Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 10355 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

E-Mails mal in Quarantäne mal nicht

dan thaman

Hallo,

 

ich habe hier seit einiger Zeit ein seltsames Verhalten der Email Protection.

 

Kurze Info:

 

Wir verschicken gewerblich Newsletter, dass wir da u.a. wegen Spam nicht zugestellt werden ist vollkommen logisch und nicht zu verhindern.

Das Verhalten der Sophos ist mir aber nicht erklärbar.

 

Wir verschicken immer über die selben Mailserver, die E-Mails unterscheiden sich auch nie wirklich (Produktbilder und Texte etwas abgewandelt). Wir verwenden DKIM, SPF und DMARC.

 

Nun ist es bspws. so (heute passiert): 6 Newsletter kamen auf der Sophos an, 5 davon gingen in die Quarantäne, einer nicht :) Ist mir einfach nicht zu erklären.

 

Die 5 anderen wurden abgelehnt wegen Anti-Spam, kann es sein dass die Sophos mehrere Verbindungen blockt ? Es kann durchaus vorkommen dass 5,6 E-Mails auf einmal kommen.

 

Das Verhalten lässt sich übrigens nicht genau reproduzieren, am Sonntag verschicken wir auch einen Newsletter, dieser landet nie in der Quarantäne, der am Mittwoch schon.

 

Ich könnte natürlich einfach eine Ausnahme auf der Sophos machen, aber das ist nicht mein Ziel, ich möchte wissen wieso die Sophos dicht macht, als Grund steht leider nur "as" = Anti-Spam da, aber kein Score soweit ich ihn entdecken konnte. Evtl. kann hier ja jemand Licht ins Dunkle bringen.

 

Vielen Dank im Voraus

 

Daniel



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Daniel,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Welcome to the UTM Community!

    Please show the lines from the SMTP log file related to one of the quarantined emails.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0

    Hallo Daniel,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Welcome to the UTM Community!

    Please show the lines from the SMTP log file related to one of the quarantined emails.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson

    Hallo Bob,

     

    no problem :).

     

    Hier ist ein Beispiel von heute:

     

    2016:11:18-11:08:19 mysophos smtpd[17164]: SCANNER[17164]: 1c7g5j-0004Sq-OM <= my@sender.de R=1c7g5h-0004ZZ-0x P=INPUT S=37139
    2016:11:18-11:08:20 mysophos smtpd[17164]: SCANNER[17164]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="xx.xxx.xxx.xx" from="my@recipient.de" to="my@recipient.de" subject="✭ Nach der Party ist vor der Pflege!" queueid="1c7g5j-0004Sq-OM" size="37139" reason="as" extra=""
    2016:11:18-11:08:20 mysophos smtpd[17164]: SCANNER[17164]: 1c7g5h-0004ZZ-0x => work R=SCANNER T=SCANNER
    2016:11:18-11:08:20 mysophos smtpd[17164]: SCANNER[17164]: 1c7g5h-0004ZZ-0x Completed

     

    IPs und Domänen habe ich unkenntlich gemacht.

     

    Am Sonntag wird das nicht passieren, 100% ;-).

     

    MfG

  • 0 in reply to dan thaman

    There must be some lines before those.  That's where we will see the reason for quarantining that one.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hi Bob,

     

    jetzt habe ich brauchbare Logfiles rausgesucht. Mir ist direkt aufgefallen, dass bei einer Mail die zugestellt wurde ctasd reports auf "unknown" steht und ein anderer der nicht zugestellt wurde (anderer Server) ctasd reports "bulk". Das würde es eigentlich erklären, aber ich verstehe nicht wieso der eine von der Sophos geblockt wird und der andere nicht, die E-Mails sind vollkommen identisch, nur halt ein anderer Server.

     

    Hier die Logs:

     

    Dieser wurde zugestellt:

     

    2016:11:25-11:02:38 blablamysophos exim-in[23118]: 2016-11-25 11:02:38 H=news13.mailserver.xyz [11.111.11.111]:52920 Warning: recipientdomain.de profile excludes greylisting: Skipping greylisting for this message

    2016:11:25-11:02:38 blablamysophos exim-in[23118]: 2016-11-25 11:02:38 H=news13.mailserver.xyz [11.111.11.111]:52920 Warning: recipientdomain.de profile excludes SANDBOX scan
    2016:11:25-11:02:38 blablamysophos exim-in[23118]: 2016-11-25 11:02:38 [11.111.11.111] F=<service@mysuperdupercompany.de> R=<reinhold@recipientdomain.de> Verifying recipient address with callout
    2016:11:25-11:02:38 blablamysophos exim-in[23118]: 2016-11-25 11:02:38 1cADL4-00060s-2D DKIM: d=mysuperdupercompany.de s=DEZ2013 c=relaxed/relaxed a=rsa-sha1 [verification succeeded]
    2016:11:25-11:02:39 blablamysophos exim-in[23118]: 2016-11-25 11:02:39 1cADL4-00060s-2D ctasd reports 'Unknown' RefID:str=0001.0A0B0203.58380C3F.018F,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
    2016:11:25-11:02:39 blablamysophos exim-in[23118]: 2016-11-25 11:02:39 SMTP connection from news13.mailserver.xyz [11.111.11.111]:52920 closed by QUIT

     

     

    Dieser hier nicht:

     

     

    2016:11:25-11:22:37 blablamysophos exim-in[26669]: 2016-11-25 11:22:37 H=news03.mailserver.xyz [11.111.111.11]:56029 Warning: recipientdomain.de profile excludes greylisting: Skipping greylisting for this message
    2016:11:25-11:22:37 blablamysophos exim-in[26669]: 2016-11-25 11:22:37 H=news03.mailserver.xyz [11.111.111.11]:56029 Warning: recipientdomain.de profile excludes SANDBOX scan
    2016:11:25-11:22:37 blablamysophos exim-in[26669]: 2016-11-25 11:22:37 [11.111.111.11] F=<service@mysuperdupercompany.de> R=<baumann@recipientdomain.de> Verifying recipient address with callout
    2016:11:25-11:22:38 blablamysophos exim-in[26669]: 2016-11-25 11:22:38 1cADeP-0006w9-3C DKIM: d=mysuperdupercompany.de.de s=DEZ2013 c=relaxed/relaxed a=rsa-sha1 [verification succeeded]
    2016:11:25-11:22:38 blablamysophos exim-in[26669]: 2016-11-25 11:22:38 1cADeP-0006w9-3C ctasd reports 'Bulk' RefID:str=0001.0A0B0202.58380C9A.034F,ss=3,sh,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
    2016:11:25-11:22:38 blablamysophos exim-in[26669]: 2016-11-25 11:22:38 1cADeP-0006w9-3C <= service@mysuperdupercompany.de H=news03.mailserver.xyz [11.111.111.11]:56029 P=esmtps X=TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256 S=21870 id=M0641jS3Wdht3ZGAua7000639be@news03.mailserver.xyz
    2016:11:25-11:22:38 blablamysophos exim-in[26669]: 2016-11-25 11:22:38 SMTP connection from news03.mailserver.xyz [11.111.111.11]:56029 closed by QUIT

     

     

    LG

     

    Daniel

     

     

  • +1 in reply to dan thaman

    Hallo Daniel,

     

    Dies kommt von der Commtouch / Cyren Database.

    ctasd reports 'Bulk' RefID:str=0001.0A0B0202.58380C9A.034F,ss=3,sh,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0

     

    https://community.sophos.com/kb/de-de/122687

     

    Die Appliance agiert hier nur an den Daten von diesem Daemon. Sollte Commtouch / Cyren die Mail als False - Positive bezeichnen, dann verschiebt die Appliance diese Outgoing Mail in die Quarantine.

    Oftmals fixed Cyren die Datenbank innerhalb von Minuten bei False Positive.

     

    Ich zitiere hier mal die Online Help:

     

    RBLs (Realtime Blackhole Lists)

    A Realtime Blackhole List (RBL) is a means by which an Internet site may publish a list of IP addresses linked to spamming.

    Use recommended RBLs: Selecting this option causes the mail transfer agent to query external databases of known spam senders (so-called Realtime Blackhole Lists). Messages sent from a site included in one or more of such lists can easily be rejected. Several services of this type are available on the Internet. This function massively helps to reduce the amount of spam.
    By default, the following RBLs are queried:

    • Commtouch IP Reputation (cyren.org)
    • cbl.abuseat.org

    Note – The list of RBLs queried by Sophos UTM is subject to change without notice. Sophos does not warrant for the contents of these databases.

    You can also add further RBL sites to enhance the antispam capability of Sophos UTM. To do so, click the Plus icon in the Extra RBL zones box. In the appearing textbox, enter the RBL zone.

     

     

    Wichtig hierbei ist das Note.

     

    Hoffe ich konnte das etwas aufklären.

     

    __________________________________________________________________________________________________________________

  • +1 in reply to dan thaman

    ctasd reports 'Unknown' RefID:str=0001.0A0B0203.58380C3F.018F,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0

    ctasd reports 'Bulk'        RefID:str=0001.0A0B0202.58380C9A.034F,ss=3,sh,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0

    So, ctasd calculated slightly different RefIDs for the two emails and the Cyren database judges the second signature as "bulk" and so the Proxy quarantines it.

    To report the first email as spam also, you can send the original email as an attachment to is-spam@labs.sophos.com.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Danke für die Antworten, mir reicht das als Erklärung :)