Contentfilter Problem - Mime Type als OCTET Stream erkannt

[Robert Klarmann]

Hallo zusammen,

ich hab ein kleines Problem. Einige unserer User nützen Unify Office. Das System schickt von extern eine Email über den verpassten Anruf mit einer MP3 Aufzeichnung an den Benutzer. Audiofiles. Im "Global Inbound" ist bei der "Block Attachments" der Punkt Audio nicht angehakt und sollte eigentlich rein dürfen ... MP3 wird trotzdem geblockt.

Ich habe jetzt einen eigenen Content Filter für eine AD Gruppe (darin die Mitglieder die Unify Office nützen) gemacht und den Contentfilter auf inboud mail gesetzt.

Wird trotzdem noch geblockt ...

Wo hab ich meinen Denkfehler?

 

[Sören]

Hallo zusammen,

ich hab ein kleines Problem. Einige unserer User nützen Unify Office. Das System schickt von extern eine Email über den verpassten Anruf mit einer MP3 Aufzeichnung an den Benutzer. Audiofiles. Im "Global Inbound" ist bei der "Block Attachments" der Punkt Audio nicht angehakt und sollte eigentlich rein dürfen ... MP3 wird trotzdem geblockt.

Ich habe jetzt einen eigenen Content Filter für eine AD Gruppe (darin die Mitglieder die Unify Office nützen) gemacht und den Contentfilter auf inboud mail gesetzt.

Wird trotzdem noch geblockt ...

Wo hab ich meinen Denkfehler?

Moin,

exportiere mal den Message Track und öffne den dann mit einem Editor und suche nach Mime... da muss dann stehen, als was die Datei erkannt wurde. Alternativ kann du es auch mal im Inhaltsfilter mit *.mp3 als Bedingung probieren. Wichtig: im Inhaltsfilter greift das "first match wins" Prinzip, also der Eintrag mit *.mp3 auf allow, sollte soweit wie möglich oben stehen. Aber ich ich würde dennoch erstmal in das json schauen

VG
Sören

 

[Robert Klarmann]

*.mp3 hab ich explizit erlaubt - in den Bildern sind mal die Screenshots ...


{
  "sender": {
    "localPart": "notify",
    "domain": "email.unifyoffice.com"
  },
  "headerFrom": {
    "localPart": "notify",
    "domain": "email.unifyoffice.com"
  },
  "mailId": "bd940e31-5192-433f-9041-6ee80ecb4251",
  "messageId": "<4a36f181-2afe-4869-ad68-9bf36f7a599c@newVoiceMessage>",
  "size": 111315,
  "subject": "New Voice message from +46 (xx) xxxxxxxxx on 13/04/2022 07:54",
  "signed": "None",
  "encrypted": "None",
  "sent": "2022-04-13T07:55:07.343+02:00",
  "processingTime": "00:00:01.1300000",
  "status": "PermanentlyBlocked",
  "ruleName": "All other inbound mails",
  "scl": 0,
  "validationStatus": "RejectPermanent",
  "rejectReason": "Policy",
  "cyrenReferenceId": "str=0001.0A782F19.625665BB.006A:SCFSTAT89820905,ss=1,re=-4.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0",
  "processingGatewayRole": "NOSPAMDMZ",
  "receiveConnectorName": "SMTP on all addresses",
  "clientIPAddress": "185.23.248.187",
  "wasReceivedFromRelayServer": false,
  "detailsWereDeleted": false,
  "urlSafeguardInfoWasDeleted": false,
  "senderCertificate": {
    "thumbprint": "iCcRb+2j5YiourAkK1xmOKlyiSM=",
    "subject": "E=postmaster@ringcentral.com, CN=ams01-c01-mrs04.c01.ringcentral.com, OU=Operations dept., O=\"RingCentral,Inc.\", L=Belmont, S=CA, C=US",
    "issuer": "E=postmaster@ringcentral.com, CN=ams01-c01-mrs04.c01.ringcentral.com, OU=Operations dept., O=\"RingCentral,Inc.\", L=Belmont, S=CA, C=US",
    "serialNumber": "00946676C8372E93D9",
    "validFrom": "2022-01-21T00:28:04+01:00",
    "validTo": "2032-01-19T00:28:04+01:00"
  },
  "senderConnectionSecurity": {
    "tlsProtocol": "Tls12",
    "hashAlgorithm": "Sha384",
    "keyExchangeAlgorithm": "DiffieHellmanEllipticKey",
    "keyExchangeAlgorithmStrength": 384,
    "cipherAlgorithm": "Aes256"
  },
  "deliveryAttempts": [
    {
      "recipient": "name@firma.com",
      "deliveryDate": "2022-04-13T07:55:07.343+02:00",
      "status": "PermanentlyBlocked",
      "dane": "None",
      "statusMessage": "5.7.1 This email was rejected because it violates our security policy\r\n5.7.1  The attachments named xxxxxxxx-0413-075439.mp3 are not permitted.",
      "sendConnector": ""
    }
  ],
  "levelOfTrust": {
    "domainBonus": 0,
    "addressPairingBonus": 0,
    "messageIdBonus": 0,
    "subjectBonus": 0,
    "dsnPoints": 0,
    "mailIsTrusted": false,
    "scl": 0,
    "senderDomainIsFreeMailer": false,
    "isSenderAuthenticated": true,
    "addressPairingIsWildcardEntry": false,
    "wasHeaderFromAddressUsedForValidation": false
  },
  "actions": [
    {
      "name": "CxO Fraud Detection",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "Content filter",
      "time": "00:00:00",
      "decision": "RejectPermanent",
      "message": "The attachments named xxxxxxxxxx-0413-075439.mp3 are not permitted."
    },
    {
      "name": "Malware scanner",
      "time": "00:00:00.3400000",
      "decision": "Pass"
    },
    {
      "name": "Project Heimdall (Preview)",
      "time": "00:00:00.1300000",
      "decision": "Pass"
    },
    {
      "name": "URL Safeguard",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "CSA-Whitelist",
      "time": "00:00:00",
      "decision": "Pass"
    }
  ],
  "attachments": [
    {
      "name": "46768837777-0413-075439.mp3",
      "size": 75501,
      "mimeType": "application/octet-stream",
      "sha256Hash": "4FA79BCC6ED3FFA21BC02AF0B31CC4A5C1A264BD7BF64D4F3EBDBFB020EADD19"
    }
  ],
  "filters": [
    {
      "name": "Reputation filter",
      "time": "00:00:00.3900000",
      "scl": 0
    },
    {
      "name": "Word matching",
      "time": "00:00:00.0900000",
      "scl": 0
    },
    {
      "name": "Cyren IP Reputation",
      "time": "00:00:00.0100000",
      "scl": 0
    },
    {
      "name": "Realtime block lists",
      "time": "00:00:00.1100000",
      "scl": 0
    },
    {
      "name": "Spam URI Realtime Blocklists",
      "time": "00:00:00.0700000",
      "scl": 0
    },
    {
      "name": "Cyren AntiSpam",
      "time": "00:00:00",
      "scl": 0
    }
  ],
  "operations": [
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "AttachmentManagement",
        "data": "{\"$type\":\"AttachmentManagementValidationEntry\",\"mailWasBlocked\":true,\"actions\":[{\"Filename\":\"46768837777-0413-075439.mp3\",\"Action\":{\"actionType\":\"Block\",\"isAttachmentPasswordRequired\":false,\"name\":\"Reject entire email\",\"removeActiveContentFromPdf\":false,\"convertWordDocumentToPdf\":false,\"convertExcelDocumentToPdf\":false,\"originalDocumentRetention\":\"Discard\",\"requireAdministrativeApproval\":false,\"sendAdministrativeNotification\":false,\"keepAttachmentOnWebPortal\":false,\"analyzeInSandbox\":false,\"uploadToSandbox\":true,\"sandboxMaliciousAttachmentAction\":\"None\",\"addInformationalPrefacePage\":true},\"Recipients\":[{\"localPart\":\"Peo.Hellberg\",\"domain\":\"wieland-electric.com\"}],\"IsContentDisarmed\":false,\"MailWasPutOnHold\":false,\"IsAttachmentPasswordProtected\":false}],\"mailWasPutOnHold\":false,\"tnefAttachmentConvertedForRecipients\":[],\"isTnefAttachmentConverted\":false,\"childValidationEntries\":[],\"typeName\":\"AttachmentManagement\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "CyrenIpReputationFilterEntry",
        "data": "{\"$type\":\"CyrenIpReputationFilterEntry\",\"ipAddress\":\"185.23.248.187\",\"referenceId\":\"tid=0001.0A782F95.625665BB.003D\",\"riskLevel\":10,\"recommendedAction\":\"Accept\",\"ipRange\":\"185.23.248.187-185.23.248.187\",\"ipClass\":\"T1\",\"volume\":{\"item1\":0,\"item2\":5,\"item3\":4},\"spamRatio\":{\"item1\":0,\"item2\":0},\"validBulkRatio\":0,\"childValidationEntries\":[],\"typeName\":\"CyrenIpReputationFilterEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "DmarcValidationEntry",
        "data": "{\"$type\":\"DmarcValidationEntry\",\"effectivePolicy\":\"None\",\"rfc5322FromDomain\":\"email.unifyoffice.com\",\"validationResult\":\"Success\",\"organizationalDomain\":\"unifyoffice.com\",\"dkimResult\":[{\"failures\":\"None\",\"signatureTime\":\"2022-04-13T07:55:07+02:00\",\"authenticatedDomain\":\"email.unifyoffice.com\"}],\"spfResult\":[{\"result\":\"None\",\"domain\":\"email.unifyoffice.com\"},{\"result\":\"None\",\"domain\":\"ams01-c01-mrs04.ringcentral.com\"}],\"spfValidationStatus\":\"Validated\",\"dkimAlignment\":true,\"spfAlignment\":false,\"applicablePolicy\":\"None\",\"childValidationEntries\":[],\"typeName\":\"DmarcValidationEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "SenderRecipientValidationEntry",
        "data": "{\"$type\":\"SenderRecipientValidationEntry\",\"localAddresses\":[],\"ownedDomainsInHeaderFromDisplayName\":[],\"dnsValidationResultWithAddress\":{\"result\":\"Success\"},\"headerFromContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerFromIsInvalidWithEmptyMailFrom\":false,\"headerFromContainsMultipleAddresses\":false,\"headerFromDisplayNameContainsDomainDifferentFromEmailAddress\":false,\"headerToContainsAtSignOutsideOfEmailAddress\":false,\"headerToContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerToIsEmpty\":false,\"headerFromOrToContainMultipleUnicodeLanguagePlanes\":false,\"headerToDoesNotContainLocalUser\":false,\"childValidationEntries\":[],\"typeName\":\"SenderRecipientValidationEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "DnsValidationEntry",
        "data": "{\"$type\":\"DnsValidationEntry\",\"senderAddress\":\"185.23.248.187\",\"hasMailFromDomainARecord\":true,\"mailFromDomainARecordValue\":\"aspmx.l.google.com (64.233.184.27), alt2.aspmx.l.google.com (142.251.9.27), alt1.aspmx.l.google.com (142.250.153.27), alt4.aspmx.l.google.com (74.125.200.27), alt3.aspmx.l.google.com (142.250.150.27)\",\"hasPtrRecord\":true,\"isPtrRecordValid\":true,\"ptrRecordValue\":\"ams01-c01-mrs04.ringcentral.com\",\"isPtrRecordForwardLookupValid\":true,\"ptrRecordForwardLookupValue\":\"185.23.248.187\",\"childValidationEntries\":[],\"typeName\":\"DnsValidationEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "FraudDetection",
        "data": "{\"$type\":\"FraudDetectionValidationEntry\",\"action\":\"NothingDetected\",\"childValidationEntries\":[],\"typeName\":\"FraudDetection\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "MalwareScan",
        "data": "{\"$type\":\"MalwareScanValidationEntry\",\"cyrenZeroHourClassification\":{\"spamClassification\":\"Unknown\",\"virusClassification\":\"Unknown\",\"threatCount\":0,\"detectedThreatType\":\"None\",\"detectedThreatAccuracy\":\"None\",\"threatName\":\"\"},\"action\":\"Pass\",\"infectedMailParts\":[],\"availableScanners\":\"Cyren, Filebased, CyrenZeroHour\",\"hasAdministrativeNotificationBeenSent\":false,\"childValidationEntries\":[],\"typeName\":\"MalwareScan\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "ConnectionValidation",
        "data": "{\"$type\":\"ConnectionValidationEntry\",\"isConnectionSecured\":true,\"childValidationEntries\":[],\"typeName\":\"ConnectionValidation\"}"
      }
    }
  ]
}

 

[ffischer]

Hallo,
auf die schnelle - hat mp3 nicht den MimeType audio/mpeg
hier im MessageTrack jedoch als application/octet-stream

 

[Robert Klarmann]

ich meine ja, aber ich hab auf das Sendesystem keinen Einfluss und kann den Mimetype nicht ändern

 

[ffischer]

ich glaube nicht das der "sender" damit was zu tun hat,
NSP erkennt den FileTyp vom Namen und Header eigentlich.

Bei einem Kunden wo ich das Problem hatte,
lag es auch daran das das Office Dokument nicht als solches erkannt worden ist.

Der Support konnte das prüfen und beheben - ich find das Ticket von damals nur nicht mit der Problemlösung.

Edit.
habe mir von extern eine mp3 Datei geschickt.

im Message Track kam die als: "mimeType": "text/plain" (NSP v14 Prev.)

 

[Sören]

ich meine ja, aber ich hab auf das Sendesystem keinen Einfluss und kann den Mimetype nicht ändern

also dein nsp erkennt: 

[font=Tahoma, Verdana, Arial, sans-serif]      "name": "46768837777-0413-075439.mp3",[/font]
[font=Tahoma, Verdana, Arial, sans-serif]      "size": 75501,[/font]
[font=Tahoma, Verdana, Arial, sans-serif]      "mimeType": "application/octet-stream",[/font]

[font=Tahoma, Verdana, Arial, sans-serif]Hier ein Link mit einer Erklärung : About "application/octet-stream" MIME attachments (iu.edu)[/font]

Klappt es denn, wenn du *.mp3 erlaubst?

 

[Sören]

Ich habe es jetzt auch noch mal getestet in einer v14:

"attachments": [
{
"name": "sample-3s.mp3",
"size": 52079,
"mimeType": "audio/mpeg",
"sha256Hash": "0244590F2B4BCB62352B574E78BEA940E8D89CFA69823B5208EF4C43E0ABCB44"
}

 

[Sören]

ich meine ja, aber ich hab auf das Sendesystem keinen Einfluss und kann den Mimetype nicht ändern

Fehler gefunden, ich hab mal einen Screenshot angehangen... wenn du file type und Datei Endungen setzt, dann ist das eine UND und keine ODER Verknüfung, ergo: das kann nicht greifen... das wird aus der GUI leider nicht so ganz klar, dass es sich hier um ein UND handelt. Nimm in dem Filter einfach die "1" raus.