Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 2202 views
  • Users 0 members are here
Options
Suggested

[9.200][ANSWERED] SMTP: Data Protection not working for DENMARK

twister5800
Hi,

I have testet the "Data Protection" feature today, I have enabled ALL possible SophosLabs CCLs for Denmark, and set the Action to Allow and Notify for Administrator.

I have send mails with all kinds of secret stuff, phone numbers, bank accounts and social security numbers, but I was never notified.

Am I missing something or are the CCLs for Dk inaccurate?
Parents
  • 0
    Hi,

    After 9.200-11 i keep getting theese mails:

    -----------------------Dear Sender,

    Your email has been sent to the recipient. The system identified that you have sent confidential email. If this is in error, please recall your message or get in touch with the recipient.

    If you have received this email in error, please contact your Administrator.

    Yours Sincerely,

    IT Team

    -----------------------

    I have only selected "Notify Administrator" in Data Protection area, and the rule is set to Allow when matched.

    Here is the log (as in real life :-))

    2014:03:06-11:09:57 mail exim-out[20200]: 2014-03-06 11:09:57 1WLVFV-0005FT-5R Completed
    2014:03:06-11:09:57 mail exim-out[20199]: 2014-03-06 11:09:57 1WLVFO-0005FT-El => mlf@itf.dk P= R=dnslookup T=remote_smtp H=mailfilter01.itf.dk [212.130.93.100]:25 X=UNKNOWN:AES256-SHA:256 C="250 OK id=1WLVFV-0003KW-0w"
    2014:03:06-11:09:57 mail exim-out[20199]: 2014-03-06 11:09:57 1WLVFO-0005FT-El Completed
    2014:03:06-11:10:00 mail exim-out[20207]: 2014-03-06 11:10:00 Start queue run: pid=20207
    2014:03:06-11:10:25 mail smtpd[20179]: SCANNER[20179]: Nothing to do, exiting.
    2014:03:06-11:11:00 mail exim-in[5023]: 2014-03-06 11:11:00 SMTP connection from [201.184.147.155]:51768 (TCP/IP connection count = 1)
    2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 H=(adsl201-184-147-155.une.net.co) [201.184.147.155]:51768 Warning: mlf.dk profile excludes greylisting: Skipping greylisting for this message
    2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="201.184.147.155" from="a2d1606c8e001be2eb@une.net.co" to="a2d1606c8e001be2eb@mlf.dk" size="-1" reason="rbl" extra="black.rbl.ctipd.astaro.local"
    2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 H=(adsl201-184-147-155.une.net.co) [201.184.147.155]:51768 F= rejected RCPT : Delivery from 201.184.147.155 rejected. Check at CYREN IP Reputation Check - CYREN IFrames. Reference code: tid=0001.0A0B0301.531849B4.0087
    2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 SMTP connection from (adsl201-184-147-155.une.net.co) [201.184.147.155]:51768 closed by DROP in ACL
    2014:03:06-11:11:43 mail exim-in[5023]: 2014-03-06 11:11:43 SMTP connection from [192.168.10.11]:34475 (TCP/IP connection count = 1)
    2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 H=(EXCH01.twister.local) [192.168.10.11]:34475 Warning: Exception matched: Skipping greylisting for this message
    2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 [192.168.10.11] F= R= Accepted: from relay
    2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 1WLVHD-0005KL-14 ctasd reports 'Unknown' RefID:str=0001.0A0B0206.531849DF.00AD,ss=1,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=1,cld=1,fgs=0
    2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 1WLVHD-0005KL-14 martin@mlf.dk H=(EXCH01.twister.local) [192.168.10.11]:34475 P=esmtps X=TLSv1:AES256-SHA:256 S=120649 id=2c6e072517df400b87682b6ed04b5bf3@EXCH01.twister.local
    2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 SMTP connection from (EXCH01.twister.local) [192.168.10.11]:34475 closed by QUIT
    2014:03:06-11:11:45 mail smtpd[4958]: QMGR[4958]: 1WLVHD-0005KL-14 moved to work queue
    2014:03:06-11:11:50 mail smtpd[20491]: SCANNER[20491]: 1WLVHK-0005KV-Ff martin@mlf.dk R=1WLVHD-0005KL-14 P=INPUT S=119386
    2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: [DLP] Matching DLP expressions
    2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="192.168.10.11" from="martin@mlf.dk" to="mlf@itf.dk" subject="VS: Ny brandmand." queueid="1WLVHK-0005KV-Ff" size="119386"
    2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: 1WLVHD-0005KL-14 => work R=SCANNER T=SCANNER
    2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: 1WLVHD-0005KL-14 Completed
    2014:03:06-11:11:57 mail exim-out[20510]: 2014-03-06 11:11:57 1WLVHK-0005KV-Ff => mlf@itf.dk P= R=dnslookup T=remote_smtp H=mailfilter01.itf.dk [212.130.93.100]:25 X=UNKNOWN:AES256-SHA:256 C="250 OK id=1WLVHR-0003mo-1k"
    2014:03:06-11:11:57 mail exim-out[20510]: 2014-03-06 11:11:57 1WLVHK-0005KV-Ff Completed
    2014:03:06-11:12:03 mail exim-out[20511]: 2014-03-06 11:12:03 1WLVHR-0005KV-Dv => martin@mlf.dk P= R=static_route_hostlist T=static_smtp H=192.168.10.11 [192.168.10.11]:25 X=TLSv1:ECDHE-RSA-AES256-SHA:256 C="250 2.6.0  [InternalId=8229157339150, Hos"
    2014:03:06-11:12:03 mail exim-out[20511]: 2014-03-06 11:12:03 1WLVHR-0005KV-Dv Completed
    2014:03:06-11:12:04 mail exim-in[5023]: 2014-03-06 11:12:04 SMTP connection from [37.4.153.27]:59346 (TCP/IP connection count = 1)
    2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 H=37-4-153-27-dynip.superkabel.de [37.4.153.27]:59346 Warning: mlf.dk profile excludes greylisting: Skipping greylisting for this message
    2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="37.4.153.27" from="ok@37-4-153-27-dynip.superkabel.de" to="ok@mlf.dk" size="-1" reason="rbl" extra="black.rbl.ctipd.astaro.local"
    2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 H=37-4-153-27-dynip.superkabel.de [37.4.153.27]:59346 F= rejected RCPT : Delivery from 37.4.153.27 rejected. Check at CYREN IP Reputation Check - CYREN IFrames. Reference code: tid=0001.0A0B0302.531849F5.0031
    2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 SMTP connection from 37-4-153-27-dynip.superkabel.de [37.4.153.27]:59346 closed by DROP in ACL
    2014:03:06-11:12:07 mail exim-out[20209]: 2014-03-06 11:12:07 1WLUH4-0002BL-4b smtp.nyborgkino.dk [90.185.240.36]:25 Connection timed out
    2014:03:06-11:12:07 mail exim-out[20208]: 2014-03-06 11:12:07 1WLUH4-0002BL-4b == helge@nyborgkino.dk R=dnslookup T=remote_smtp defer (110): Connection timed out
    2014:03:06-11:12:07 mail exim-out[20207]: 2014-03-06 11:12:07 End queue run: pid=20207
    2014:03:06-11:12:22 mail exim-in[5023]: 2014-03-06 11:12:22 SMTP connection from [217.224.128.138]:58926 (TCP/IP connection count = 1)
    2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 H=pd9e0808a.dip0.t-ipconnect.de (pD9E084C6.dip0.t-ipconnect.de) [217.224.128.138]:58926 Warning: mlf.dk profile excludes greylisting: Skipping greylisting for this message
    2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="217.224.128.138" from="es@autoshades.com" to="es@mlf.dk" size="-1" reason="rbl" extra="black.rbl.ctipd.astaro.local"
    2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 H=pd9e0808a.dip0.t-ipconnect.de (pD9E084C6.dip0.t-ipconnect.de) [217.224.128.138]:58926 F= rejected RCPT : Delivery from 217.224.128.138 rejected. Check at CYREN IP Reputation Check - CYREN IFrames. Reference code: tid=0001.0A0B0302.53184A06.0034
    2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 SMTP connection from pd9e0808a.dip0.t-ipconnect.de (pD9E084C6.dip0.t-ipconnect.de) [217.224.128.138]:58926 closed by DROP in ACL
    2014:03:06-11:12:26 mail smtpd[20491]: SCANNER[20491]: Nothing to do, exiting. 

    Why do I get that Notification mail, and where can I see that DLP cathes it?

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v19 Architect

Reply
  • 0
    Hi,

    After 9.200-11 i keep getting theese mails:

    -----------------------Dear Sender,

    Your email has been sent to the recipient. The system identified that you have sent confidential email. If this is in error, please recall your message or get in touch with the recipient.

    If you have received this email in error, please contact your Administrator.

    Yours Sincerely,

    IT Team

    -----------------------

    I have only selected "Notify Administrator" in Data Protection area, and the rule is set to Allow when matched.

    Here is the log (as in real life :-))

    2014:03:06-11:09:57 mail exim-out[20200]: 2014-03-06 11:09:57 1WLVFV-0005FT-5R Completed
    2014:03:06-11:09:57 mail exim-out[20199]: 2014-03-06 11:09:57 1WLVFO-0005FT-El => mlf@itf.dk P= R=dnslookup T=remote_smtp H=mailfilter01.itf.dk [212.130.93.100]:25 X=UNKNOWN:AES256-SHA:256 C="250 OK id=1WLVFV-0003KW-0w"
    2014:03:06-11:09:57 mail exim-out[20199]: 2014-03-06 11:09:57 1WLVFO-0005FT-El Completed
    2014:03:06-11:10:00 mail exim-out[20207]: 2014-03-06 11:10:00 Start queue run: pid=20207
    2014:03:06-11:10:25 mail smtpd[20179]: SCANNER[20179]: Nothing to do, exiting.
    2014:03:06-11:11:00 mail exim-in[5023]: 2014-03-06 11:11:00 SMTP connection from [201.184.147.155]:51768 (TCP/IP connection count = 1)
    2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 H=(adsl201-184-147-155.une.net.co) [201.184.147.155]:51768 Warning: mlf.dk profile excludes greylisting: Skipping greylisting for this message
    2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="201.184.147.155" from="a2d1606c8e001be2eb@une.net.co" to="a2d1606c8e001be2eb@mlf.dk" size="-1" reason="rbl" extra="black.rbl.ctipd.astaro.local"
    2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 H=(adsl201-184-147-155.une.net.co) [201.184.147.155]:51768 F= rejected RCPT : Delivery from 201.184.147.155 rejected. Check at CYREN IP Reputation Check - CYREN IFrames. Reference code: tid=0001.0A0B0301.531849B4.0087
    2014:03:06-11:11:00 mail exim-in[20388]: 2014-03-06 11:11:00 SMTP connection from (adsl201-184-147-155.une.net.co) [201.184.147.155]:51768 closed by DROP in ACL
    2014:03:06-11:11:43 mail exim-in[5023]: 2014-03-06 11:11:43 SMTP connection from [192.168.10.11]:34475 (TCP/IP connection count = 1)
    2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 H=(EXCH01.twister.local) [192.168.10.11]:34475 Warning: Exception matched: Skipping greylisting for this message
    2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 [192.168.10.11] F= R= Accepted: from relay
    2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 1WLVHD-0005KL-14 ctasd reports 'Unknown' RefID:str=0001.0A0B0206.531849DF.00AD,ss=1,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=1,cld=1,fgs=0
    2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 1WLVHD-0005KL-14 martin@mlf.dk H=(EXCH01.twister.local) [192.168.10.11]:34475 P=esmtps X=TLSv1:AES256-SHA:256 S=120649 id=2c6e072517df400b87682b6ed04b5bf3@EXCH01.twister.local
    2014:03:06-11:11:43 mail exim-in[20481]: 2014-03-06 11:11:43 SMTP connection from (EXCH01.twister.local) [192.168.10.11]:34475 closed by QUIT
    2014:03:06-11:11:45 mail smtpd[4958]: QMGR[4958]: 1WLVHD-0005KL-14 moved to work queue
    2014:03:06-11:11:50 mail smtpd[20491]: SCANNER[20491]: 1WLVHK-0005KV-Ff martin@mlf.dk R=1WLVHD-0005KL-14 P=INPUT S=119386
    2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: [DLP] Matching DLP expressions
    2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="192.168.10.11" from="martin@mlf.dk" to="mlf@itf.dk" subject="VS: Ny brandmand." queueid="1WLVHK-0005KV-Ff" size="119386"
    2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: 1WLVHD-0005KL-14 => work R=SCANNER T=SCANNER
    2014:03:06-11:11:57 mail smtpd[20491]: SCANNER[20491]: 1WLVHD-0005KL-14 Completed
    2014:03:06-11:11:57 mail exim-out[20510]: 2014-03-06 11:11:57 1WLVHK-0005KV-Ff => mlf@itf.dk P= R=dnslookup T=remote_smtp H=mailfilter01.itf.dk [212.130.93.100]:25 X=UNKNOWN:AES256-SHA:256 C="250 OK id=1WLVHR-0003mo-1k"
    2014:03:06-11:11:57 mail exim-out[20510]: 2014-03-06 11:11:57 1WLVHK-0005KV-Ff Completed
    2014:03:06-11:12:03 mail exim-out[20511]: 2014-03-06 11:12:03 1WLVHR-0005KV-Dv => martin@mlf.dk P= R=static_route_hostlist T=static_smtp H=192.168.10.11 [192.168.10.11]:25 X=TLSv1:ECDHE-RSA-AES256-SHA:256 C="250 2.6.0  [InternalId=8229157339150, Hos"
    2014:03:06-11:12:03 mail exim-out[20511]: 2014-03-06 11:12:03 1WLVHR-0005KV-Dv Completed
    2014:03:06-11:12:04 mail exim-in[5023]: 2014-03-06 11:12:04 SMTP connection from [37.4.153.27]:59346 (TCP/IP connection count = 1)
    2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 H=37-4-153-27-dynip.superkabel.de [37.4.153.27]:59346 Warning: mlf.dk profile excludes greylisting: Skipping greylisting for this message
    2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="37.4.153.27" from="ok@37-4-153-27-dynip.superkabel.de" to="ok@mlf.dk" size="-1" reason="rbl" extra="black.rbl.ctipd.astaro.local"
    2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 H=37-4-153-27-dynip.superkabel.de [37.4.153.27]:59346 F= rejected RCPT : Delivery from 37.4.153.27 rejected. Check at CYREN IP Reputation Check - CYREN IFrames. Reference code: tid=0001.0A0B0302.531849F5.0031
    2014:03:06-11:12:05 mail exim-in[20522]: 2014-03-06 11:12:05 SMTP connection from 37-4-153-27-dynip.superkabel.de [37.4.153.27]:59346 closed by DROP in ACL
    2014:03:06-11:12:07 mail exim-out[20209]: 2014-03-06 11:12:07 1WLUH4-0002BL-4b smtp.nyborgkino.dk [90.185.240.36]:25 Connection timed out
    2014:03:06-11:12:07 mail exim-out[20208]: 2014-03-06 11:12:07 1WLUH4-0002BL-4b == helge@nyborgkino.dk R=dnslookup T=remote_smtp defer (110): Connection timed out
    2014:03:06-11:12:07 mail exim-out[20207]: 2014-03-06 11:12:07 End queue run: pid=20207
    2014:03:06-11:12:22 mail exim-in[5023]: 2014-03-06 11:12:22 SMTP connection from [217.224.128.138]:58926 (TCP/IP connection count = 1)
    2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 H=pd9e0808a.dip0.t-ipconnect.de (pD9E084C6.dip0.t-ipconnect.de) [217.224.128.138]:58926 Warning: mlf.dk profile excludes greylisting: Skipping greylisting for this message
    2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="217.224.128.138" from="es@autoshades.com" to="es@mlf.dk" size="-1" reason="rbl" extra="black.rbl.ctipd.astaro.local"
    2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 H=pd9e0808a.dip0.t-ipconnect.de (pD9E084C6.dip0.t-ipconnect.de) [217.224.128.138]:58926 F= rejected RCPT : Delivery from 217.224.128.138 rejected. Check at CYREN IP Reputation Check - CYREN IFrames. Reference code: tid=0001.0A0B0302.53184A06.0034
    2014:03:06-11:12:22 mail exim-in[20560]: 2014-03-06 11:12:22 SMTP connection from pd9e0808a.dip0.t-ipconnect.de (pD9E084C6.dip0.t-ipconnect.de) [217.224.128.138]:58926 closed by DROP in ACL
    2014:03:06-11:12:26 mail smtpd[20491]: SCANNER[20491]: Nothing to do, exiting. 

    Why do I get that Notification mail, and where can I see that DLP cathes it?

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v19 Architect

Children
No Data
Unfiltered HTML