Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 9389 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

False Positives: Wie bekommen wir die Adressen aus der Blacklist?

AlexanderRost

Hallo,


seit heute Mittag haben wir selbst und einige Kunden das Problem, dass ausgehende Emails als "SPAM - Confirmed" deklariert und in die Quarantäne verschoben werden.

Weiter stellten wir fest, dass all unsere Kunden mit Sophos UTM von den betroffenen Absendern auch keine Emails mehr empfangen.

Eine Deaktivierung der Standard-RBL schafft abhilfe.

Es gab jemanden, der die Domain einige Stunden zuvor offensichtlich zu SPAM-Zwecken genutzt hat. Hier ein Auszug:

2016-05-19 14:50
106.51.19.235
qwer8154@netzwerkstudio.
ar@netzwerkstudio.de
Rejected: RBL (black.rbl.ctipd.astaro.local)
 
1kB
 
2016-05-19 13:54
14.173.203.160
qwer6047@netzwerkstudio.
tk@netzwerkstudio.de
Rejected: RBL (black.rbl.ctipd.astaro.local)
 
1kB
 
2016-05-19 13:42
61.2.57.221
qwer237@netzwerkstudio.d
emailtk@netzwerkstudio.d
Rejected: RDNS/HELO (RDNS missing)
 
1kB
 
2016-05-19 13:42
14.187.49.11
qwer981@netzwerkstudio.d
emailar@netzwerkstudio.d
Rejected: RBL (black.rbl.ctipd.astaro.local)
 
1kB
 
2016-05-19 13:38
5.82.242.215
qwer1495@netzwerkstudio.
ar@netzwerkstudio.de
Rejected: RDNS/HELO (RDNS missing)
 
1kB
 

Die absendende Adresse qwerXXX@netzwerkstudio.de ist in ensprechender Form bei allen betroffenen Kunden zu finden. Also immer irgendwas mit qwer123@domain.tld.

All diese Nachricht lassen ein RDNS vermissen. Soweit vollkommen in Ordnung, dass diese Mails ins Schwarze Loch geroutet werden.

Allerdings sind nun die echten Adressen auf der RBL-Liste gelandet. Das sollte m.E. nicht passieren, denn wir senden ja mit gültigem RDNS.

Nun stehen wir aber auf der Liste und ich frage mich, warum die gesamte Domain als SPAM deklariert wird und wie wir da nun wieder rauskommen?

Vielleicht kann mir hier jemand weiterhelfen.

Vielen Dank für Eure Zeit

- Alexander Rost



This thread was automatically locked due to age.
  • 0

    Kleiner Nachtrag:

    Provider wie 1und1 oder GMX lassen die Mails durch.

    Den Haken bei "Use recommended RBLs" zu enffernen, reicht doch nicht!

    Es muss entweder eine Ausnahmeregel für den Absender erstellt werden, in der der SPAM-Filter geskipped wird, oder man muss den SPAM-Filter gänzlich deaktivieren.

    Gruß

    - Alexander Rost

  • 0 in reply to AlexanderRost

    Case an Sophos Support mit Sample. In der KB gibt es einen Eintrag dazu.

    Übergangsweise könnt ihr whitelisten und / oder mal testen, ob die Entfernung von Links aus der E-Mail (Signaturen) Besserung bringt. 

  • 0 in reply to K.N.

    Vergiss das mit den Signaturen, dass kann bei confirmed Spam funktionieren. 

    Es gibt Seiten, die Blacklisten prüfen. Dort eure IP abfragen. Die Listen werden verlinkt und dort steht, wie man wieder runter kommt.

    Tip: RBL gehen auf die IP Adressen, nicht auf die Domain. Pflegt euren (R)DNS und SPF.

  • 0 in reply to K.N.

    Hallo,


    danke für die Antwort!


    Ja, entsprechende Regeln habe ich natürlich bereits erstellt.
    Die Umgehung des Problems mit Whitelists und lokalen Änderungen hilft halt nur bedingt, da ja leider - wie es scheint - die gesamte Domain als "Confirmed SPAM" bei Sophos in der DB steht. Zumindest Sophos UTM User werden unsere Mails nicht erhalten, ohne, dass wir wieder aus der Liste verschwinden, fürchte ich.

    Der Hinweis mit dem KB-Eintrag über das Öffnen eines Tickets nehme ich ebenfalls dankend zur Kenntnis und werde mich dort gleich mal umschauen :-)

    Nachtrag, zu deinem 2. Reply:

    Wir nutzen den Smarthost von einem großen Provider. RDNS ist also eigentlich auch nicht das Problem. Wir werden ja schon bei ausgehenden Emails selbst in die Quarantäne verschoben...

  • 0

    Ich habe soeben mal auf mxtoolbox.com getestet, ob wir oder der Smarthost gelistet sind: Negativ.

    Dann werde ich mal ein Ticket aufmachen :-)

Cookie Information Banner