Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 11 replies
  • Subscribers 5 subscribers
  • Views 1289 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Spam Filter markiert harmlose ausgehende Mails teilweise als Spam - Grund unklar

Rolf Moser

Hallo zusammen.

Das ist mein erster Login hier, ich möchte gerne alle grüssen die sich hier so tummeln um zu helfen oder um Hilfe zu suchen.
Ich bedanke mich schon jetzt für all die Zeit und Energie die ihr alle aufwendet um einander und mir zu helfen.

Wir haben in der Firma eine UTM-9 430 mit aktiviertem Email Protection Modul.

Ab und an kommt es vor dass harmlose ausgehende Mails als Spam markiert werden.
Die Benutzer melden sich dann in der IT und fragen was das bedeutet. Ich logge mich dann jeweils in der FW ein und "release" das Mail im Spamfilter.
Sehr gerne würde ich wissen was genau in den Mails als Spamkriterium erkannt wird um auch die User vielleicht besser schulen zu können worauf sie achten müssen wenn Sie Mails verschicken. Das letzte Mail zb waren zwei Zeilen Text mit 5 angehängten pdf an eine Mailadresse an die regelmäsig Mails geschickt werden.

Gibt es die Möglichkeit im Filter / Log irgendwo zu sehen was genau an einem Mail als Spam erkannt wird ?



This thread was automatically locked due to age.
  • 0

    Moin Rolf,

    also zuerst: Was spricht dagegen, auf die aktuellste Firmware 9.705003 zu gehen? :)

    Zu deinem Kernanliegen: Was bedeutet "Ab und an"? --> Wenn du mal alle 2 Wochen eine (1) Mail von 10.000 E-Mails händisch freigeben musst, ist das doch keine Arbeit und eine sehr geringe False-Positive Rate. 

    Die E-Mails werden durch eine Heuristik gejagt und dementsprechend bewertet. Bei Gewissen Indizien (zb. Wörter wie "Viagra") bekommt die Mail eine höhere Spam Bewertung und wird ab einem gewissen Grad blockiert. Natürlich kann auch hier ein False-Positive vorliegen.

    Als Workaround wäre es, eine Ausnahme für euren internen Mailserver zu erstellen wie folgt:

  • 0

    Ich stelle das Problem selbst ebenfalls immer wieder fest (1-2x pro Jahr, je nach Kunde aber unterschiedlich Häufigkeit). Herausgefunden haben wir, dass es fast immer an der Signatur liegt. Wird diese weggelassen geht dasselbe Mail im normalfall raus. Irgendwann (1-2 Tage später) funktioniert dann alles wie gewohnt wieder, ohne Anpassung.. etwas mühsam aber scheint jeweils eine Fehleinschätzung des Filters/Spam-Datenbank zu sein.

    Eine Ausnahme wollen wir nicht machen damit SPAMs erkannt werden falls mal ein Benutzerkonto „gekapert“ wird.

  • 0 in reply to Jonas92

    Hallo Jonas.

    Danke für dein feedback.
    Es betrifft wirklich nur wenige Mails, vielleicht 2-3 im Monat. Der Aufwand zum releasen ist ja nicht gross von daher.

    Das Problem ist halt dass die Mitarbeiter und auch ich nicht verstehen was an den Mails Spam sein soll und dann wird automatisch auch die korrekte Funktionsweise des Erkennungsmechanimus hinterfragt. So nach dem Motto "löscht der womöglich auch einkommende Mails ohne dass es Spam ist ?"

    Da kann ich dann nicht sagen "das passiert nicht" wenn die Leute live erleben wie harmlose ausgehende Mails als Spam eingestuft werden.
    Beim letzten Mail war 5 Rechnungen in pdf Form an einen Kunden und dieses Mail wurde dann als Spam eingestuft. Im Text stand dann "beiliegend die Rechnungen für das Projekt xy" mehr war es nicht.

    Betreffend Firmware sind wir auf 9.702-1

  • 0 in reply to solae

    Hallo solae

    Danke für dein feedback
    Wir wollen auch das ausgehender Mailtraffic gescannt wird, genau wie Du sagst und auch wenn mal ein Rechner Malware haben sollte nicht dass wir auf einer Spam Liste landen weil ungewollt SPam verschickt wird.

    Wir machen unsere Signaturen mit einem internen Programm das die Signatur automatisch generiert je nachdem ob der Empfänger intern oder extern ist. Ob das der Grund ist weis ich nicht, muss ich mal versuchen, danke für den Hinweis Slight smile

  • 0 in reply to solae

    Das Rechnungsbüro hat jetzt das identische Mail an meine private Mail Adresse geschickt und da geht das Mail problemlos durch den Spamfilter der Sophos.  

    > Erkennt die Sophos dass das Mail schon mal frei geschaltet wurde durch mich vorhin und lässt es deshalb passieren oder ist das wie Du sagt dass es plötzlich einfach wieder geht ?

  • 0 in reply to Jonas92

    Das Rechnungsbüro hat jetzt das identische Mail an meine private Mail Adresse geschickt und da geht das Mail problemlos durch den Spamfilter der Sophos.  

    > Erkennt die Sophos dass das Mail schon mal frei geschaltet wurde durch mich vorhin und lässt es deshalb passieren oder ist das wie Du sagt dass es plötzlich einfach wieder geht ?

    Betreffend Firmware werde ich mal mit dem Teamleiter sprechen. Unsere Version ist vom März 2020,.

    Vielen Dank für deine Hilfe

  • 0 in reply to Rolf Moser

    Hallo Rolf

    Wenn du ein E-Mail mit "Release and Report as false positiv" freigibst könnte es sein, dass die E-Mail inzwischen wirklich nicht mehr als SPAM erkannt wird. Nach meinem Verständnis wird damit eine Rückmeldung an den SPAM-Datenbankbetreiber (Cyren?) gesendet.

    Somit könnte es sein, dass das E-Mail daher nicht mehr erkannt wird, das sollte wenn dann aber mindestens einige Stunden dauern.

    Ich kann nicht genau sagen, ob der Filter das Mail irgendwann mit "Release" (ohne report) ebenfalls wieder durchlässt, da wir immer "Release and report as false positiv" auswählen.

    Grundsätzlich hatten wir aber mit demselben E-Mail dann immer probleme, egal wohin wir dieses geschickt haben, ich gehe davon aus, dass bei dir jetzt die E-Mail auch an den Original-Empfänger wieder funktioniert.

    Gruss Michi

  • 0 in reply to solae

    Hallo Michi.

    habe das Mail um ca 11:00 via "Release and Report as false positiv" freigeschaltet, würde mich wundern wenn das so rasch ginge und jetzt der Filter aktualisiert worden wäre.   Du kennt aber auch keine Möglichkeit das zubeissende Spamkriterium anzuzeigen wenn ein Mail als Spam erkannt wird ?

    Gruss Rolf

  • 0 in reply to Rolf Moser

    Leider ein, im Logfile steht immer nur "reason=as", weiter habe ich bisher nie einen weg gefunden das ganze zu analysieren.

    Zur Info, wir hatten diese Probleme schon mit jeder menge verschiedener Firmware-Version, gerade vor knapp 2 Wochen mit der neusten 9.705003, es scheint mir daher kein Firmware-Problem zu sein.

  • 0 in reply to solae

    Es sind die Pattern (und nicht die Firmware), die für die Anti-Spam Datenbank verantwortlich sind bzw. diese aktualisieren.

Unfiltered HTML