Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Contentfilter Problem - Mime Type als OCTET Stream erkannt
#1
Solved 
Hallo zusammen,

ich hab ein kleines Problem. Einige unserer User nützen Unify Office. Das System schickt von extern eine Email über den verpassten Anruf mit einer MP3 Aufzeichnung an den Benutzer. Audiofiles. Im "Global Inbound" ist bei der "Block Attachments" der Punkt Audio nicht angehakt und sollte eigentlich rein dürfen ... MP3 wird trotzdem geblockt.

Ich habe jetzt einen eigenen Content Filter für eine AD Gruppe (darin die Mitglieder die Unify Office nützen) gemacht und den Contentfilter auf inboud mail gesetzt.

Wird trotzdem noch geblockt ...

Wo hab ich meinen Denkfehler?
Disclaimer: This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

"Every once in a while, declare peace. It confuses the hell out of your enemies"
Zitieren
#2
(13.04.2022, 09:19)Robert Klarmann schrieb: Hallo zusammen,

ich hab ein kleines Problem. Einige unserer User nützen Unify Office. Das System schickt von extern eine Email über den verpassten Anruf mit einer MP3 Aufzeichnung an den Benutzer. Audiofiles. Im "Global Inbound" ist bei der "Block Attachments" der Punkt Audio nicht angehakt und sollte eigentlich rein dürfen ... MP3 wird trotzdem geblockt.

Ich habe jetzt einen eigenen Content Filter für eine AD Gruppe (darin die Mitglieder die Unify Office nützen) gemacht und den Contentfilter auf inboud mail gesetzt.

Wird trotzdem noch geblockt ...

Wo hab ich meinen Denkfehler?

Moin,

exportiere mal den Message Track und öffne den dann mit einem Editor und suche nach Mime... da muss dann stehen, als was die Datei erkannt wurde. Alternativ kann du es auch mal im Inhaltsfilter mit *.mp3 als Bedingung probieren. Wichtig: im Inhaltsfilter greift das "first match wins" Prinzip, also der Eintrag mit *.mp3 auf allow, sollte soweit wie möglich oben stehen. Aber ich ich würde dennoch erstmal in das json schauen Wink

VG
Sören
Zitieren
#3
*.mp3 hab ich explizit erlaubt - in den Bildern sind mal die Screenshots ...


{
  "sender": {
    "localPart": "notify",
    "domain": "email.unifyoffice.com"
  },
  "headerFrom": {
    "localPart": "notify",
    "domain": "email.unifyoffice.com"
  },
  "mailId": "bd940e31-5192-433f-9041-6ee80ecb4251",
  "messageId": "<4a36f181-2afe-4869-ad68-9bf36f7a599c@newVoiceMessage>",
  "size": 111315,
  "subject": "New Voice message from +46 (xx) xxxxxxxxx on 13/04/2022 07:54",
  "signed": "None",
  "encrypted": "None",
  "sent": "2022-04-13T07:55:07.343+02:00",
  "processingTime": "00:00:01.1300000",
  "status": "PermanentlyBlocked",
  "ruleName": "All other inbound mails",
  "scl": 0,
  "validationStatus": "RejectPermanent",
  "rejectReason": "Policy",
  "cyrenReferenceId": "str=0001.0A782F19.625665BB.006A:SCFSTAT89820905,ss=1,re=-4.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0",
  "processingGatewayRole": "NOSPAMDMZ",
  "receiveConnectorName": "SMTP on all addresses",
  "clientIPAddress": "185.23.248.187",
  "wasReceivedFromRelayServer": false,
  "detailsWereDeleted": false,
  "urlSafeguardInfoWasDeleted": false,
  "senderCertificate": {
    "thumbprint": "iCcRb+2j5YiourAkK1xmOKlyiSM=",
    "subject": "E=postmaster@ringcentral.com, CN=ams01-c01-mrs04.c01.ringcentral.com, OU=Operations dept., O=\"RingCentral,Inc.\", L=Belmont, S=CA, C=US",
    "issuer": "E=postmaster@ringcentral.com, CN=ams01-c01-mrs04.c01.ringcentral.com, OU=Operations dept., O=\"RingCentral,Inc.\", L=Belmont, S=CA, C=US",
    "serialNumber": "00946676C8372E93D9",
    "validFrom": "2022-01-21T00:28:04+01:00",
    "validTo": "2032-01-19T00:28:04+01:00"
  },
  "senderConnectionSecurity": {
    "tlsProtocol": "Tls12",
    "hashAlgorithm": "Sha384",
    "keyExchangeAlgorithm": "DiffieHellmanEllipticKey",
    "keyExchangeAlgorithmStrength": 384,
    "cipherAlgorithm": "Aes256"
  },
  "deliveryAttempts": [
    {
      "recipient": "name@firma.com",
      "deliveryDate": "2022-04-13T07:55:07.343+02:00",
      "status": "PermanentlyBlocked",
      "dane": "None",
      "statusMessage": "5.7.1 This email was rejected because it violates our security policy\r\n5.7.1  The attachments named xxxxxxxx-0413-075439.mp3 are not permitted.",
      "sendConnector": ""
    }
  ],
  "levelOfTrust": {
    "domainBonus": 0,
    "addressPairingBonus": 0,
    "messageIdBonus": 0,
    "subjectBonus": 0,
    "dsnPoints": 0,
    "mailIsTrusted": false,
    "scl": 0,
    "senderDomainIsFreeMailer": false,
    "isSenderAuthenticated": true,
    "addressPairingIsWildcardEntry": false,
    "wasHeaderFromAddressUsedForValidation": false
  },
  "actions": [
    {
      "name": "CxO Fraud Detection",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "Content filter",
      "time": "00:00:00",
      "decision": "RejectPermanent",
      "message": "The attachments named xxxxxxxxxx-0413-075439.mp3 are not permitted."
    },
    {
      "name": "Malware scanner",
      "time": "00:00:00.3400000",
      "decision": "Pass"
    },
    {
      "name": "Project Heimdall (Preview)",
      "time": "00:00:00.1300000",
      "decision": "Pass"
    },
    {
      "name": "URL Safeguard",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "CSA-Whitelist",
      "time": "00:00:00",
      "decision": "Pass"
    }
  ],
  "attachments": [
    {
      "name": "46768837777-0413-075439.mp3",
      "size": 75501,
      "mimeType": "application/octet-stream",
      "sha256Hash": "4FA79BCC6ED3FFA21BC02AF0B31CC4A5C1A264BD7BF64D4F3EBDBFB020EADD19"
    }
  ],
  "filters": [
    {
      "name": "Reputation filter",
      "time": "00:00:00.3900000",
      "scl": 0
    },
    {
      "name": "Word matching",
      "time": "00:00:00.0900000",
      "scl": 0
    },
    {
      "name": "Cyren IP Reputation",
      "time": "00:00:00.0100000",
      "scl": 0
    },
    {
      "name": "Realtime block lists",
      "time": "00:00:00.1100000",
      "scl": 0
    },
    {
      "name": "Spam URI Realtime Blocklists",
      "time": "00:00:00.0700000",
      "scl": 0
    },
    {
      "name": "Cyren AntiSpam",
      "time": "00:00:00",
      "scl": 0
    }
  ],
  "operations": [
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "AttachmentManagement",
        "data": "{\"$type\":\"AttachmentManagementValidationEntry\",\"mailWasBlocked\":true,\"actions\":[{\"Filename\":\"46768837777-0413-075439.mp3\",\"Action\":{\"actionType\":\"Block\",\"isAttachmentPasswordRequired\":false,\"name\":\"Reject entire email\",\"removeActiveContentFromPdf\":false,\"convertWordDocumentToPdf\":false,\"convertExcelDocumentToPdf\":false,\"originalDocumentRetention\":\"Discard\",\"requireAdministrativeApproval\":false,\"sendAdministrativeNotification\":false,\"keepAttachmentOnWebPortal\":false,\"analyzeInSandbox\":false,\"uploadToSandbox\":true,\"sandboxMaliciousAttachmentAction\":\"None\",\"addInformationalPrefacePage\":true},\"Recipients\":[{\"localPart\":\"Peo.Hellberg\",\"domain\":\"wieland-electric.com\"}],\"IsContentDisarmed\":false,\"MailWasPutOnHold\":false,\"IsAttachmentPasswordProtected\":false}],\"mailWasPutOnHold\":false,\"tnefAttachmentConvertedForRecipients\":[],\"isTnefAttachmentConverted\":false,\"childValidationEntries\":[],\"typeName\":\"AttachmentManagement\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "CyrenIpReputationFilterEntry",
        "data": "{\"$type\":\"CyrenIpReputationFilterEntry\",\"ipAddress\":\"185.23.248.187\",\"referenceId\":\"tid=0001.0A782F95.625665BB.003D\",\"riskLevel\":10,\"recommendedAction\":\"Accept\",\"ipRange\":\"185.23.248.187-185.23.248.187\",\"ipClass\":\"T1\",\"volume\":{\"item1\":0,\"item2\":5,\"item3\":4},\"spamRatio\":{\"item1\":0,\"item2\":0},\"validBulkRatio\":0,\"childValidationEntries\":[],\"typeName\":\"CyrenIpReputationFilterEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "DmarcValidationEntry",
        "data": "{\"$type\":\"DmarcValidationEntry\",\"effectivePolicy\":\"None\",\"rfc5322FromDomain\":\"email.unifyoffice.com\",\"validationResult\":\"Success\",\"organizationalDomain\":\"unifyoffice.com\",\"dkimResult\":[{\"failures\":\"None\",\"signatureTime\":\"2022-04-13T07:55:07+02:00\",\"authenticatedDomain\":\"email.unifyoffice.com\"}],\"spfResult\":[{\"result\":\"None\",\"domain\":\"email.unifyoffice.com\"},{\"result\":\"None\",\"domain\":\"ams01-c01-mrs04.ringcentral.com\"}],\"spfValidationStatus\":\"Validated\",\"dkimAlignment\":true,\"spfAlignment\":false,\"applicablePolicy\":\"None\",\"childValidationEntries\":[],\"typeName\":\"DmarcValidationEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "SenderRecipientValidationEntry",
        "data": "{\"$type\":\"SenderRecipientValidationEntry\",\"localAddresses\":[],\"ownedDomainsInHeaderFromDisplayName\":[],\"dnsValidationResultWithAddress\":{\"result\":\"Success\"},\"headerFromContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerFromIsInvalidWithEmptyMailFrom\":false,\"headerFromContainsMultipleAddresses\":false,\"headerFromDisplayNameContainsDomainDifferentFromEmailAddress\":false,\"headerToContainsAtSignOutsideOfEmailAddress\":false,\"headerToContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerToIsEmpty\":false,\"headerFromOrToContainMultipleUnicodeLanguagePlanes\":false,\"headerToDoesNotContainLocalUser\":false,\"childValidationEntries\":[],\"typeName\":\"SenderRecipientValidationEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "DnsValidationEntry",
        "data": "{\"$type\":\"DnsValidationEntry\",\"senderAddress\":\"185.23.248.187\",\"hasMailFromDomainARecord\":true,\"mailFromDomainARecordValue\":\"aspmx.l.google.com (64.233.184.27), alt2.aspmx.l.google.com (142.251.9.27), alt1.aspmx.l.google.com (142.250.153.27), alt4.aspmx.l.google.com (74.125.200.27), alt3.aspmx.l.google.com (142.250.150.27)\",\"hasPtrRecord\":true,\"isPtrRecordValid\":true,\"ptrRecordValue\":\"ams01-c01-mrs04.ringcentral.com\",\"isPtrRecordForwardLookupValid\":true,\"ptrRecordForwardLookupValue\":\"185.23.248.187\",\"childValidationEntries\":[],\"typeName\":\"DnsValidationEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "FraudDetection",
        "data": "{\"$type\":\"FraudDetectionValidationEntry\",\"action\":\"NothingDetected\",\"childValidationEntries\":[],\"typeName\":\"FraudDetection\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "MalwareScan",
        "data": "{\"$type\":\"MalwareScanValidationEntry\",\"cyrenZeroHourClassification\":{\"spamClassification\":\"Unknown\",\"virusClassification\":\"Unknown\",\"threatCount\":0,\"detectedThreatType\":\"None\",\"detectedThreatAccuracy\":\"None\",\"threatName\":\"\"},\"action\":\"Pass\",\"infectedMailParts\":[],\"availableScanners\":\"Cyren, Filebased, CyrenZeroHour\",\"hasAdministrativeNotificationBeenSent\":false,\"childValidationEntries\":[],\"typeName\":\"MalwareScan\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "ConnectionValidation",
        "data": "{\"$type\":\"ConnectionValidationEntry\",\"isConnectionSecured\":true,\"childValidationEntries\":[],\"typeName\":\"ConnectionValidation\"}"
      }
    }
  ]
}


Angehängte Dateien Thumbnail(s)
           
Disclaimer: This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

"Every once in a while, declare peace. It confuses the hell out of your enemies"
Zitieren
#4
Hallo,
auf die schnelle - hat mp3 nicht den MimeType audio/mpeg
hier im MessageTrack jedoch als application/octet-stream
Grüße
Frank


- kein Mitarbeiter von nospamproxy -
Zitieren
#5
ich meine ja, aber ich hab auf das Sendesystem keinen Einfluss und kann den Mimetype nicht ändern
Disclaimer: This posting is provided "AS IS" with no warranties or guarantees, and confers no rights.

"Every once in a while, declare peace. It confuses the hell out of your enemies"
Zitieren
#6
ich glaube nicht das der "sender" damit was zu tun hat,
NSP erkennt den FileTyp vom Namen und Header eigentlich.

Bei einem Kunden wo ich das Problem hatte,
lag es auch daran das das Office Dokument nicht als solches erkannt worden ist.

Der Support konnte das prüfen und beheben - ich find das Ticket von damals nur nicht mit der Problemlösung.

Edit.
habe mir von extern eine mp3 Datei geschickt.

im Message Track kam die als: "mimeType": "text/plain" (NSP v14 Prev.)
Grüße
Frank


- kein Mitarbeiter von nospamproxy -
Zitieren
#7
(13.04.2022, 11:15)Robert Klarmann schrieb: ich meine ja, aber ich hab auf das Sendesystem keinen Einfluss und kann den Mimetype nicht ändern

also dein nsp erkennt: 

      "name": "46768837777-0413-075439.mp3",
      "size": 75501,
      "mimeType": "application/octet-stream",

Hier ein Link mit einer Erklärung : About "application/octet-stream" MIME attachments (iu.edu)

Klappt es denn, wenn du *.mp3 erlaubst?
Zitieren
#8
Ich habe es jetzt auch noch mal getestet in einer v14:

"attachments": [
{
"name": "sample-3s.mp3",
"size": 52079,
"mimeType": "audio/mpeg",
"sha256Hash": "0244590F2B4BCB62352B574E78BEA940E8D89CFA69823B5208EF4C43E0ABCB44"
}
Zitieren
#9
(13.04.2022, 11:15)Robert Klarmann schrieb: ich meine ja, aber ich hab auf das Sendesystem keinen Einfluss und kann den Mimetype nicht ändern

Fehler gefunden, ich hab mal einen Screenshot angehangen... wenn du file type und Datei Endungen setzt, dann ist das eine UND und keine ODER Verknüfung, ergo: das kann nicht greifen... das wird aus der GUI leider nicht so ganz klar, dass es sich hier um ein UND handelt. Nimm in dem Filter einfach die "1" raus.


Angehängte Dateien Thumbnail(s)
   
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 2 Gast/Gäste