicht durchsetzen lassen. Ich spreche das aber nochmal an. Ich wäre auch dafür, den Mailflow etwas zu vereinfachen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.