Spamfilter funktioniert auf Edge Transport nur teilweise

1. offizieller Beitrag

    Hallo zusammen,


    ich habe gleich 2 Fragen was den Spamfilter betrifft.


    1. Es kommt immer noch sehr viel Spam an. Ich habe den Spamfilter nach Empfehlungen von Dem Exchange Server 2010 Kompendium Buch eingerichtet. Zusätzlich ist die Inhaltsfilterung aktiv, die eMails angeblich nach Inhalt filtert!


    Nun habe ich die beiden Wörter "potenz" und "*potenz*" eingetragen.



    Trotzdem kommt so eine email (Bild unten) an, in der eindeutig potenz steht. Und ich meine die potenz in dem Link... wie kann das sein verdammt?



    2. Ich habe ein paar Domains zur whitelist gepackt. Zumindest vermeintlich...


    Wenn ich in der PS Get-ContentFilterConfig eingebe erscheinen eine Anzahl der Domains, die gewhitelistet sind.


    BypassedSenderDomains : {*.deutschepost.de, *.dpwn.com, *.dhl.de, dhl.de, mrnetgroup.net, lists.sip-router.org...}


    Trotzdem werden emails von zb sr-users-bounces@lists.sip-router.org geblockt... wie kann das sein?


    Ich hoffe Ihr könnt mir ein bisschen weiterhelfen.. weil ich seh den Fehler nicht :-/


    viele Grüße aus Hannover


    mhinz

    • Offizieller Beitrag

    Moin,


    zu 1.: Wortfilter kannst Du vergessen. Eventuell ist das o darin gar kein "o" aus dem lateinischen Alphabet, sondern igendein UTF-8-Code aus einer anderen Sprache, der genauso aussieht, wie ein lateinisches "o".


    zu 2.: Mit den Infos kann man nichts sagen. Wie sieht denn der komplette Header der Mail aus? Hier könnte auch Outlook filtern.

    danke schonmal für die antworten.. an die Sache mit dem UTF Code habe ich garnicht gedacht...


    Ansonsten habe ich folgende IP Sperrlistenanbieter eingetragen:


    zen.spamhaus.org
    ix.dnsbl.manitu.net
    bl.spamcop.net
    dul.dnsbl.sorbs.net
    combined.njabl.org


    Bei Absenderzuverlässigkeit steht der Sperrschwellenwert auf 5 von 9.


    Empfängerfilterung filtert alle raus die nicht im AD Verzeichnis sind.


    in der IP Sperrliste habe ich selber nicht eingetragen


    IP Zulassungsliste ist deaktiviert


    SenderID ist aktiv und lehnt Nachrichten ab


    Reicht das als Information für Verbesserungsvorschläge aus?


    robert: Ich glaube kaum, dass Outlook das rausfiltert.. die eMails die durch die Inhaltsfilterung rausgefiltert werden landen in der Quarantäne (gesondertes Postfach) - wo ich regelmäßig nachschauen muss, ob nicht fälschlicherweise emails da drin gelandet sind..


    Hier der Header:


    Received: from ET1.company.de (172.25.122.2) by exchange2.company.de
    (172.20.100.188) with Microsoft SMTP Server (TLS) id 14.1.339.1; Thu, 10 May
    2012 09:00:55 +0200
    MIME-Version: 1.0
    From: <postmaster@company.de>
    To: <sr-users-bounces@lists.sip-router.org>
    Date: Thu, 10 May 2012 09:00:55 +0200
    Content-Type: multipart/report; report-type=delivery-status;
    boundary="76d03d1f-02a7-42b3-a330-54687a6c9b34"
    X-MS-Exchange-Organization-Original-SCL: 9
    Content-Language: de-DE
    Message-ID: <CAFA7yDQ8eyQxt2R42w2c+jHwfgF35kmvaKYm_idimhJTTs9=rg@mail.gmail.com>
    In-Reply-To: <CAFA7yDQ8eyQxt2R42w2c+jHwfgF35kmvaKYm_idimhJTTs9=rg@mail.gmail.com>
    References: <CABKTgApHkoMa+sgkcrpjfVhqQnDEAB3LFiLeWijAeU3SQG+UGQ@mail.gmail.com>
    <CAPScudZKXeVyST4zGF69W21hcjzLH8OGeWjoQxyXsCQAXkbTnw@mail.gmail.com>
    <CAE=KcrgRro0iSCqyeGfyE-70BG84XVwpX2ZSQrb8gTtz3+A84g@mail.gmail.com>
    <CAFA7yDQ8eyQxt2R42w2c+jHwfgF35kmvaKYm_idimhJTTs9=rg@mail.gmail.com>
    Subject: Unzustellbar: Re: [SR-Users] Kamailio ignores some ACK
    X-MS-Exchange-Organization-AuthSource: ET1.company.de
    X-MS-Exchange-Organization-AuthAs: Internal
    X-MS-Exchange-Organization-AuthMechanism: 05
    Return-Path: <>
    X-MS-Exchange-Organization-SCL: -1

    • Offizieller Beitrag

    Moin,


    Zitat


    X-MS-Exchange-Organization-SCL: -1


    damit steht fest, dass diese Mail nicht von Exchange als Spam deklariert wurde. SCL -1 wird gesetzt, wenn es eine irgendwie geartete "White List" gibt. Bei irgendeiner "Black List" wäre dort der SCL 9.


    BTW: Wenn Du eine Quarantäne brauchst, läuft grundsätzlich was schief. Bei einem guten Spamfilter braucht es keine Quarantäne .

    • Offizieller Beitrag
    Zitat


    masterhinz schrieb:
    danke schonmal für die antworten.. an die Sache mit dem UTF Code habe ich garnicht gedacht...


    ;)



    Viel hilft viel, oder wie?
    Spamhaus ZEN hab ich auch im Einsatz aber als erste läuft hier http://barracudacentral.org/rbl
    Und da hat Spamhaus ZEN grad mal noch 12% zusätzlich rausgefiltert. Ich bezweifle, dass zusätzliche DNS Blacklists die Zuverlässigkeit oder zusätzliche Spamerkennung erhöhen.

    Zitat

    Bei Absenderzuverlässigkeit steht der Sperrschwellenwert auf 5 von 9.


    Der steht hier auf 7 von 9, was afaik default ist.


    Zitat


    Empfängerfilterung filtert alle raus die nicht im AD Verzeichnis sind.


    OK.


    Zitat

    SenderID ist aktiv und lehnt Nachrichten ab


    OK. Und wie ist der Contentfilter konfiguriert?


    Zitat


    robert: Ich glaube kaum, dass Outlook das rausfiltert.. die eMails die durch die Inhaltsfilterung rausgefiltert werden landen in der Quarantäne (gesondertes Postfach) - wo ich regelmäßig nachschauen muss, ob nicht fälschlicherweise emails da drin gelandet sind..


    Du hast nichts zu tun, und/oder es gibt keinen Datenschutz bei euch. Warum läßt du den Krempel nicht direkt an den Empfänger zustellen? Der Junkfilter sollte sowas ja bei den Leuten im Allgemeinen in den Junkfolder schieben.


    Bye
    Norbert

    ok, ich habe jetzt bei Sperrlistenanbieter


    b.barracudacentral.org
    zen.spamhaus.org


    stehen.
    Ich habe ehrlich gesagt so viele reingeklatscht, weil ich davon ausgegangen bin je mehr desto besser. Um die qualitativen Unterschiede habe ich mir keine Gedanken gemacht.


    Absenderzuverlässigkeit auf 7 hochgeschraubt.


    Contentfilter ist so eingerichtet, dass Nachrichten die SCL 9 haben eMails an die Quarantäne weitergeleitet werden... das ist natürlich nicht so optimal, aber es kamen einfach zu viele Spam Mails durch, sodass ich die Inhaltsfilterung aktivieren musste um Schlagwörter einzugeben. Dadurch ist natürlich das Risiko immer weiter gestiegen, dass dort fälschlicherweise emails landen...


    Aber wenn das mit barracudacentral besser klappt, werde ich die Inhaltsfilterung mal Testhalber deaktivieren..


    ich kann Eure Kritik schon nachvollziehen.. ich hab nur keine große Erfahrung in der Spam Bekämpfung, weswegen ich über eure Vorschläge sehr dankbar bin :)
    Zu tun habe ich eigentlich schon genug :D

    • Offizieller Beitrag
    Zitat


    masterhinz schrieb:
    ok, ich habe jetzt bei Sperrlistenanbieter


    b.barracudacentral.org
    zen.spamhaus.org


    Gut.


    Zitat

    davon ausgegangen bin je mehr desto besser. Um die qualitativen Unterschiede habe ich mir keine Gedanken gemacht.


    SChlecht. ;)


    Zitat

    Contentfilter ist so eingerichtet, dass Nachrichten die SCL 9 haben eMails an die Quarantäne weitergeleitet werden... das ist natürlich nicht so optimal, aber es kamen einfach zu viele Spam Mails durch, sodass ich die Inhaltsfilterung aktivieren musste um Schlagwörter einzugeben. Dadurch ist natürlich das Risiko immer weiter gestiegen, dass dort fälschlicherweise emails landen...


    9? Also nichts. :)Eine Nachricht mit 9 ist wahrscheinlich Spam. Also mußt du auf 4-5 setzen, sonst kommt logischerweise jeder Mist durch. Das mit der Quarantäne würde ich mir an deiner Stelle stark überlegen. Sinnvoller ist es, die Mails mit SCL stampen zu lassen (also bspw. SCL 4) und dann beim User in den Junkfolder zu sortieren.


    Bye
    Norbert
    Aber wenn das mit barracudacentral besser klappt, werde ich die Inhaltsfilterung mal Testhalber deaktivieren..


    ich kann Eure Kritik schon nachvollziehen.. ich hab nur keine große Erfahrung in der Spam Bekämpfung, weswegen ich über eure Vorschläge sehr dankbar bin :)
    Zu tun habe ich eigentlich schon genug :D[/quote]