Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Häufung von "Fals Positivs" durch Cyren
#1
Hallo,
geht es anderen auch so? Wir haben in den letzten Tagen viele Mails, die vom Nospamproxy permanent abgewiesen werden. Immer mit der Meldung:

5.7.1 This email was rejected because it violates our security policy
5.7.1  Cyren AntiSpam Services considered this email to be Spam (Reference id str=0001.0A782F15.5FA3E402.0073,ss=3,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=3,cld=1,fgs=0.

und das immer mit einer SCL von 16.

Es werden keine einzelnen Mailadressen geblockt sondern immer nur einzelne Mails. Ganz heftig und unangenehm eine Mail von der ADD an Schulen mit dem Thema "Maskenpflicht im Unterricht" aber auch verschiedene andere E-Mails mit  z.B. Anträgen ans Sozialamt (man merkt, ich betreue den Nospamproxy einer kommunalen Verwaltung).

Hat jemand eine Idee warum Cyren da so "Amok läuft"?

Klar, einzelne Adressen setz ich dann auf die Whitelist aber das kann ich natürlich nicht mit allen Adressen machen die es hier betrifft.
Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität!
Zitieren
#2
Hallo,
dieses Problem hab ich in der Komunalen Verwaltung auch bei 2 Kunden.
Eine erklärung hierzu habe ich noch keine, bin immer noch am Testen und Analysieren.

Grüße
Zitieren
#3
Hallo in die Runde,
das haben wir jetzt leider schon häufiger in den letzten Wochen gehört. Um Cyren adäquat begegnen zu können, benötigen wir den ersten Teil der RefIDs (0001.0A782F15.5FA3E402.0073) und idealerweise auch die abgewiesene E-Mail. Letzteres ist bei NoSpamProxy schwer, da wir sie standardmäßig nirgends speichern. Es gibt jedoch die Möglichkeit, über das Menü "Troubleshooting" die Speicherung aller E-mails als EML auf der Festplatte zu veranlassen. Damit die Festplatte nicht vollgemüllt wird, gibt es die Möglichkeit, mit einem PowerShell-Script die Ordner und Dateien, die älter als x Tage sind, wieder zu löschen. Unter https://github.com/noSpamProxy/Troublesh...pDebugLogs gibt es bereits ein vorgefertigtes Script.
Bitte nutzt dafür unseren Support, damit wir das gebündelt an Cyren weiterleiten können.
Gruß Stefan
Zitieren
#4
(06.11.2020, 10:19)StefanCink schrieb: das haben wir jetzt leider schon häufiger in den letzten Wochen gehört. Um Cyren adäquat begegnen zu können, benötigen wir den ersten Teil der RefIDs (0001.0A782F15.5FA3E402.0073) und idealerweise auch die abgewiesene E-Mail. ......
Das wird ein wenig schwierig. Nicht die technische Seite aber ich kann ja nicht einfach die E-Mail eines Gundsicherungsempfängers weiterleiten der irgendeine Frage zu seinem Antrag stellt, da verprügelt mich unser Datenschützer (und das mit Recht)
Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität!
Zitieren
#5
Guten Tag,

@MikelF, Sie schrieben "[...] das immer mit einer SCL von 16. [...]". Hier haben Sie die Standard Inbound Regel verändert und den Multiplikator von 1 (Standard) auf 4 verändert. Dadurch kommen die 16 SCL zustande, was durch unser Level-of-Trust aber nicht mehr aufgehoben werden kann.

Hier empfehle ich den Multiplikator wieder auf 1 zu ändern für die Inbound Regel(n).

Falls dies auch vorrangig ausgehend auftreten sollte, empfehle ich aus der Outbound Regel den "Cyren AntiSpam" zu entfernen, bzw. eine gesonderte Regel zu erstellen wo dieser Filter nicht enthalten ist, für interne E-Mail Adressen, die sehr viele, gleich aussehende Mails an unterschiedlichste Empfänger versenden, wie zum Beispiel Rechnungen oder Ähnliches, da dies auch zur überhöhten Erkennung führen kann.

Zusätzlich möchte auch ich Sie bitte, hier nicht mehr allein zu kämpfen und uns die exportierten Message Tracks und als Ticket im Support an [email=support@nospamProxy.de]support@nospamproxy.de[/email] zukommen zu lassen, damit wir Informationen geballt sammeln und mit Cyren besprechen können!
=> https://www.nospamproxy.de/de/knowledge-...oblemfall/

Die empfehle ich auch Ihnen @ffischer  und allen Usern hier die das gleiche Problem haben!

Vielen Dank und Gruß

Thomas Glöckner

(06.11.2020, 10:31)MikelF schrieb:
(06.11.2020, 10:19)StefanCink schrieb: das haben wir jetzt leider schon häufiger in den letzten Wochen gehört. Um Cyren adäquat begegnen zu können, benötigen wir den ersten Teil der RefIDs (0001.0A782F15.5FA3E402.0073) und idealerweise auch die abgewiesene E-Mail. ......
Das wird ein wenig schwierig. Nicht die technische Seite aber ich kann ja nicht einfach die E-Mail eines Gundsicherungsempfängers weiterleiten der irgendeine Frage zu seinem Antrag stellt, da verprügelt mich unser Datenschützer (und das mit Recht)
Natürlich brauchen wir so viel Daten wie möglich, aber immer unter Berücksichtigung des Datenschutzes, heißt Senden Sie uns bitte nur das was Sie senden dürfen!

Gruß Thomas Glöckner
Zitieren
#6
(06.11.2020, 11:07)ThomasGlöckner schrieb: Guten Tag,

@MikelF, Sie schrieben "[...] das immer mit einer SCL von 16. [...]". Hier haben Sie die Standard Inbound Regel verändert und den Multiplikator von 1 (Standard) auf 4 verändert. Dadurch kommen die 16 SCL zustande, was durch unser Level-of-Trust aber nicht mehr aufgehoben werden kann.

Hier empfehle ich den Multiplikator wieder auf 1 zu ändern für die Inbound Regel(n).

das ist tatsächlich die einzige Regel die ich nicht angegriffen habe und die so noch bei der Installation eingerichtet wurde.  Level-of-Trust läuft bei uns nicht, da wir alle Mails über ein einziges externes Mail-Relay reinbekommen (Landesnetz). Ich werde mal testen was passiert wenn ich den Multiplikator runter schraube, allerdings kamen in letzter Zeit ein Haufen "Porno-Spam" durch. Habe ich alle als False Negatives an Cyren übersandt. Ich hoffe das wird dann nicht mehr.
Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität!
Zitieren
#7
Hallo zusammen,
schön, dass wir nicht alleine mit dem Problem sind.

@Stefan
Zitat:das haben wir jetzt leider schon häufiger in den letzten Wochen gehört.

Aus unserer Sicht ist es unterirdisch... größten Teils sind E-Mail von Behörden auf Landes- und Bundesebene betroffen. Da hört der Spaß meistens auf, wenn wichtige und relevante Informationen zu Verordnungen, Anweisungen nicht ankommen. Spätestens nach einem unangenehmen Telefonat in dieser Woche, bin ich aktuell sehr sauer auf die Leistung von Cyren. 

Eine Whitelist kommt auf Grund der Anzahl von Domains und den Variationen nicht in Frage, weil der Aufwand in keiner Relation steht. Ich wünsche mir einfach den Zustand wieder wie vor 3-4 Monaten.

Zitat:gibt jedoch die Möglichkeit, über das Menü "Troubleshooting" die Speicherung aller E-mails als EML auf der Festplatte zu veranlassen. Damit die Festplatte nicht vollgemüllt wird, gibt es die Möglichkeit, mit einem PowerShell-Script die Ordner und Dateien, die älter als x Tage sind, wieder zu löschen. Unter https://github.com/noSpamProxy/Troublesh...pDebugLogs gibt es bereits ein vorgefertigtes Script.

Einfach Kopien von eingehenden E-Mails anzufertigen ist aus datenschutzrechtlichen Punkten leider nicht möglich. Wenn es darin auch noch um vertrauliche Daten und Informationen geht, schon zwei Mal nicht. Denn gerade Behörden auf Landes- und Bundesebene sind da inzwischen kleinlich. Und wir werden sicherlich nicht jedes Mal nachfragen, ob wir die E-Mail weitergeben dürfen. Daher muss die Reference ID von Cyren und der dazugehörige Message Track ausreichen.

@Thomas
Zitat:Zusätzlich möchte auch ich Sie bitte, hier nicht mehr allein zu kämpfen und uns die exportierten Message Tracks und als Ticket im Support an [email=support@nospamProxy.de]support@nospamproxy.de[/email] zukommen zu lassen, damit wir Informationen geballt sammeln und mit Cyren besprechen können! => https://www.nospamproxy.de/de/knowledge-...oblemfall/

Wir schicken regelmäßig eine Vielzahl an entsprechenden Anfragen an euch. Nicht das bei euch noch langeweile aufkommt. ;-)


Gruß,
Daniel
Zitieren
#8
Hallo Stefan,
Hallo Thomas,
nach knapp zwei Wochen muss ich leider sagen, es wird immer schlimmer statt besser. Zum Teil werden nun sogar ganze Domains von Landesbehörden blockiert. Inzwischen muss ein Kollege täglich die permanent abgewiesen E-Mails der letzten 12/24 Stunden kontrollieren, damit die False Positive gefunden werden. Wir schicken natürlich nach wie vor Spamreports an euch.

Gibt es inzwischen diesbezüglich weitere Informationen seitens Cyren?


Gruß,
Daniel
Zitieren
#9
schau doch mal in die eingehenden Rules. Auf was steht der Multiplikator für die Cyren Filter?
Zitieren
#10
(23.11.2020, 09:34)cpohle schrieb: schau doch mal in die eingehenden Rules. Auf was steht der Multiplikator für die Cyren Filter?

Auf was sollte er denn stehen?
Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität!
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste