Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 9437 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

What does 'report as false positive'exactly do ?

FrancWest
Hi,

in the mail manager you have the option 'release and report as a false positive'. In the manual I read:

Release And Report As False Positive: Selected messages will be released
from quarantine and reported as false positive to the spam scan engine.

What does this exactly do ? Does it automatically whitelist the e-mail address the mail is sent from ? And where can I find the whitelisted addresses ? The ones on the exceptions tab are the manually entered ones, but where can I find the ones added by 'release and report as false positive' (if this function does was I think it does ;-).

Franc.


This thread was automatically locked due to age.
Parents
  • 0
    Yes, it adds the 'From' address to the personal whitelist.  You see that when you login to the 'User Portal'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    thanks. However, we don't use the end-user portal. I'm releasing the mails from quarantine from the web management interface itself. When I enable the end-user portal and logon using the same credentials I log on to the webmanagement interface, the whitelist is empty.

    Franc.
  • 0 in reply to FrancWest
    If the user is 'local' to the Astaro, the user's email address must be in the User definition.  In the past, the address had to be entered in all lowercase.

    Yours - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to FrancWest
    If the user is 'local' to the Astaro, the user's email address must be in the User definition.  In the past, the address had to be entered in all lowercase.

    Yours - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi,

    it is. I'm logging on in both portals using the admin account. E-mail address is displayed. Now that I'm thinking of it. Is it adding the FROM address to the whitelist of the recipient address only and not to the user (admin in my case) who's currently logged on to the management interface ? If that's the case, what happens if users have multiple addresses or are part of a distribution list ? Do I have to add all possible e-mail addresses to the local user account  under 'additional e-mail addresses' ?

    Franc.
  • 0 in reply to FrancWest
    Distribution lists: On the 'Exceptions' tab of 'Mail Security >> Quarantine Report', if you indicate that an address is an 'internal mailing list', the Astaro will deliver quarantined items individually (it asks for an alternate address).  If you don't mark it as such, then the first person to release an item causes it to be delivered to everyone on the list.

    The Astaro will only manage whitelists for addresses it knows.  I don't know what happens if you add an 'internal mailing list' both to your 'User' definition and the exceptions above.

    Yours - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    thanks for the clarification. Just tried it. I created a local user with an e-mail address. From the management interface (not the end user portal) I relased and reported a mail for that user as a false positive. 
    After that I log on to the end-user portal with the user account but the whitelist remains empty.

    Looks like whitelisting is not working when releasing and marking as false positive when doing that from the web management interface.

    Franc.
  • 0 in reply to FrancWest
    First, a little more about having an 'internal mailing list' both added as an additional address for a user and listed on the 'Exceptions' tab as described earlier.

    When not listed as an additional email address for the local user, the Quarantine Report is sent, as one would expect, to all members of the mailing list.

    When listed as an additional email address for a local user, quarantined items are added to the report for the primary email address.  No report is sent to the other mailing list members.

    When listed as an 'internal mailing list', releasing an item from the User Portal or from the emailed Quarantine Report does not delete the item from the Quarantine.
    _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _



    I never have a problem with the whitelist being updated if I 'Whitelist' from the email for items quarantined for my personal email address.

    Two anomalies, and maybe a third:

    [LIST=1]
    • I did a 'Release and report as false positive' from the Mail Manager (not my personal User Portal) for an email quarantined for my primary email address.  The sender's address was not added to my personal Whitelist, and if there is a global Whitelist, I'm ignorant of it.

    • I added one of our internal mailing lists as an additional email address for my local User definition.  I did a 'Release and report as false positive' from my personal User Portal for an email quarantined for this mailing list address and did a 'Whitelist' for another email from the Quarantine Report emailed to my primary address.  In neither case was the sender's address added to my personal Whitelist, and if there is a separate Whitelist for the mailing list address, I'm ignorant of it.

    • My guess is that the 'Whitelist' option is effectively inoperative for additional email addresses.
    [/LIST]
    Good find, Franc!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    point one of your list is exactly what I'm experiencing too. 

    This way the 'release and report' function is useless to us, since we don't use the end-user portal, only the mailmanager and from that one it seems it doesn't work. The only option we have now is manually adding the false positive address to the exceptions manually.

    Franc.
  • 0 in reply to FrancWest
    Franc, the 'release and report' function from the emailed Quarantine Report is the one that does work perfectly.  The only way to manage the individual's whitelist is from the individual's user portal.

    There's no reason to not use the Portal.  I created a cheat-sheet entitled "Configuring the User Portal with LDAP or AD in Astaro V7" that I'd be glad to send you.  Email me at BAlfson at MediaSoftUSA dot com if you'd like it.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    One misunderstanding here:

    The "report as false positive" function reports the quarantined message as a "false positive" to our anti-spam provider, so that they can fix their patterns/reputation score.
  • 0 in reply to BAlfson
    Hi Bob,

    we don't use the end user quarantine reports because, correct me if I'm wrong, it's not localized in Dutch. Furthermore, we don't want to confront our users with the abusive language some of the spam mails contain.

    And if the release and report function only works from the end-user portal and not from the mail manager itself, why is that function than available ?

    I've send you an e-mail about the how-to.

    Franc.
  • 0 in reply to FrancWest
    Hi Tom,

    ok, that explains. So in fact there's no way to quickly whitelist a false positive from the interface rather than adding it manually to the exceptions tab ?

    If so, accept this a as feature request [:)]

    One additional question though Tom, does it send a copy of the e-mail reported as false positive to your anti-spam provider for investigation ?

    Regards,
    Franc.
  • 0 in reply to FrancWest
    Tom, I corrected my earlier comment.  It was unclear about the undocumented 'Whitelist' feature.  More precision:


    • I added 'info@...', one of our internal mailing lists, as an additional email address for my local User definition.

    • On the Quarantine Report emailed to my primary address, there was one item to 'info@...'.  I clicked on 'Whitelist' for that item and asked for it to be delivered to my primary address, which it was.

    • The sender's address wasn't added to my personal Whitelist, and if there is a separate Whitelist for the 'info@...' mailing list address, I'm ignorant of it.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner