• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

image001.emz wird geblockt

WENSP

Member
Guten Tag,



wir haben ein Problem, dass ein Kunde uns eine Mail schickt und dort image001.emz geblockt wird. Der Kunde hat auch probiert die Mail rein als Text zu verschicken ohne jegliche Bilder drin. Trotzdem abgewiesen.



Ich habe explizit keine Regel bezüglich *.emz gebaut. Unter welchem Pubnkt versteckt sich das Format .emz?


Im Anhang unser Inhaltsfilter
 

Anhänge

  • 2022-07-01_10-00-34.jpg
    2022-07-01_10-00-34.jpg
    147.2 KB · Aufrufe: 11
  • 2022-07-01_10-01-18.jpg
    2022-07-01_10-01-18.jpg
    93.9 KB · Aufrufe: 8
Hallo,

hast du einen MessageTrack für uns, damit lässt sich das Problem in den meisten Fällen leichter identifizieren.


Gruß
Jan
 
Hallo,
spontan würde ich sagen das sind komprimierte Bilddateien aus Office.
Das Bildformat EMF (Enhanced Windows Metafile) und das EMZ wäre dann komprimierte Version davon.

in der Nachrichtenverfolgung, wie wird denn die Datei erkannt als was für n Mime Typ?

Edit: Visio kann EMZ Speichern das ist wie ein EMF nur Komprimiert wie oben geschrieben.
 
Vielen Dank für schnelle Antworten, anbei der Message Track:

Die Domänen, IPs und Sender/Empfänger wurden aus Datenschutzgründen rausgenommen.

{
  "sender": {

  },
  "headerFrom": {
 
  },
  "mailId": "dc3b4405-0edc-4ac2-b166-c462e91ef10a",
  "messageId": "<>",
  "size": 35739,
  "subject": "WG: Wattline",
  "signed": "None",
  "encrypted": "None",
  "sent": "2022-07-01T09:57:10.13+02:00",
  "processingTime": "00:00:03.9400000",
  "status": "PermanentlyBlocked",
  "ruleName": "Eingehend_Whiteliste",
  "scl": -10,
  "validationStatus": "RejectPermanent",
  "rejectReason": "Policy",
  "cyrenReferenceId": "str=0001.0A702F22.62BEA89E.004D,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0",
  "processingGatewayRole": "",
  "receiveConnectorName": "SMTP on all addresses",
  "clientIPAddress": "",
  "wasReceivedFromRelayServer": false,
  "detailsWereDeleted": false,
  "urlSafeguardInfoWasDeleted": false,
  "senderConnectionSecurity": {
    "tlsProtocol": "Tls12",
    "hashAlgorithm": "Sha384",
    "keyExchangeAlgorithm": "DiffieHellmanEllipticKey",
    "keyExchangeAlgorithmStrength": 256,
    "cipherAlgorithm": "Aes256"
  },
  "deliveryAttempts": [
    {
      "recipient": "",
      "deliveryDate": "2022-07-01T09:57:10.13+02:00",
      "status": "PermanentlyBlocked",
      "dane": "None",
      "statusMessage": "5.7.1 This email was rejected because it violates our security policy\r\n5.7.1  Die Dateianhänge image002.emz sind nicht erlaubt.",
      "sendConnector": ""
    }
  ],
  "levelOfTrust": {
    "domainBonus": 0,
    "addressPairingBonus": 100,
    "messageIdBonus": 0,
    "subjectBonus": 0,
    "dsnPoints": 0,
    "mailIsTrusted": true,
    "scl": -10,
    "senderDomainIsFreeMailer": false,
    "isSenderAuthenticated": true,
    "addressPairingIsWildcardEntry": false,
    "wasHeaderFromAddressUsedForValidation": false
  },
  "actions": [
    {
      "name": "Projekt Heimdall (Vorschau)",
      "time": "00:00:00.1900000",
      "decision": "Pass"
    },
    {
      "name": "Inhaltsfilter",
      "time": "00:00:00",
      "decision": "RejectPermanent",
      "message": "Die Dateianhänge image002.emz sind nicht erlaubt."
    },
    {
      "name": "URL Safeguard",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "S/MIME- und PGP-Überprüfung sowie Entschlüsselung (vorzugsweise eingehend)",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "Malware-Scanner",
      "time": "00:00:00.6400000",
      "decision": "Pass"
    },
    {
      "name": "CSA-Whitelist",
      "time": "00:00:00",
      "decision": "Pass"
    }
  ],
  "filters": [
    {
      "name": "Cyren AntiSpam",
      "time": "00:00:00",
      "scl": 0
    },
    {
      "name": "Realtime Blocklists",
      "time": "00:00:02.6300000",
      "scl": 0
    },
    {
      "name": "Wortübereinstimmungen",
      "time": "00:00:00.3100000",
      "scl": 0
    },
    {
      "name": "Spam URI Realtime Blocklists",
      "time": "00:00:00.3200000",
      "scl": 0
    },
    {
      "name": "Reputationsfilter",
      "time": "00:00:00.2000000",
      "scl": 0
    },
    {
      "name": "Cyren IP Reputation",
      "time": "00:00:00.3700000",
      "scl": 0
    }
  ],
  "operations": [
    {
      "created": "2022-07-01T09:56:18.973+02:00",
      "operation": {
        "type": "MalwareScan",
        "data": "{\"$type\":\"MalwareScanValidationEntry\",\"cyrenZeroHourClassification\":{\"spamClassification\":\"Unknown\",\"virusClassification\":\"Unknown\",\"threatCount\":0,\"detectedThreatType\":\"None\",\"detectedThreatAccuracy\":\"None\",\"threatName\":\"\"},\"action\":\"Pass\",\"infectedMailParts\":[],\"availableScanners\":\"Cyren, Filebased, CyrenZeroHour\",\"hasAdministrativeNotificationBeenSent\":false,\"childValidationEntries\":[],\"typeName\":\"MalwareScan\"}"
      }
    },
    {
      "created": "2022-07-01T09:56:18.973+02:00",
      "operation": {
        "type": "AttachmentManagement",
        "data": "{\"$type\":\"AttachmentManagementValidationEntry\",\"mailWasBlocked\":true,\"actions\":[{\"Filename\":\"image002.emz\",\"Action\":{\"actionType\":\"Block\",\"isAttachmentPasswordRequired\":false,\"name\":\"Reject entire mail\",\"removeActiveContentFromPdf\":false,\"convertWordDocumentToPdf\":false,\"convertExcelDocumentToPdf\":false,\"originalDocumentRetention\":\"Discard\",\"requireAdministrativeApproval\":false,\"sendAdministrativeNotification\":true,\"keepAttachmentOnWebPortal\":false,\"analyzeInSandbox\":false,\"uploadToSandbox\":true,\"sandboxMaliciousAttachmentAction\":\"None\",\"addInformationalPrefacePage\":true},\"Recipients\":[{\"localPart\":\"\",\"domain\":\"\"}],\"IsContentDisarmed\":false,\"MailWasPutOnHold\":false,\"IsAttachmentPasswordProtected\":false}],\"mailWasPutOnHold\":false,\"tnefAttachmentConvertedForRecipients\":[],\"isTnefAttachmentConverted\":false,\"childValidationEntries\":[],\"typeName\":\"AttachmentManagement\"}"
      }
    },
    {
      "created": "2022-07-01T09:56:18.973+02:00",
      "operation": {
        "type": "DnsValidationEntry",
        "data": "{\"$type\":\"DnsValidationEntry\",\"senderAddress\":\"\",\"hasMailFromDomainARecord\":true,\"mailFromDomainARecordValue\":\" ()\",\"hasPtrRecord\":true,\"isPtrRecordValid\":true,\"ptrRecordValue\":\"\",\"isPtrRecordForwardLookupValid\":true,\"ptrRecordForwardLookupValue\":\"\",\"childValidationEntries\":[],\"typeName\":\"DnsValidationEntry\"}"
      }
    },
    {
      "created": "2022-07-01T09:56:18.973+02:00",
      "operation": {
        "type": "CyrenIpReputationFilterEntry",
        "data": "{\"$type\":\"CyrenIpReputationFilterEntry\",\"ipAddress\":\"\",\"referenceId\":\"tid=0001.0A702F8D.62BEA89B.0058\",\"riskLevel\":0,\"recommendedAction\":\"Accept\",\"ipRange\":\"\",\"ipClass\":\"G1\",\"validBulkRatio\":-1,\"childValidationEntries\":[],\"typeName\":\"CyrenIpReputationFilterEntry\"}"
      }
    },
    {
      "created": "2022-07-01T09:56:18.973+02:00",
      "operation": {
        "type": "DmarcValidationEntry",
        "data": "{\"$type\":\"DmarcValidationEntry\",\"effectivePolicy\":\"None\",\"rfc5322FromDomain\":\"\",\"validationResult\":\"BestGuessPass\",\"organizationalDomain\":\"\",\"dkimResult\":[{\"failures\":\"None\",\"authenticatedDomain\":\"\"}],\"spfResult\":[{\"result\":\"Pass\",\"domain\":\"\"},{\"result\":\"Pass\",\"domain\":\"\"}],\"spfValidationStatus\":\"Validated\",\"dkimAlignment\":true,\"spfAlignment\":true,\"childValidationEntries\":[],\"typeName\":\"DmarcValidationEntry\"}"
      }
    },
    {
      "created": "2022-07-01T09:56:18.973+02:00",
      "operation": {
        "type": "SenderRecipientValidationEntry",
        "data": "{\"$type\":\"SenderRecipientValidationEntry\",\"localAddresses\":[],\"ownedDomainsInHeaderFromDisplayName\":[],\"dnsValidationResultWithAddress\":{\"result\":\"Success\"},\"headerFromContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerFromIsInvalidWithEmptyMailFrom\":false,\"headerFromContainsMultipleAddresses\":false,\"headerFromDisplayNameContainsDomainDifferentFromEmailAddress\":false,\"headerToContainsAtSignOutsideOfEmailAddress\":false,\"headerToContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerToIsEmpty\":false,\"headerFromOrToContainMultipleUnicodeLanguagePlanes\":false,\"headerToDoesNotContainLocalUser\":false,\"childValidationEntries\":[],\"typeName\":\"SenderRecipientValidationEntry\"}"
      }
    }
  ]
}
 
Hallo,
so ich konnte es nachbauen.
Anhang anzeigen 6


Inhaltsfilter auf eine Partnerdomain auf ein Benutzer

Ist Dateityp: GZIP-komprimierte Datei
 

Anhänge

  • 01-07-_2022_10-35-26.jpg
    01-07-_2022_10-35-26.jpg
    60.4 KB · Aufrufe: 11
Da war der Frank 5min schneller ^^

Kann es ebenso bestätigen.
Da du noch auf 13.2 bist hilft der MessageTrack tatsache auch leider noch nicht weiter, hier war ich gedanklich schon bei v14 0:)


Gruß
Jan
 
Vielen Dank für die schnelle Hilfe! Echt toll!

Wie macht Ihr das mit den Zip-Dateien? Wie sind denn eure Einstellungen dort? Abweisen? Ins Web-Portal?
 
bei mir lass ich bsp. diese Dateien ins Portal laden.

Ich frage mich gerade eher, wen er eine Mail nur mit Text schreibt warum er da ein EMZ anhängt.
Also Wenn Bilder in der Mail sind, sind die eingebettet oder als PNG/JPG.
 
Zurück
Oben