Outbound-Regel und Einsatz von FIlter "Cyren AntiSpam"

[mabu]

Hallo.

Mir ist gerade zufällig aufgefallen, dass eine ausgehende Mail durch "Cyren AntiSpam" mit SCL4 bewertet und damit "permantent abgewiesen wurde. Das ist mir bei ausgehenden Mails noch gar nicht aufgefallen.

Cyren AntiSpam Services considered this email to be Spam (Reference id str=0001.0A0C0215.5E42730D.0081,ss=3,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0.

User meinte, dass er einfach an die bekannte Mailadresse eine Antwort mit dem Betreff "Die E-Mail  Ihre Anfrage vom 10. Februar 2020" geschickt hat und anschließend hat er sich bei der Fehlermeldung gewundert.

Ich habe bei Outbound außer "Cyren AntiSpam" keinen weiteren Filter in der Regel hinterlegt. Was könnten Gründe sein, damit ich diesen Filter Outbound mit drin haben will?

Aktuell würde ich mich eher dazu entscheiden, outbound auch diesen Filter noch zu entfernen. (WOrtfilter etc nutzen wir bisher nicht)

Wie habt Ihr das so eingestellt?

 

[JanJäschke]

Hallo Martin,

Grund den Filter drin zu halten wäre eine interne Spamming Welle ab zu wehren.
Wenn also z.B. ein interner PC durch einen Spamming Bot missbraucht wird würden die E-Mails nie das Unternehmen verlassen und der Reputation Schaden.

False-Positives können natürlich wie in diesem Fall auch entstehen. Grund wird vermutlich der Aufbau der E-Mail gewesen sein. Eine Möglichkeit dies zu verbessern ist die Falsw-Positives an Cyren zu melden, das geht direkt über die Nachrichtenverfolgung.


Gruß,
Jan

 

[mabu]

Hallo Jan.

Ich habe gerade mal in der Nachrichtenverfolgung vom 06.01. bis heute für SCL >= 4 und ausgehende Mails gefiltert: und bekomme 9 Treffer, die aber erst seit dem 11.02. kurz nach 10 Uhr bis laufend auftauchen. (Zum Gegencheck den Filter auf "eingehende Mails" geändert und dort kommen auch Treffer vor dem 11.02.)

Also scheint es erst seit gestern zu sein, das Cyren einige dieser ausgehenden Mails als Spam ansieht. Habe alle als "False Positive" an Cyren gemeldet.

Da wir bei SCL > 4 ausgehend keine weiteren Treffer haben, habe ich nun erst einmal in der Outblund-Regel den SCL von 4 auf 5 erhöht. Damit die User diese Mails zumindest verschicken können.

Zu den Mails selbst: einmal war es ein weitergeleiterer Newsletter und die anderen Mails waren eigentlich Antworten an externe Mailadressen einfach nur mit Text und Signatur inkl. Bild.

 

[SBW]

Guten Abend Martin,

Also scheint es erst seit gestern zu sein, das Cyren einige dieser ausgehenden Mails als Spam ansieht. Habe alle als "False Positive" an Cyren gemeldet.

Für mich zur Eingrenzung/Info: Hat der Filter Cyren AntiSpam oder/und Cyren IP Reputation bei dir angeschlagen?

Unabhängig hört es sich für mich so an, dass die Reputation deiner IP-Adressen bzw. Domain wohl etwas angekratzt ist. Verschickt ihr evtl. Newsletter an eine große Masse an Leuten über das System?

Zu den Mails selbst: einmal war es ein weitergeleiterer Newsletter und die anderen Mails waren eigentlich Antworten an externe Mailadressen einfach nur mit Text und Signatur inkl. Bild.

Aus Sicht des Mail-Server-Admins ist da natürlich gut, dass trotz Weiterleitung der Filter die vermeidliche Spam erkennt. Aus Sicht des Anwenders kann schon mal Frust aufkommen (erst heute wieder erlebt).


Gruß,
Daniel

 

[mabu]

Hallo Daniel.

Es ist Cyren AntiSpam, der die "Vermutung" äußert.

Ich habe im gleichen Zeitraum zumindest vom Betreff her recht "identische Mails" - beginnen mit "Ihre Anfrage vom" oder "Ihre Mail vom". Und teilweise meint "Cyren AntiSpam" es wäre Spam und etliche andere werden mit 0 Punkten bewertet.

Da wird doch eh nur ein Hashwert an Cyren übermittelt, oder nicht? Evtl. ist es nur ein "dummer" Zufall, dass der Hash der Mail einer anderen Spam-Mail ähnelt.

Ich glaube eigentlich nicht, dass es da was mit Reputation zu tun hat. Denke, dass es dann mehr ausgehende Mails treffen würde. Hoffe, dass ich mit SPF, DKIM und seit kurzem auch DMARC nun auch auf dem richtigen Weg bin.

 

[SBW]

Guten Abend Martin,

Da wird doch eh nur ein Hashwert an Cyren übermittelt, oder nicht? Evtl. ist es nur ein "dummer" Zufall, dass der Hash der Mail einer anderen Spam-Mail ähnelt.

Meines Wissens nach erzeugt Cyren für jede eingehende bzw. ausgehende Nachricht einen Hashwert. Je nach dem ob und wie oft dieser bei Cyren bereits von anderen Kunden gemeldet wurde, erfolgt anschließend die Einstufung. Das kann bei Newslettern durch aus eine höhere Trefferate ergeben als bei herkömmlichen geschäftlichen E-Mails.

Das zwei Nachrichten, die grundlegend einen anderen Absender und Empfänger haben, Betreff und Inhalt unterscheiden, den selben Hashwert ergeben, halte ich für sehr gering. Aber da hat Net at work sicherlich nähere Details und Erfahrungen.

Ich glaube eigentlich nicht, dass es da was mit Reputation zu tun hat. Denke, dass es dann mehr ausgehende Mails treffen würde. Hoffe, dass ich mit SPF, DKIM und seit kurzem auch DMARC nun auch auf dem richtigen Weg bin.

SPF, DKIM, MTA-STS, etc... setzen immer voraus, dass beide Seiten (Absender und Empfänger) die Techniken auch zur Auswertung herziehen. Ansonsten ist der Mehrwert eigentlich sehr gering.


Gruß,
Daniel