Proxy exceptions

Since it works on one version and not the other, I suggest you submit a support ticket.

Cheers - Bob

In the mean time, as a work around, couldn't you block the IP for that site on port 80, but allow it on port 443? This would require two rules at the top of your packet filter... and would be extra work, but would get the job done I think. At least until they get it fixed. 

Just a thought.

C68

C68

Close Coder68, but Google has a very resilient distributed server architecture. Last I looked, google had 32 separate IPs that could resolve to mail.google.com. You would have to setup a new definition as type DNS Group for that hostname. Then you could use that group in packetfilter rules.  The big downside to using the packetfilter to block websites is that the user will get no kind of blocking notification page.
 
This may not be a good idea anyway though. Accessing https://mail.google.com/a/gpi.us directly will work as long as the person had logged in through https://mail.google.com recently and the authentication cookie hasn't timed-out. Once the cookie has expired or if the person has never logged into google before on that system (no cookie present) it will not present a login, all you'll get is an error 403 page.

Another problem is restricting our users from accessing their personal gmail accounts. I am pretty sure our company gmail shares the same mail servers on google as many other accounts. Using packet filters wouldn't allow us to pinpoint access to our company account.

I appreciated the responses.

Another problem is restricting our users from accessing their personal gmail accounts. I am pretty sure our company gmail shares the same mail servers on google as many other accounts.

At some point, the company needs to be able to trust its employees to act with integrity, and to follow established policy.  I haven't seen companies prohibit accessing personal gmail accounts, but it's not uncommon to prohibit the use of personal accounts for any business-related communications.  An employee that continues to violate company policy can and should be given an opportunity to find happiness somewhere else.

Cheers - (Grumpy Old) Bob

In a perfect world I agree with you. Unfortunately, all it takes is one time for a disgruntled or self serving employee to email a customer list or company secrets.

Then lawsuits are involved which cost both sides huge dollars. Far better to have tight security, in my opinion.

Hi,
from reading a thread in the v8b forum you are using the wrong format for you blocking exception rules. kbr was explaining the difference between auto rules and human created rules.

The format is based on a PERL script. My understanding of PERL is very limited, so I can't help with the accurate structure. Anyway it goes something like this
allowed exceptions *.\google.\com\a\gpi.us\ ahead of in the blocked *.\mail.\google.\com\

The other issue is I can't remember whether exceptions are checked before blocks which would make sense.

Ian M

all it takes is one time for a disgruntled or self serving employee to email a customer list or company secrets.

There's nothing preventing such a person from putting that on a USB key and mailing it from a PC in the public library.  In an "employment at will" state, the best solution is to give a disgruntled employee his freedom - people are a part of good security, and some people make the best contribution by leaving.[;)]

Does anyone know if corporate email is on the same servers with gmail?  I wonder if jreverman couldn't accomplish his goal with the transparent mode skiplist (or a GPO if he's in a non-transparent mode)?

Cheers - Bob

There's nothing preventing such a person from putting that on a USB key and mailing it from a PC in the public library. 
Cheers - Bob

Actually, We lock down USB thumb drives and other removable media using our Symantec Software. [:)]

I don't mean to imply that you shouldn't lock your doors to keep out the amateur thieves, or that adding a dead-bolt is not worthwhile.  It's just that, for dedicated, professional thieves, a barking dog is the best protection (an implied zing at attorneys is intended[;)]).

I once failed to fire immediately a new sales rep who'd brought the entire customer list on a print-out from his prior job; warning him instead to leave it at home and not to communicate with any of them that weren't his personal customers.  I won't make that mistake again! (He later fired himself when the period of guaranteed commission passed.)

Cheers - Bob