[9.200][ANSWERED] SMTP: Data Protection not working for DENMARK

Hi,

thanks for testing.

Could you please provide the smtp.log of the times when you were sending out mail that should have been caught by DLP?
Question is if just the notification did not work or the DLP rules were not triggered at all.

Would it also be possible to provide the sample mails you used and which in your opinion should get caught?

If you are not already aware of it, if you hover over the rule names you get some hints about when a rule should match (quantity, format, ..).

Thanks.

Regards,
Benjamin

Looks like this:
2014:02:27-14:10:44 mail exim-in[21782]: 2014-02-27 14:10:44 [192.168.10.11] F= R= Accepted: from relay
2014:02:27-14:10:45 mail exim-in[21782]: 2014-02-27 14:10:45 1WJ0jc-0005fK-35 ctasd reports 'Unknown' RefID:str=0001.0A0B0201.530F3955.001F,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
2014:02:27-14:10:45 mail exim-in[21782]: 2014-02-27 14:10:45 1WJ0jc-0005fK-35 martin@yyy.dk H=(EXCH01.twister.local) [192.168.10.11]:51122 P=esmtps X=TLSv1:RC4-SHA:128 S=3537 id=c90bc610b41a46038b230473654354cd@EXCH01.twister.local
2014:02:27-14:10:45 mail exim-in[21782]: 2014-02-27 14:10:45 SMTP connection from (EXCH01.twister.local) [192.168.10.11]:51122 closed by QUIT
2014:02:27-14:10:46 mail smtpd[4958]: QMGR[4958]: 1WJ0jc-0005fK-35 moved to work queue
2014:02:27-14:10:50 mail smtpd[21792]: SCANNER[21792]: 1WJ0ji-0005fU-1l martin@yyy.dk R=1WJ0jc-0005fK-35 P=INPUT S=2448
2014:02:27-14:10:54 mail smtpd[21792]: SCANNER[21792]: [DLP] Matching DLP expressions
2014:02:27-14:10:54 mail smtpd[21792]: SCANNER[21792]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="192.168.10.11" from="martin@yyy.dk" to="martin@***.dk" subject="65310605" queueid="1WJ0ji-0005fU-1l" size="2448"
2014:02:27-14:10:54 mail smtpd[21792]: SCANNER[21792]: 1WJ0jc-0005fK-35 => work R=SCANNER T=SCANNER
2014:02:27-14:10:54 mail smtpd[21792]: SCANNER[21792]: 1WJ0jc-0005fK-35 Completed
2014:02:27-14:10:54 mail exim-out[21806]: 2014-02-27 14:10:54 1WJ0ji-0005fU-1l => martin@***.dk P= R=dnslookup T=remote_smtp H=mailscan.***.dk [***.***.***.***]:25 X=UNKNOWN:AES256-SHA:256 C="250 OK id=1WJ0jm-0004Je-1y"
2014:02:27-14:10:54 mail exim-out[21806]: 2014-02-27 14:10:54 1WJ0ji-0005fU-1l Completed
2014:02:27-14:11:00 mail exim-out[21809]: 2014-02-27 14:11:00 Start queue run: pid=21809
2014:02:27-14:11:00 mail exim-out[21809]: 2014-02-27 14:11:00 End queue run: pid=21809

Should this not indicate that DLP was triggered:
2014:02:27-14:10:54 mail smtpd[21792]: SCANNER[21792]: [DLP] Matching DLP expressions

Thanks for telling about the hover-thing, I tried that, but it is now very informative, when I hover postcodes, I just tells me it looks for "postcode"?!

Thanks for your reply :-)

Mail example:
Hejsa,

Hermed postnummer 5800
Mit cpr. 070177-2037

Mvh. martin
-------------------------
Above is fake, but formatted in the same way.

Hey,

thanks for the information. As we can see DLP was not triggered and therefor no notification was sent. The line "[DLP] Matching DLP expressions" only tells us that the email was scanned by DLP. If DLP would match you would see it in the "reason" and "extra" fields of the scanner line, here starting with "SCANNER[21792]: id="1000" severity="info" sys="SecureMail"".

If you sent a mail like your example it's clear why it was not blocked:
for example there is only 1 postcode in there. If you hover over the rule in WebAdmin you should see "Quantitiy: 10" there which is an indication how much postalcodes have to be in the mail before it is considered to be data leakage. Blocking mails with just one occurance of a postcode is not the intent of this feature. Please try again with some more postcodes in the mail.

Hope that helps.

Regards,
Benjamin

Hi Benjamin,

Thanks for your input, I try to test with this:

Subject: TEST
5800

​5800

5800

​5000

57435

3344

6789

4565

3456

2222

4600

87096

4567

2222

9999

0000

2014:02:28-18:31:22 mail smtpd[32292]: SCANNER[32292]: Nothing to do, exiting.
2014:02:28-18:31:35 mail exim-in[5023]: 2014-02-28 18:31:35 SMTP connection from [***.***.***.***]:54545 (TCP/IP connection count = 1)
2014:02:28-18:31:36 mail exim-in[32349]: 2014-02-28 18:31:36 H=([***x.***x.***x.***x]) [***.***.***.***]:54545 Warning: bbbb.dk profile excludes greylisting: Skipping greylisting for this message
2014:02:28-18:31:36 mail exim-in[32349]: 2014-02-28 18:31:36 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="***.***.***.***" from="adbacc8a2@123tanz.at" to="adbacc8a2@bbbb.dk" size="-1" reason="rbl" extra="black.rbl.ctipd.astaro.local"
2014:02:28-18:31:36 mail exim-in[32349]: 2014-02-28 18:31:36 SMTP connection from ([***x.***x.***x.***x]) [***x.***x.***x.***x]:54545 closed by DROP in ACL
2014:02:28-18:32:00 mail exim-out[32381]: 2014-02-28 18:32:00 Start queue run: pid=32381
2014:02:28-18:32:00 mail exim-out[32381]: 2014-02-28 18:32:00 End queue run: pid=32381
2014:02:28-18:32:44 mail exim-in[5023]: 2014-02-28 18:32:44 SMTP connection from [192.168.10.11]:28007 (TCP/IP connection count = 1)
2014:02:28-18:32:44 mail exim-in[32501]: 2014-02-28 18:32:44 H=(EXCH01.twister.local) [192.168.10.11]:28007 Warning: Exception matched: Skipping greylisting for this message
2014:02:28-18:32:44 mail exim-in[32501]: 2014-02-28 18:32:44 [192.168.10.11] F= R= Accepted: from relay
2014:02:28-18:32:44 mail exim-in[32501]: 2014-02-28 18:32:44 1WJRIi-0008SD-1C ctasd reports 'Unknown' RefID:str=0001.0A0B0209.5310C83C.0090,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
2014:02:28-18:32:44 mail exim-in[32501]: 2014-02-28 18:32:44 1WJRIi-0008SD-1C martin@bbbb.dk H=(EXCH01.twister.local) [192.168.10.11]:28007 P=esmtps X=TLSv1:AES256-SHA:256 S=4772 id=0c22bed6ec8d4253a1f68be3d2f9cf5a@EXCH01.twister.local
2014:02:28-18:32:44 mail exim-in[32501]: 2014-02-28 18:32:44 SMTP connection from (EXCH01.twister.local) [192.168.10.11]:28007 closed by QUIT
2014:02:28-18:32:45 mail smtpd[4958]: QMGR[4958]: 1WJRIi-0008SD-1C moved to work queue
2014:02:28-18:32:49 mail exim-in[5023]: 2014-02-28 18:32:49 SMTP connection from [190.238.109.136]:10595 (TCP/IP connection count = 1)
2014:02:28-18:32:50 mail smtpd[32520]: SCANNER[32520]: 1WJRIo-0008SW-24 martin@bbbb.dk R=1WJRIi-0008SD-1C P=INPUT S=3532
2014:02:28-18:32:54 mail smtpd[32520]: SCANNER[32520]: [DLP] Matching DLP expressions
2014:02:28-18:32:54 mail smtpd[32520]: SCANNER[32520]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="192.168.10.11" from="martin@bbbb.dk" to="martin@aaa.dk" subject="VS: TEST" queueid="1WJRIo-0008SW-24" size="3532"
2014:02:28-18:32:54 mail smtpd[32520]: SCANNER[32520]: 1WJRIi-0008SD-1C => work R=SCANNER T=SCANNER
2014:02:28-18:32:54 mail smtpd[32520]: SCANNER[32520]: 1WJRIi-0008SD-1C Completed
2014:02:28-18:32:55 mail exim-out[32525]: 2014-02-28 18:32:55 1WJRIo-0008SW-24 => martin@aaa.dk P= R=dnslookup T=remote_smtp H=mailscan.aaa.dk [188.182.18.74]:25 X=UNKNOWN:AES256-SHA:256 C="250 OK id=1WJRIt-000863-1J"
2014:02:28-18:32:55 mail exim-out[32525]: 2014-02-28 18:32:55 1WJRIo-0008SW-24 Completed
2014:02:28-18:33:00 mail exim-out[32534]: 2014-02-28 18:33:00 Start queue run: pid=32534
2014:02:28-18:33:00 mail exim-out[32534]: 2014-02-28 18:33:00 End queue run: pid=32534 

Am I missing something?

Hi,

it seems that only the postcode is not enough. As the rulename says it's about postal addresses.
I found "DK-8660 SKANDERBORG" to be a valid postal format for Denmark from the UPU, try playing with this.
Nevertheless the description of the rule should be improved.

Hope that helps.

Regards,
Benjamin

Hi,

After 9.200-11 i keep getting theese mails:

-----------------------Dear Sender,

Your email has been sent to the recipient. The system identified that you have sent confidential email. If this is in error, please recall your message or get in touch with the recipient.

If you have received this email in error, please contact your Administrator.

Yours Sincerely,

IT Team

-----------------------

I have only selected "Notify Administrator" in Data Protection area, and the rule is set to Allow when matched.

Here is the log (as in real life :-))

2014:03:06-11:09:57 mail exim-out[20200]: 2014-03-06 11:09:57 1WLVFV-0005FT-5R Completed
2014:03:06-11:09:57 mail exim-out[20199]: 2014-03-06 11:09:57 1WLVFO-0005FT-El => mlf@itf.dk P= R=dnslookup T=remote_smtp H=mailfilter01.itf.dk [212.130.93.100]:25 X=UNKNOWN:AES256-SHA:256 C="250 OK id=1WLVFV-0003KW-0w"
2014:03:06-11:09:57 mail exim-out[20199]: 2014-03-06 11:09:57 1WLVFO-0005FT-El Completed
2014:03:06-11:10:00 mail exim-out[20207]: 2014-03-06 11:10:00 Start queue run: pid=20207
2014:03:06-11:10:25 mail smtpd[20179]: SCANNER[20179]: Nothing to do, exiting.
2014:03:06-11:11:00 mail exim-in[5023]: 2014-03-06 11:11:00 SMTP connection from [201.184.147.155]:51768 (TCP/IP connection count = 1)
2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 H=(adsl201-184-147-155.une.net.co) [201.184.147.155]:51768 Warning: mlf.dk profile excludes greylisting: Skipping greylisting for this message
2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="201.184.147.155" from="a2d1606c8e001be2eb@une.net.co" to="a2d1606c8e001be2eb@mlf.dk" size="-1" reason="rbl" extra="black.rbl.ctipd.astaro.local"
2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 H=(adsl201-184-147-155.une.net.co) [201.184.147.155]:51768 F= rejected RCPT : Delivery from 201.184.147.155 rejected. Check at CYREN IP Reputation Check - CYREN IFrames. Reference code: tid=0001.0A0B0301.531849B4.0087
2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 SMTP connection from (adsl201-184-147-155.une.net.co) [201.184.147.155]:51768 closed by DROP in ACL
2014:03:06-11:11:43 mail exim-in[5023]: 2014-03-06 11:11:43 SMTP connection from [192.168.10.11]:34475 (TCP/IP connection count = 1)
2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 H=(EXCH01.twister.local) [192.168.10.11]:34475 Warning: Exception matched: Skipping greylisting for this message
2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 [192.168.10.11] F= R= Accepted: from relay
2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 1WLVHD-0005KL-14 ctasd reports 'Unknown' RefID:str=0001.0A0B0206.531849DF.00AD,ss=1,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=1,cld=1,fgs=0
2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 1WLVHD-0005KL-14 martin@mlf.dk H=(EXCH01.twister.local) [192.168.10.11]:34475 P=esmtps X=TLSv1:AES256-SHA:256 S=120649 id=2c6e072517df400b87682b6ed04b5bf3@EXCH01.twister.local
2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 SMTP connection from (EXCH01.twister.local) [192.168.10.11]:34475 closed by QUIT
2014:03:06-11:11:45 mail smtpd[4958]: QMGR[4958]: 1WLVHD-0005KL-14 moved to work queue
2014:03:06-11:11:50 mail smtpd[20491]: SCANNER[20491]: 1WLVHK-0005KV-Ff martin@mlf.dk R=1WLVHD-0005KL-14 P=INPUT S=119386
2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: [DLP] Matching DLP expressions
2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="192.168.10.11" from="martin@mlf.dk" to="mlf@itf.dk" subject="VS: Ny brandmand." queueid="1WLVHK-0005KV-Ff" size="119386"
2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: 1WLVHD-0005KL-14 => work R=SCANNER T=SCANNER
2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: 1WLVHD-0005KL-14 Completed
2014:03:06-11:11:57 mail exim-out[20510]: 2014-03-06 11:11:57 1WLVHK-0005KV-Ff => mlf@itf.dk P= R=dnslookup T=remote_smtp H=mailfilter01.itf.dk [212.130.93.100]:25 X=UNKNOWN:AES256-SHA:256 C="250 OK id=1WLVHR-0003mo-1k"
2014:03:06-11:11:57 mail exim-out[20510]: 2014-03-06 11:11:57 1WLVHK-0005KV-Ff Completed
2014:03:06-11:12:03 mail exim-out[20511]: 2014-03-06 11:12:03 1WLVHR-0005KV-Dv => martin@mlf.dk P= R=static_route_hostlist T=static_smtp H=192.168.10.11 [192.168.10.11]:25 X=TLSv1:ECDHE-RSA-AES256-SHA:256 C="250 2.6.0  [InternalId=8229157339150, Hos"
2014:03:06-11:12:03 mail exim-out[20511]: 2014-03-06 11:12:03 1WLVHR-0005KV-Dv Completed
2014:03:06-11:12:04 mail exim-in[5023]: 2014-03-06 11:12:04 SMTP connection from [37.4.153.27]:59346 (TCP/IP connection count = 1)
2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 H=37-4-153-27-dynip.superkabel.de [37.4.153.27]:59346 Warning: mlf.dk profile excludes greylisting: Skipping greylisting for this message
2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="37.4.153.27" from="ok@37-4-153-27-dynip.superkabel.de" to="ok@mlf.dk" size="-1" reason="rbl" extra="black.rbl.ctipd.astaro.local"
2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 H=37-4-153-27-dynip.superkabel.de [37.4.153.27]:59346 F= rejected RCPT : Delivery from 37.4.153.27 rejected. Check at CYREN IP Reputation Check - CYREN IFrames. Reference code: tid=0001.0A0B0302.531849F5.0031
2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 SMTP connection from 37-4-153-27-dynip.superkabel.de [37.4.153.27]:59346 closed by DROP in ACL
2014:03:06-11:12:07 mail exim-out[20209]: 2014-03-06 11:12:07 1WLUH4-0002BL-4b smtp.nyborgkino.dk [90.185.240.36]:25 Connection timed out
2014:03:06-11:12:07 mail exim-out[20208]: 2014-03-06 11:12:07 1WLUH4-0002BL-4b == helge@nyborgkino.dk R=dnslookup T=remote_smtp defer (110): Connection timed out
2014:03:06-11:12:07 mail exim-out[20207]: 2014-03-06 11:12:07 End queue run: pid=20207
2014:03:06-11:12:22 mail exim-in[5023]: 2014-03-06 11:12:22 SMTP connection from [217.224.128.138]:58926 (TCP/IP connection count = 1)
2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 H=pd9e0808a.dip0.t-ipconnect.de (pD9E084C6.dip0.t-ipconnect.de) [217.224.128.138]:58926 Warning: mlf.dk profile excludes greylisting: Skipping greylisting for this message
2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="217.224.128.138" from="es@autoshades.com" to="es@mlf.dk" size="-1" reason="rbl" extra="black.rbl.ctipd.astaro.local"
2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 H=pd9e0808a.dip0.t-ipconnect.de (pD9E084C6.dip0.t-ipconnect.de) [217.224.128.138]:58926 F= rejected RCPT : Delivery from 217.224.128.138 rejected. Check at CYREN IP Reputation Check - CYREN IFrames. Reference code: tid=0001.0A0B0302.53184A06.0034
2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 SMTP connection from pd9e0808a.dip0.t-ipconnect.de (pD9E084C6.dip0.t-ipconnect.de) [217.224.128.138]:58926 closed by DROP in ACL
2014:03:06-11:12:26 mail smtpd[20491]: SCANNER[20491]: Nothing to do, exiting. 

Why do I get that Notification mail, and where can I see that DLP cathes it?