• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Häufung von "Fals Positivs" durch Cyren

MikelF

Member
Hallo,
geht es anderen auch so? Wir haben in den letzten Tagen viele Mails, die vom Nospamproxy permanent abgewiesen werden. Immer mit der Meldung:

5.7.1 This email was rejected because it violates our security policy
5.7.1  Cyren AntiSpam Services considered this email to be Spam (Reference id str=0001.0A782F15.5FA3E402.0073,ss=3,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=3,cld=1,fgs=0.

und das immer mit einer SCL von 16.

Es werden keine einzelnen Mailadressen geblockt sondern immer nur einzelne Mails. Ganz heftig und unangenehm eine Mail von der ADD an Schulen mit dem Thema "Maskenpflicht im Unterricht" aber auch verschiedene andere E-Mails mit  z.B. Anträgen ans Sozialamt (man merkt, ich betreue den Nospamproxy einer kommunalen Verwaltung).

Hat jemand eine Idee warum Cyren da so "Amok läuft"?

Klar, einzelne Adressen setz ich dann auf die Whitelist aber das kann ich natürlich nicht mit allen Adressen machen die es hier betrifft.
 
Hallo,
dieses Problem hab ich in der Komunalen Verwaltung auch bei 2 Kunden.
Eine erklärung hierzu habe ich noch keine, bin immer noch am Testen und Analysieren.

Grüße
 
Hallo in die Runde,
das haben wir jetzt leider schon häufiger in den letzten Wochen gehört. Um Cyren adäquat begegnen zu können, benötigen wir den ersten Teil der RefIDs (0001.0A782F15.5FA3E402.0073) und idealerweise auch die abgewiesene E-Mail. Letzteres ist bei NoSpamProxy schwer, da wir sie standardmäßig nirgends speichern. Es gibt jedoch die Möglichkeit, über das Menü "Troubleshooting" die Speicherung aller E-mails als EML auf der Festplatte zu veranlassen. Damit die Festplatte nicht vollgemüllt wird, gibt es die Möglichkeit, mit einem PowerShell-Script die Ordner und Dateien, die älter als x Tage sind, wieder zu löschen. Unter https://github.com/noSpamProxy/Troubleshooting/tree/master/CleanupDebugLogs gibt es bereits ein vorgefertigtes Script.
Bitte nutzt dafür unseren Support, damit wir das gebündelt an Cyren weiterleiten können.
Gruß Stefan
 
StefanCink schrieb:
das haben wir jetzt leider schon häufiger in den letzten Wochen gehört. Um Cyren adäquat begegnen zu können, benötigen wir den ersten Teil der RefIDs (0001.0A782F15.5FA3E402.0073) und idealerweise auch die abgewiesene E-Mail. ......
Das wird ein wenig schwierig. Nicht die technische Seite aber ich kann ja nicht einfach die E-Mail eines Gundsicherungsempfängers weiterleiten der irgendeine Frage zu seinem Antrag stellt, da verprügelt mich unser Datenschützer (und das mit Recht)
 
Guten Tag,

@MikelF, Sie schrieben "[...] [font=Tahoma, Verdana, Arial, sans-serif]das immer mit einer SCL von 16.[/font] [...]". Hier haben Sie die Standard Inbound Regel verändert und den Multiplikator von 1 (Standard) auf 4 verändert. Dadurch kommen die 16 SCL zustande, was durch unser Level-of-Trust aber nicht mehr aufgehoben werden kann.

Hier empfehle ich den Multiplikator wieder auf 1 zu ändern für die Inbound Regel(n).

Falls dies auch vorrangig ausgehend auftreten sollte, empfehle ich aus der Outbound Regel den "Cyren AntiSpam" zu entfernen, bzw. eine gesonderte Regel zu erstellen wo dieser Filter nicht enthalten ist, für interne E-Mail Adressen, die sehr viele, gleich aussehende Mails an unterschiedlichste Empfänger versenden, wie zum Beispiel Rechnungen oder Ähnliches, da dies auch zur überhöhten Erkennung führen kann.

Zusätzlich möchte auch ich Sie bitte, hier nicht mehr allein zu kämpfen und uns die exportierten Message Tracks und als Ticket im Support an support@nospamproxy.de zukommen zu lassen, damit wir Informationen geballt sammeln und mit Cyren besprechen können!
=> https://www.nospamproxy.de/de/knowledge-base/troubleshooting-im-problemfall/

Die empfehle ich auch Ihnen @ffischer  und allen Usern hier die das gleiche Problem haben!

Vielen Dank und Gruß

Thomas Glöckner


MikelF schrieb:
StefanCink schrieb:
das haben wir jetzt leider schon häufiger in den letzten Wochen gehört. Um Cyren adäquat begegnen zu können, benötigen wir den ersten Teil der RefIDs (0001.0A782F15.5FA3E402.0073) und idealerweise auch die abgewiesene E-Mail. ......
Das wird ein wenig schwierig. Nicht die technische Seite aber ich kann ja nicht einfach die E-Mail eines Gundsicherungsempfängers weiterleiten der irgendeine Frage zu seinem Antrag stellt, da verprügelt mich unser Datenschützer (und das mit Recht)
Natürlich brauchen wir so viel Daten wie möglich, aber immer unter Berücksichtigung des Datenschutzes, heißt Senden Sie uns bitte nur das was Sie senden dürfen!

Gruß Thomas Glöckner
 
ThomasGlöckner schrieb:
Guten Tag,

@MikelF, Sie schrieben "[...] [font=Tahoma, Verdana, Arial, sans-serif]das immer mit einer SCL von 16.[/font] [...]". Hier haben Sie die Standard Inbound Regel verändert und den Multiplikator von 1 (Standard) auf 4 verändert. Dadurch kommen die 16 SCL zustande, was durch unser Level-of-Trust aber nicht mehr aufgehoben werden kann.

Hier empfehle ich den Multiplikator wieder auf 1 zu ändern für die Inbound Regel(n).

das ist tatsächlich die einzige Regel die ich nicht angegriffen habe und die so noch bei der Installation eingerichtet wurde. [font=Tahoma, Verdana, Arial, sans-serif] Level-of-Trust läuft bei uns nicht, da wir alle Mails über ein einziges externes Mail-Relay reinbekommen (Landesnetz). Ich werde mal testen was passiert wenn ich den Multiplikator runter schraube, allerdings kamen in letzter Zeit ein Haufen "Porno-Spam" durch. Habe ich alle als False Negatives an Cyren übersandt. Ich hoffe das wird dann nicht mehr.[/font]
 
Hallo zusammen,
schön, dass wir nicht alleine mit dem Problem sind.

@Stefan
[font=Tahoma, Verdana, Arial, sans-serif]das haben wir jetzt leider schon häufiger in den letzten Wochen gehört.[/font]

Aus unserer Sicht ist es unterirdisch... größten Teils sind E-Mail von Behörden auf Landes- und Bundesebene betroffen. Da hört der Spaß meistens auf, wenn wichtige und relevante Informationen zu Verordnungen, Anweisungen nicht ankommen. Spätestens nach einem unangenehmen Telefonat in dieser Woche, bin ich aktuell sehr sauer auf die Leistung von Cyren. 

[font=Tahoma, Verdana, Arial, sans-serif]Eine Whitelist kommt auf Grund der Anzahl von Domains und den Variationen nicht in Frage, weil der Aufwand in keiner Relation steht. Ich wünsche mir einfach den Zustand wieder wie vor 3-4 Monaten.[/font]

[font=Tahoma, Verdana, Arial, sans-serif]gibt jedoch die Möglichkeit, über das Menü "Troubleshooting" die Speicherung aller E-mails als EML auf der Festplatte zu veranlassen. Damit die Festplatte nicht vollgemüllt wird, gibt es die Möglichkeit, mit einem PowerShell-Script die Ordner und Dateien, die älter als x Tage sind, wieder zu löschen. Unter [/font][font=Tahoma, Verdana, Arial, sans-serif]https://github.com/noSpamProxy/Troublesh...pDebugLogs[/font][font=Tahoma, Verdana, Arial, sans-serif] gibt es bereits ein vorgefertigtes Script.[/font]

Einfach Kopien von eingehenden E-Mails anzufertigen ist aus datenschutzrechtlichen Punkten leider nicht möglich. Wenn es darin auch noch um vertrauliche Daten und Informationen geht, schon zwei Mal nicht. Denn gerade Behörden auf Landes- und Bundesebene sind da inzwischen kleinlich. Und wir werden sicherlich nicht jedes Mal nachfragen, ob wir die E-Mail weitergeben dürfen. Daher muss die Reference ID von Cyren und der dazugehörige Message Track ausreichen.

@Thomas
[font=Tahoma, Verdana, Arial, sans-serif]Zusätzlich möchte auch ich Sie bitte, hier nicht mehr allein zu kämpfen und uns die exportierten Message Tracks und als Ticket im Support an [/font][font=Tahoma, Verdana, Arial, sans-serif]support@nospamproxy.de[/font][font=Tahoma, Verdana, Arial, sans-serif] zukommen zu lassen, damit wir Informationen geballt sammeln und mit Cyren besprechen können! [/font][font=Tahoma, Verdana, Arial, sans-serif]=> [/font][font=Tahoma, Verdana, Arial, sans-serif]https://www.nospamproxy.de/de/knowledge-...oblemfall/[/font]

Wir schicken regelmäßig eine Vielzahl an entsprechenden Anfragen an euch. Nicht das bei euch noch langeweile aufkommt. ;-)


Gruß,
Daniel
 
Hallo Stefan,
Hallo Thomas,
nach knapp zwei Wochen muss ich leider sagen, es wird immer schlimmer statt besser. Zum Teil werden nun sogar ganze Domains von Landesbehörden blockiert. Inzwischen muss ein Kollege täglich die permanent abgewiesen E-Mails der letzten 12/24 Stunden kontrollieren, damit die False Positive gefunden werden. Wir schicken natürlich nach wie vor Spamreports an euch.

Gibt es inzwischen diesbezüglich weitere Informationen seitens Cyren?


Gruß,
Daniel
 
MikelF schrieb:
cpohle schrieb:
schau doch mal in die eingehenden Rules. Auf was steht der Multiplikator für die Cyren Filter?

Auf was sollte er denn stehen?

auf "1". Hatte Thomas weiter oben schon mal erwähnt..

Ebenfalls hattest du weiter oben geschrieben, dass du LoT deaktiviert hast, weil Ihr Mails über ein einzigen Mailgateway empfangt.
Je nach Einstellung kann selbst hier LoT Sinn machen. Es gibt ja nicht nur Domain-Bonuspunkte, sondern auch Punkte für Subject, Address-pairing, MessageID etc. 

So müsste es dann eingestellt werden/sein:

Anhang anzeigen 3
 

Anhänge

  • Bildschirmfoto 2020-11-23 um 08.50.09.png
    Bildschirmfoto 2020-11-23 um 08.50.09.png
    126.3 KB · Aufrufe: 15
[quote pid='1057' dateline='1606117860']

auf "1". Hatte Thomas weiter oben schon mal erwähnt..

Ebenfalls hattest du weiter oben geschrieben, dass du LoT deaktiviert hast, weil Ihr Mails über ein einzigen Mailgateway empfangt.
Je nach Einstellung kann selbst hier LoT Sinn machen. Es gibt ja nicht nur Domain-Bonuspunkte, sondern auch Punkte für Subject, Address-pairing, MessageID etc. 

So müsste es dann eingestellt werden/sein:


[/quote]

Auf 1 steht er schon.... Du meinst also, wenn ich zu viel aussortiere (bzw. Cyren) soll ich noch einen Filter hinzu fügen, der erst mal trainiert werden muss? Laufe ich dann nicht Gefahr noch mehr zu verlieren?
 
MikelF schrieb:
[quote pid='1057' dateline='1606117860']
...
Auf 1 steht er schon.... Du meinst also, wenn ich zu viel aussortiere (bzw. Cyren) soll ich noch einen Filter hinzu fügen, der erst mal trainiert werden muss? Laufe ich dann nicht Gefahr noch mehr zu verlieren?

das verstehe ich nicht ganz. Verschickt Ihr die Mails nicht bereits via NoSpamProxy? Falls ja, dann müsste er ja zum Beispiel die Adresspäärchen bereits gelernt haben. Selbst wenn nicht, kannst du ja einfach LoT so einstellen wie ich im Screenshot gezeigt habe und in der Outbound Rule LoT aktivieren, dann ändert sich ja erstmal eingehend nichts. Nach ein paar Tagen dann auch eingehend aktivieren. 

Ich sehe eigentlich kein Risiko, eher nur Vorteile für dich.

Falls nein und Ihr verschickt die Mails nicht via NSP, dann nutzt dir der Trust da in der Tat nichts.
 
Hallo in die Runde,

auch bei uns werden häufiger Mails als Spam gefiltert die eigentlich durchkommen sollten.
Aktuell habe ich einen Fall das eine Rechnungs PDF nicht ankommt. Auch nachdem sie testweise einfach in AAA.pdf geändert wurde.
Schickt die gleiche Adresse aber eine andere PDF, auch eine Rechnung geht diese durch.
Kann mir das jemand erklären warum eine bestimmte PDF egal welcher Dateiname immer geblockt wird?

Frage, gibt es schon einen Fortschritt seitens Cyren zu diesen Problemen?

Eine weitere Frage, wisst ihr ob Cyren sich auch den Inhalt einer PDF anschaut, oder prüft es irgendwie einfach den Text der Mail und die Namen der Dateianhänge?

Grüße aus Bremen
Stefan
 
Was Cyren da im Details macht wird vermutlich nur Cyren beantworten können, aber ich denke da werden Muster und Hashes verglichen. Zumindest beim Cyren AntiSPAM Filter.

Welcher Cyren Filter ist es denn genau?
Auch bei uns werden ab und an mal Mails als vom AntiSPAM Service fälschlicherweise als SPAM erkannt und zurückgewiesen. In der Regel sind das aber alles Fälle, wo wir dem Absender keine Bonuspunkte zuordnen können, heisst der absendende Server nicht authentisiert war.

Steht die Absender-Domain denn bei Euch in den Partner-Domains? Und falls ja, auch mit Bonuspunkten?
Falls auch dies der Fall ist, was sagt der Reiter "Activities" im MessageTracking? War der absendende Server authentisiert?
 
cpohle schrieb:
Was Cyren da im Details macht wird vermutlich nur Cyren beantworten können, aber ich denke da werden Muster und Hashes verglichen. Zumindest beim Cyren AntiSPAM Filter.

Welcher Cyren Filter ist es denn genau?
Auch bei uns werden ab und an mal Mails als vom AntiSPAM Service fälschlicherweise als SPAM erkannt und zurückgewiesen. In der Regel sind das aber alles Fälle, wo wir dem Absender keine Bonuspunkte zuordnen können, heisst der absendende Server nicht authentisiert war.

Steht die Absender-Domain denn bei Euch in den Partner-Domains? Und falls ja, auch mit Bonuspunkten?
Falls auch dies der Fall ist, was sagt der Reiter "Activities" im MessageTracking? War der absendende Server authentisiert?

Hi,
danke für die Info. Für meine Frage sind die Parameter wie was eingestellt ist ehrlich gesagt nicht wichtig.
Bei gleichen Einstellungen kommen Mails von dieser Adresse seit Monaten an. Ob mit oder ohne Anhang.
Nun kommt eine Mail mit einem PDF Anhang nicht an. Diverse Testmails mit und ohne PDF kommen an. Nur diese eine PDF egal wie der Dateiname ist geht nicht durch.
Daher meine Frage ob mir das jemand erklären kann. Ich denke auch das die PDF einen Hash erzeugt der Cyren veranlasst dies als Spam zu filtern. Das dies eine harmlose von einem Scanner erzeugte PDF betrifft ist halt blöd. :-(
 
Guten Morgen,
ähnliches Problem bei mir.

Gibt es spezielle Einstellungen die man für AntiSpam und Co treffen sollte, wenn der NSP nicht direkt am Internet steht ?
Ein Fall wäre, dass der NSP in einer Verwaltung steht, welcher am behördennetz angeschlossen ist und hier die Mails von einem zentralen Mail GW angenommen wird und erst später an den NSP und dann an Exchange.

Grüße
 
StefanHB schrieb:
cpohle schrieb:
Was Cyren da im Details macht wird vermutlich nur Cyren beantworten können, aber ich denke da werden Muster und Hashes verglichen. Zumindest beim Cyren AntiSPAM Filter.

Welcher Cyren Filter ist es denn genau?
Auch bei uns werden ab und an mal Mails als vom AntiSPAM Service fälschlicherweise als SPAM erkannt und zurückgewiesen. In der Regel sind das aber alles Fälle, wo wir dem Absender keine Bonuspunkte zuordnen können, heisst der absendende Server nicht authentisiert war.

Steht die Absender-Domain denn bei Euch in den Partner-Domains? Und falls ja, auch mit Bonuspunkten?
Falls auch dies der Fall ist, was sagt der Reiter "Activities" im MessageTracking? War der absendende Server authentisiert?

Hi,
danke für die Info. Für meine Frage sind die Parameter wie was eingestellt ist ehrlich gesagt nicht wichtig.
Bei gleichen Einstellungen kommen Mails von dieser Adresse seit Monaten an. Ob mit oder ohne Anhang.
Nun kommt eine Mail mit einem PDF Anhang nicht an. Diverse Testmails mit und ohne PDF kommen an. Nur diese eine PDF egal wie der Dateiname ist geht nicht durch.
Daher meine Frage ob mir das jemand erklären kann. Ich denke auch das die PDF einen Hash erzeugt der Cyren veranlasst dies als Spam zu filtern. Das dies eine harmlose von einem Scanner erzeugte PDF betrifft ist halt blöd. :-(

Deswegen sagte ich ja "es kann immer mal vorkommen". Genau für diese Fälle ist Level of Trust und die Bonuspunkte gedacht. Ich nehme an Ihr empfangt nur von dieser besagten Adresse / Absenderdomain und schickt dort keine Mails hin? Falls doch müsste LoT die vom Cyren vergebenen Punkte überschreiben. 
Also entweder empfangt Ihr nur von diesen Absendern oder aber der absendende Server kann nicht authentisiert werden.
 
Die Antwort von Christian ist "leider" richtig. Cyren lässt sich da nicht sonderlich tief in die Karten schauen. Wir wissen sicher, dass Cyren nur Fingerprints der E-mail gegen die Datenbank prüft. Die Fingerprints umfassen immer nur Teile der E-mail, es wird also nicht stumpf ein Hash über die gesamte E-Mail gemacht. Welche Teile sich die Engine vornimmt, ist FIrmengeheimnis von Cyren.
Gruß Stefan
 
Guten Abend Stefan,
seit ein paar Wochen ist es wieder deutlich besser geworden. Somit können die Kollegen von Helpdesk durchatmen und die Stimmung der Nutzer ist auch wieder besser.

Wobei nach wie vor immer Behörden betroffen sind. Diese Woche es eine EU Behörde, wo es kein Durchkommen gab. Wir haben das bei euch natürlich gemeldet. Die Einträge wurden behoben aber der Grund für die Sperre war wohl auch für euch nicht ersichtlich. Das hinterlässt ein ein faden Geschmack. Denn IDs in der Datenbank ohne den (wahren) Grund könnte man auch Willkür unterstellen.


Gruß,
Daniel
 
Zurück
Oben