• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

NSP hinter SophosXG

Stefan

New member
Hallo zusammen,

wir haben NSP zwischen einer Sophos XG (MTA) und einem Exchange Server eingerichtet.

Leider werden einige eingehende legitime E-Mails abgelehnt.




Wenn ich die Nachrichtenverfolgung exportiere und ich es richtig interpretiere, wird die E-Mail als SPAM/Virus erkannt und abgelehnt, richtig? Dann müsste ich diese als False-Positiv melden damit diese beim nächsten Mal zugestellt wird?

Der Absender bekommt standardmäßig eine NDR?

{
  "sender": {
    "localPart": "Mxxxxxxx",
    "domain": "mxxxxxxxxxl.de"
  },
  "headerFrom": {
    "localPart": "mxxxxxxx",
    "domain": "mxxxxxxxxxxxl.de"
  },
  "mailId": "55d83859-9dbf-40e9-8d74-3adabcfbd048",
  "messageId": "<ADR470000000580800100050569593EC1EDD9AB1CF727C635C99@vxxxxxxxxl.de>",
  "size": 118334,
  "subject": "Rxxxxxxxxxxxxxxx3",
  "signed": "None",
  "encrypted": "None",
  "sent": "2022-11-21T13:02:17.807+01:00",
  "processingTime": "00:00:10.1900000",
  "status": "PermanentlyBlocked",
  "ruleName": "All other inbound mails",
  "scl": 4,
  "validationStatus": "RejectPermanent",
  "rejectReason": "SpamOrVirus",
  "cyrenReferenceId": "str=0001.0A702F19.637B68CA.006F,ss=1,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=1,cld=1,fgs=0",
  "processingGatewayRole": "NOSPAMPROXY",
  "receiveConnectorName": "SMTP on all addresses",
  "clientIPAddress": "192.xxx.xxx.254",
  "wasReceivedFromRelayServer": true,
  "detailsWereDeleted": false,
  "urlSafeguardInfoWasDeleted": false,
  "deliveryAttempts": [
    {
      "recipient": "rxxxxxxxx@txxxxxxxxxxxxxxe.de",
      "deliveryDate": "2022-11-21T13:02:17.807+01:00",
      "status": "PermanentlyBlocked",
      "dane": "None",
      "statusMessage": "5.7.1 This email was rejected because it violates our security policy\r\n5.7.1  Inbound connection is not secured by TLS.\r\n5.7.1 SPF validation failed: Domain: mxxxxxxxxxxl.de, Result: Fail",
      "sendConnector": ""
    }
  ],
  "levelOfTrust": {
    "domainBonus": 0,
    "addressPairingBonus": 0,
    "messageIdBonus": 0,
    "subjectBonus": 0,
    "dsnPoints": 0,
    "mailIsTrusted": false,
    "scl": 0,
    "senderDomainIsFreeMailer": false,
    "isSenderAuthenticated": false,
    "addressPairingIsWildcardEntry": false,
    "wasHeaderFromAddressUsedForValidation": false
  },
  "actions": [
    {
      "name": "Malware-Scanner",
      "time": "00:00:01.6200000",
      "decision": "Pass"
    },
    {
      "name": "CSA-Whitelist",
      "time": "00:00:00",
      "decision": "Pass"
    },
    {
      "name": "URL Safeguard",
      "time": "00:00:00",
      "decision": "Pass"
    }
  ],
  "attachments": [
    {
      "name": "Rechnung 9020449343.pdf",
      "size": 79746,
      "mimeType": "application/pdf",
      "sha256Hash": "BAE8850F3BAAFAEC1877C2007BFB9E8A95786DEE3691C8EEAC649FF2935E4B3C"
    }
  ],
  "filters": [
    {
      "name": "Reputationsfilter",
      "time": "00:00:08.3000000",
      "scl": 4,
      "message": "Inbound connection is not secured by TLS.\r\nSPF validation failed: Domain: mxxxxxxxxxl.de, Result: Fail"
    },
    {
      "name": "Cyren AntiSpam",
      "time": "00:00:00",
      "scl": 0
    },
    {
      "name": "Realtime Blocklists",
      "time": "00:00:00",
      "scl": 0
    },
    {
      "name": "Spam URI Realtime Blocklists",
      "time": "00:00:00.3300000",
      "scl": 0
    }
  ],
  "operations": [
    {
      "created": "2022-11-21T13:02:29.593+01:00",
      "operation": {
        "type": "ConnectionValidation",
        "data": "{\"$type\":\"ConnectionValidationEntry\",\"isConnectionSecured\":false,\"childValidationEntries\":[],\"typeName\":\"ConnectionValidation\"}"
      }
    },
    {
      "created": "2022-11-21T13:02:29.593+01:00",
      "operation": {
        "type": "MalwareScan",
        "data": "{\"$type\":\"MalwareScanValidationEntry\",\"cyrenZeroHourClassification\":{\"spamClassification\":\"Unknown\",\"virusClassification\":\"Unknown\",\"threatCount\":0,\"detectedThreatType\":\"None\",\"detectedThreatAccuracy\":\"None\",\"threatName\":\"\"},\"action\":\"Pass\",\"infectedMailParts\":[],\"availableScanners\":\"Cyren, CyrenZeroHour\",\"hasAdministrativeNotificationBeenSent\":false,\"childValidationEntries\":[],\"typeName\":\"MalwareScan\"}"
      }
    },
    {
      "created": "2022-11-21T13:02:29.593+01:00",
      "operation": {
        "type": "MailFromHeaderFromAlignmentValidation",
        "data": "{\"$type\":\"MailFromHeaderFromAlignmentValidationEntry\",\"areMailFromHeaderFromAligned\":true,\"mailFromAddress\":\"mxxxxxxxxxxxl.de\",\"headerFromAddress\":\"mxxxxxxxxxl.de\",\"childValidationEntries\":[],\"typeName\":\"MailFromHeaderFromAlignmentValidation\"}"
      }
    },
    {
      "created": "2022-11-21T13:02:29.593+01:00",
      "operation": {
        "type": "SenderRecipientValidationEntry",
        "data": "{\"$type\":\"SenderRecipientValidationEntry\",\"localAddresses\":[],\"ownedDomainsInHeaderFromDisplayName\":[],\"dnsValidationResultWithAddress\":{\"result\":\"Success\"},\"headerFromContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerFromIsInvalidWithEmptyMailFrom\":false,\"headerFromContainsMultipleAddresses\":false,\"headerFromDisplayNameContainsDomainDifferentFromEmailAddress\":false,\"headerToContainsAtSignOutsideOfEmailAddress\":false,\"headerToContainsAngleBracketsWithInvalidEmailAddress\":false,\"headerToIsEmpty\":false,\"headerFromOrToContainMultipleUnicodeLanguagePlanes\":false,\"headerToDoesNotContainLocalUser\":false,\"childValidationEntries\":[],\"typeName\":\"SenderRecipientValidationEntry\"}"
      }
    },
    {
      "created": "2022-11-21T13:02:29.593+01:00",
      "operation": {
        "type": "DmarcValidationEntry",
        "data": "{\"$type\":\"DmarcValidationEntry\",\"effectivePolicy\":\"None\",\"rfc5322FromDomain\":\"mxxxxxxxxl.de\",\"validationResult\":\"NoDmarcRecordFound\",\"organizationalDomain\":\"mxxxxxxxxel.de\",\"dkimResult\":[{\"failures\":\"None\",\"authenticatedDomain\":\"vxxxxxxxxl.de\"}],\"spfResult\":[{\"result\":\"Fail\",\"domain\":\"mxxxxxxxxxxxxl.de\"},{\"result\":\"None\",\"domain\":\"mail.xxxxxxxxxxxxxxxxxx.de\"}],\"spfValidationStatus\":\"Validated\",\"dkimAlignment\":false,\"spfAlignment\":false,\"childValidationEntries\":[],\"typeName\":\"DmarcValidationEntry\"}"
      }
    }
  ]
}
 

Anhänge

  • nsp1.png
    nsp1.png
    200.9 KB · Aufrufe: 9
  • nsp2.png
    nsp2.png
    129.3 KB · Aufrufe: 6
  • nsp3.png
    nsp3.png
    149 KB · Aufrufe: 5
Hallo,
das beste ist wenn die XG nicht die Mails per MTA annimmt, sondern eine PortFwd. direkt auf den NSP macht.
Diese Probleme hatte ich anfangs auch, nach der Umstellung lief das sauber.
 
Moin,
das beste ist wenn die XG nicht die Mails per MTA annimmt, sondern eine PortFwd. direkt auf den NSP macht.
 
aber nur, wenn NSP nicht im LAN wie alle anderen Server steht, sondern in einer DMZ. So dass gewisse Sicherheitsstandards eingehalten werden.


Gruß,
Daniel
 
Ich schließe mich den Worten von Frank an und ergänze es um die Info, dass das auch die Anforderung von NoSpamProxy Protection ist. Immer dann, wenn NoSpamProxy Protection verwendet wird (sprich: SPam- und Malwareabwehr), muss NoSpamProxy das erste Gateway in der E-Mail-Kette sein. Sobald das nicht der Fall ist (Encryption only zum Beispiel), kann NoSpamProxy irgendwo in der Kette sein.

Die E-Mail ist übrigens vom Reputationsfilter abgewiesen worden, unter anderem hat NoSpamProxy 2 Strafpunkte vergeben, weil die Verbindung von der SOphos zum NoSpamProxy nicht verschlüsselt war. Den Rest hat dann die SPF-Prüfung erledigt, die natürlich fehlschlagen muss, da NoSpamProxy nur die IP-Adresse der Sophosinstallation als einlieferndes Gateway sieht.
Gruß Stefan
 
Zurück
Oben