• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Contentfilter Problem - Mime Type als OCTET Stream erkannt

R

Robert Klarmann

Active member
Hallo zusammen,

ich hab ein kleines Problem. Einige unserer User nützen Unify Office. Das System schickt von extern eine Email über den verpassten Anruf mit einer MP3 Aufzeichnung an den Benutzer. Audiofiles. Im "Global Inbound" ist bei der "Block Attachments" der Punkt Audio nicht angehakt und sollte eigentlich rein dürfen ... MP3 wird trotzdem geblockt.

Ich habe jetzt einen eigenen Content Filter für eine AD Gruppe (darin die Mitglieder die Unify Office nützen) gemacht und den Contentfilter auf inboud mail gesetzt.

Wird trotzdem noch geblockt ...

Wo hab ich meinen Denkfehler?
 
Robert Klarmann schrieb:
Hallo zusammen,

ich hab ein kleines Problem. Einige unserer User nützen Unify Office. Das System schickt von extern eine Email über den verpassten Anruf mit einer MP3 Aufzeichnung an den Benutzer. Audiofiles. Im "Global Inbound" ist bei der "Block Attachments" der Punkt Audio nicht angehakt und sollte eigentlich rein dürfen ... MP3 wird trotzdem geblockt.

Ich habe jetzt einen eigenen Content Filter für eine AD Gruppe (darin die Mitglieder die Unify Office nützen) gemacht und den Contentfilter auf inboud mail gesetzt.

Wird trotzdem noch geblockt ...

Wo hab ich meinen Denkfehler?
Zum Vergrößern anklicken....

Moin,

exportiere mal den Message Track und öffne den dann mit einem Editor und suche nach Mime... da muss dann stehen, als was die Datei erkannt wurde. Alternativ kann du es auch mal im Inhaltsfilter mit *.mp3 als Bedingung probieren. Wichtig: im Inhaltsfilter greift das "first match wins" Prinzip, also der Eintrag mit *.mp3 auf allow, sollte soweit wie möglich oben stehen. Aber ich ich würde dennoch erstmal in das json schauen ;)

VG
Sören
 
*.mp3 hab ich explizit erlaubt - in den Bildern sind mal die Screenshots ...


{
  "sender": {
    "localPart": "notify",
    "domain": "email.unifyoffice.com"
  },
  "headerFrom": {
    "localPart": "notify",
    "domain": "email.unifyoffice.com"
  },
  "mailId": "bd940e31-5192-433f-9041-6ee80ecb4251",
  "messageId": "<4a36f181-2afe-4869-ad68-9bf36f7a599c@newVoiceMessage>",
  "size": 111315,
  "subject": "New Voice message from +46 (xx) xxxxxxxxx on 13/04/2022 07:54",
  "signed": "None",
  "encrypted": "None",
  "sent": "2022-04-13T07:55:07.343+02:00",
  "processingTime": "00:00:01.1300000",
  "status": "PermanentlyBlocked",
  "ruleName": "All other inbound mails",
  "scl": 0,
  "validationStatus": "RejectPermanent",
  "rejectReason": "Policy",
  "cyrenReferenceId": "str=0001.0A782F19.625665BB.006A:SCFSTAT89820905,ss=1,re=-4.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0",
  "processingGatewayRole": "NOSPAMDMZ",
  "receiveConnectorName": "SMTP on all addresses",
  "clientIPAddress": "185.23.248.187",
  "wasReceivedFromRelayServer": false,
  "detailsWereDeleted": false,
  "urlSafeguardInfoWasDeleted": false,
  "senderCertificate": {
    "thumbprint": "iCcRb+2j5YiourAkK1xmOKlyiSM=",
    "subject": "E=postmaster@ringcentral.com, CN=ams01-c01-mrs04.c01.ringcentral.com, OU=Operations dept., O=\"RingCentral,Inc.\", L=Belmont, S=CA, C=US",
    "issuer": "E=postmaster@ringcentral.com, CN=ams01-c01-mrs04.c01.ringcentral.com, OU=Operations dept., O=\"RingCentral,Inc.\", L=Belmont, S=CA, C=US",
    "serialNumber": "00946676C8372E93D9",
    "validFrom": "2022-01-21T00:28:04+01:00",
    "validTo": "2032-01-19T00:28:04+01:00"
  },
  "senderConnectionSecurity": {
    "tlsProtocol": "Tls12",
    "hashAlgorithm": "Sha384",
    "keyExchangeAlgorithm": "DiffieHellmanEllipticKey",
    "keyExchangeAlgorithmStrength": 384,
    "cipherAlgorithm": "Aes256"
  },
  "deliveryAttempts": [
    {
      "recipient": "name@firma.com",
      "deliveryDate": "2022-04-13T07:55:07.343+02:00",
      "status": "PermanentlyBlocked",
      "dane": "None",
      "statusMessage": "5.7.1 This email was rejected because it violates our security policy\r\n5.7.1  The attachments named xxxxxxxx-0413-075439.mp3 are not permitted.",
      "sendConnector": ""
    }
  ],
  "levelOfTrust": {
    "domainBonus": 0,
    "addressPairingBonus": 0,
    "messageIdBonus": 0,
    "subjectBonus": 0,
    "dsnPoints": 0,
    "mailIsTrusted": false,
    "scl": 0,
    "senderDomainIsFreeMailer": false,
    "isSenderAuthenticated": true,
    "addressPairingIsWildcardEntry": false,
    "wasHeaderFromAddressUsedForValidation": false
  },
  "actions": [
    {
      "name": "CxO Fraud Detection",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "Content filter",
      "time": "00:00:00",
      "decision": "RejectPermanent",
      "message": "The attachments named xxxxxxxxxx-0413-075439.mp3 are not permitted."
    },
    {
      "name": "Malware scanner",
      "time": "00:00:00.3400000",
      "decision": "Pass"
    },
    {
      "name": "Project Heimdall (Preview)",
      "time": "00:00:00.1300000",
      "decision": "Pass"
    },
    {
      "name": "URL Safeguard",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "CSA-Whitelist",
      "time": "00:00:00",
      "decision": "Pass"
    }
  ],
  "attachments": [
    {
      "name": "46768837777-0413-075439.mp3",
      "size": 75501,
      "mimeType": "application/octet-stream",
      "sha256Hash": "4FA79BCC6ED3FFA21BC02AF0B31CC4A5C1A264BD7BF64D4F3EBDBFB020EADD19"
    }
  ],
  "filters": [
    {
      "name": "Reputation filter",
      "time": "00:00:00.3900000",
      "scl": 0
    },
    {
      "name": "Word matching",
      "time": "00:00:00.0900000",
      "scl": 0
    },
    {
      "name": "Cyren IP Reputation",
      "time": "00:00:00.0100000",
      "scl": 0
    },
    {
      "name": "Realtime block lists",
      "time": "00:00:00.1100000",
      "scl": 0
    },
    {
      "name": "Spam URI Realtime Blocklists",
      "time": "00:00:00.0700000",
      "scl": 0
    },
    {
      "name": "Cyren AntiSpam",
      "time": "00:00:00",
      "scl": 0
    }
  ],
  "operations": [
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "AttachmentManagement",
        "data": "{\"$type\":\"AttachmentManagementValidationEntry\",\"mailWasBlocked\":true,\"actions\":[{\"Filename\":\"46768837777-0413-075439.mp3\",\"Action\":{\"actionType\":\"Block\",\"isAttachmentPasswordRequired\":false,\"name\":\"Reject entire email\",\"removeActiveContentFromPdf\":false,\"convertWordDocumentToPdf\":false,\"convertExcelDocumentToPdf\":false,\"originalDocumentRetention\":\"Discard\",\"requireAdministrativeApproval\":false,\"sendAdministrativeNotification\":false,\"keepAttachmentOnWebPortal\":false,\"analyzeInSandbox\":false,\"uploadToSandbox\":true,\"sandboxMaliciousAttachmentAction\":\"None\",\"addInformationalPrefacePage\":true},\"Recipients\":[{\"localPart\":\"Peo.Hellberg\",\"domain\":\"wieland-electric.com\"}],\"IsContentDisarmed\":false,\"MailWasPutOnHold\":false,\"IsAttachmentPasswordProtected\":false}],\"mailWasPutOnHold\":false,\"tnefAttachmentConvertedForRecipients\":[],\"isTnefAttachmentConverted\":false,\"childValidationEntries\":[],\"typeName\":\"AttachmentManagement\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "CyrenIpReputationFilterEntry",
        "data": "{\"$type\":\"CyrenIpReputationFilterEntry\",\"ipAddress\":\"185.23.248.187\",\"referenceId\":\"tid=0001.0A782F95.625665BB.003D\",\"riskLevel\":10,\"recommendedAction\":\"Accept\",\"ipRange\":\"185.23.248.187-185.23.248.187\",\"ipClass\":\"T1\",\"volume\":{\"item1\":0,\"item2\":5,\"item3\":4},\"spamRatio\":{\"item1\":0,\"item2\":0},\"validBulkRatio\":0,\"childValidationEntries\":[],\"typeName\":\"CyrenIpReputationFilterEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "DmarcValidationEntry",
        "data": "{\"$type\":\"DmarcValidationEntry\",\"effectivePolicy\":\"None\",\"rfc5322FromDomain\":\"email.unifyoffice.com\",\"validationResult\":\"Success\",\"organizationalDomain\":\"unifyoffice.com\",\"dkimResult\":[{\"failures\":\"None\",\"signatureTime\":\"2022-04-13T07:55:07+02:00\",\"authenticatedDomain\":\"email.unifyoffice.com\"}],\"spfResult\":[{\"result\":\"None\",\"domain\":\"email.unifyoffice.com\"},{\"result\":\"None\",\"domain\":\"ams01-c01-mrs04.ringcentral.com\"}],\"spfValidationStatus\":\"Validated\",\"dkimAlignment\":true,\"spfAlignment\":false,\"applicablePolicy\":\"None\",\"childValidationEntries\":[],\"typeName\":\"DmarcValidationEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "SenderRecipientValidationEntry",
        "data": "{\"$type\":\"SenderRecipientValidationEntry\",\"localAddresses\":[],\"ownedDomainsInHeaderFromDisplayName\":[],\"dnsValidationResultWithAddress\":{\"result\":\"Success\"},\"headerFromContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerFromIsInvalidWithEmptyMailFrom\":false,\"headerFromContainsMultipleAddresses\":false,\"headerFromDisplayNameContainsDomainDifferentFromEmailAddress\":false,\"headerToContainsAtSignOutsideOfEmailAddress\":false,\"headerToContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerToIsEmpty\":false,\"headerFromOrToContainMultipleUnicodeLanguagePlanes\":false,\"headerToDoesNotContainLocalUser\":false,\"childValidationEntries\":[],\"typeName\":\"SenderRecipientValidationEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "DnsValidationEntry",
        "data": "{\"$type\":\"DnsValidationEntry\",\"senderAddress\":\"185.23.248.187\",\"hasMailFromDomainARecord\":true,\"mailFromDomainARecordValue\":\"aspmx.l.google.com (64.233.184.27), alt2.aspmx.l.google.com (142.251.9.27), alt1.aspmx.l.google.com (142.250.153.27), alt4.aspmx.l.google.com (74.125.200.27), alt3.aspmx.l.google.com (142.250.150.27)\",\"hasPtrRecord\":true,\"isPtrRecordValid\":true,\"ptrRecordValue\":\"ams01-c01-mrs04.ringcentral.com\",\"isPtrRecordForwardLookupValid\":true,\"ptrRecordForwardLookupValue\":\"185.23.248.187\",\"childValidationEntries\":[],\"typeName\":\"DnsValidationEntry\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "FraudDetection",
        "data": "{\"$type\":\"FraudDetectionValidationEntry\",\"action\":\"NothingDetected\",\"childValidationEntries\":[],\"typeName\":\"FraudDetection\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "MalwareScan",
        "data": "{\"$type\":\"MalwareScanValidationEntry\",\"cyrenZeroHourClassification\":{\"spamClassification\":\"Unknown\",\"virusClassification\":\"Unknown\",\"threatCount\":0,\"detectedThreatType\":\"None\",\"detectedThreatAccuracy\":\"None\",\"threatName\":\"\"},\"action\":\"Pass\",\"infectedMailParts\":[],\"availableScanners\":\"Cyren, Filebased, CyrenZeroHour\",\"hasAdministrativeNotificationBeenSent\":false,\"childValidationEntries\":[],\"typeName\":\"MalwareScan\"}"
      }
    },
    {
      "created": "2022-04-13T07:55:09.767+02:00",
      "operation": {
        "type": "ConnectionValidation",
        "data": "{\"$type\":\"ConnectionValidationEntry\",\"isConnectionSecured\":true,\"childValidationEntries\":[],\"typeName\":\"ConnectionValidation\"}"
      }
    }
  ]
}
 

Anhänge

  • Contentfilter.png
    Contentfilter.png
    124.7 KB · Aufrufe: 9
  • User Import.png
    User Import.png
    130.1 KB · Aufrufe: 6
  • Contentfilter Block.png
    Contentfilter Block.png
    262.9 KB · Aufrufe: 7
Hallo,
auf die schnelle - hat mp3 nicht den MimeType audio/mpeg
hier im MessageTrack jedoch als application/octet-stream
 
ich glaube nicht das der "sender" damit was zu tun hat,
NSP erkennt den FileTyp vom Namen und Header eigentlich.

Bei einem Kunden wo ich das Problem hatte,
lag es auch daran das das Office Dokument nicht als solches erkannt worden ist.

Der Support konnte das prüfen und beheben - ich find das Ticket von damals nur nicht mit der Problemlösung.

Edit.
habe mir von extern eine mp3 Datei geschickt.

im Message Track kam die als: "mimeType": "text/plain" (NSP v14 Prev.)
 
Robert Klarmann schrieb:
ich meine ja, aber ich hab auf das Sendesystem keinen Einfluss und kann den Mimetype nicht ändern
Zum Vergrößern anklicken....

also dein nsp erkennt: 

[font=Tahoma, Verdana, Arial, sans-serif]      "name": "46768837777-0413-075439.mp3",[/font]
[font=Tahoma, Verdana, Arial, sans-serif]      "size": 75501,[/font]
[font=Tahoma, Verdana, Arial, sans-serif]      "mimeType": "application/octet-stream",[/font]

[font=Tahoma, Verdana, Arial, sans-serif]Hier ein Link mit einer Erklärung : About "application/octet-stream" MIME attachments (iu.edu)[/font]

Klappt es denn, wenn du *.mp3 erlaubst?
 
Ich habe es jetzt auch noch mal getestet in einer v14:

"attachments": [
{
"name": "sample-3s.mp3",
"size": 52079,
"mimeType": "audio/mpeg",
"sha256Hash": "0244590F2B4BCB62352B574E78BEA940E8D89CFA69823B5208EF4C43E0ABCB44"
}
 
Robert Klarmann schrieb:
ich meine ja, aber ich hab auf das Sendesystem keinen Einfluss und kann den Mimetype nicht ändern
Zum Vergrößern anklicken....

Fehler gefunden, ich hab mal einen Screenshot angehangen... wenn du file type und Datei Endungen setzt, dann ist das eine UND und keine ODER Verknüfung, ergo: das kann nicht greifen... das wird aus der GUI leider nicht so ganz klar, dass es sich hier um ein UND handelt. Nimm in dem Filter einfach die "1" raus.
 

Anhänge

  • VvCfoMkNxT.png
    VvCfoMkNxT.png
    178.6 KB · Aufrufe: 14
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben