Plötzlich viele Anhänge im Web Portal

[sbauhaus]

Guten Morgen zusammen,

seit gestern werden Anhänge, die von einem lokalen, vertrauenswürdigen Server an NSP Cloud geschickt werden, nicht mehr als Anhang zugestellt, sondern ins Web Portal hochgeladen.

Das betrifft vor allem die Scanner, die Dokumente im Anhang übermitteln, was schlecht ist, weil hier überwiegend Automatismen hinterhängen, die nun nicht mehr funktionieren.

Laut Tracking wird erkannt, dass es eine interne Mail ist:

"ruleName": "Internal communication",
"scl": 0,
"validationStatus": "Pass",
"rejectReason": "None",
"processingGatewayRole": "Gateway Role 2",
"receiveConnectorName": "Internal Connector",
"clientIPAddress": "xxx",
"wasReceivedFromRelayServer": true,
"detailsWereDeleted": false,
"urlSafeguardInfoWasDeleted": false,

Was kann ich tun?

Viele Grüße
Sebastian

 

[StefanCink]

Hi,
hier ist es spannend zu wissen, was NSP als Dateianhang erkennt. Hat sich da etwas geändert? An der Konfiguration haben wir nichts geändert, auch ein Update kann ich ausschließen.
Gruß Stefan

 

[sbauhaus]

Hallo Stefan,

der Dateityp "PDF-Dokument" wird erkannt, das hat sich nicht geändert.
Das Problem haben wir seit dem 07.04. gegen 15:00 Uhr. Allerdings habe ich auch gerade festgestellt, dass die entsprechenden Mails auch schon vorher angehalten wurden - allerdings wurden die Anhänge danach weitergeleitet, ohne sie ins Web Portal hochzuladen.

Wir hatten bei der Einrichtung die Adresse der Scanner in die "No content filtering"-Regel eingetragen, in der Annahme, dass dadurch solche Probleme ausgeschlossen werden. Wenn ich mir das Tracking jetzt so anschaue, hat die Regel offenbar nie gegriffen, da die "Internal Communication"-Regel greift - was ja auch irgendwie scheint.

Wie kann ich denn ausschließen, dass eine Inhaltsfilterung innerhalb der "Internal Communication"-Regel stattfindet?

Erstaunlicherweise konnte ich das Problem abstellen, indem ich die "Strict" - Regel so angepasst habe, dass nirgendwo CDR durchgeführt wird - das hat geholfen, mir ist allerdings nicht klar, warum.

Viele Grüße
Sebastian

 

[JanJäschke]

Hallo Sebastian,

die Regeln und der Inhaltsfilter haben nichts direkt miteinander zu tun.
Innerhalb einer Regel wird lediglich gesagt: Inhaltsfilter ja/nein. Sonst nichts.
Wenn die Regel „Ja“ sagt, dann wird anhand des Absenders, Empfängers, Gruppen Zugehörigkeit entschieden welcher Inhaltsfilter greift.

Heißt du läufst über die Internal Communication Tegel und es greift der Strikte Inhaltsfilter.
Wenn du das nun für einen Benutzer/eine Gruppe ausnehmen möchtest, dann reicht es auf dem Benutzer oder einer entsprechenden Gruppe einen anderen Inhaltsfilter ohne VDR zu definieren.

Die No contentfiltering Regel würde auch helfen wenn die E-Mail durch diese verarbeitet werden würde. Da ich das exakte Routing aber grade nicht kenne kann ich hier nur raten:
Dein interner Server schickt im Namen einer deiner Domänen bzw. an eine? ^^
Da es ein erlaubter Relay Server zu sein scheint ist die Regelauswertung vollkommen korrekt
Bleibt nur die Anpassung am Benutzer/einer Gruppe oder gar eine neue Sonderregel

Bei einem solchen Szenario stelle ich aber immer gerne die Frage:
Wieso schickst du eine vermeintlich „interne“ email über die Cloud?

LG
Jan

 

[sbauhaus]

Dein interner Server schickt im Namen einer deiner Domänen bzw. an eine? ^^
Da es ein erlaubter Relay Server zu sein scheint ist die Regelauswertung vollkommen korrekt

ja genau, das geht von unserer Domain zu unserer Domain.
Dann war das vermutlich immer so, allerdings hatte NSP bis Montag offenbar keinen Grund gesehen, die PDf-Dateien ins Portal hochzuladen.

Bei einem solchen Szenario stelle ich aber immer gerne die Frage:
Wieso schickst du eine vermeintlich „interne“ email über die Cloud?

Das ist ein gute Frage, allerdings geht es hier um eine interne Mail, die von "lokal" an M365 geschickt wird, geht also ohnehin in die Cloud. Wir leiten diese Mails über NSP, damit der Weg für alle Mails einheitlich ist. Wir leiten über dieses Relay auch teilweise automatische Mails an Mieter. Wenn es da zu Fragen kommt, muss der First Level Support nur die NSP-Nachrichtenverfolgung nutzen, die wir deutlich gelungener finden, als die von Microsoft

VG
Sebastian

 

[Benjamin]

Um das aufzugreifen:
wir haben seit dieser Woche auch sehr viele Anhänge (.pdf) im Portal. Via Partnerkonfiguration ist als Filter strikt eingestellt, der für .pdf vorsieht, dass der Anhang bei nicht vertrauenswürdigen Mails ins Portal geschoben wird. Soweit auch alles korrekt, nur werden seit dieser Woche sehr viele Mails offenbar als nicht vertrauenswürdig deklariert, die bis letzte Woche noch völlig in Ordnung waren (Peak war am Dienstag/Mittwoch).

Schöne Grüße,
Benjamin

 

[zfrank]

Das ist bei uns auch so, speziell bei Rechnungen landen viele im Webportal, die früher ohne Probleme vertrauenswürdig waren.

 

[Sattler_Armin]

Auch wir sind bei PDF Dateien davon betroffen, da es offenbar die gleichen Absender mit dem gleichen PDF Aufbau (Rechnungen/Bestellung) wie bisher sind, erschließt sich mir die Ursache bisher nicht. Gibt es hierzu schon etwas offizielles?

 

[ThomasGlöckner]

Hallo zusammen,

wir bekommen dazu auch immer wieder Tickets im Support. Deswegen möchte ich hier ein wenig sensibilisieren und vermehrt auf die Doku verweisen, denn bisher gab es sehr selten wirklich Problem im Produkt, sondern es lag schlicht weg an der Konfiguration der Tenants in der Cloud!

Die nachfolgenden Informationen beziehen sich auf E-Mails von extern, nicht wie hier ursprünglich interne Mails über die Regel "Internal communication"! Dafür bitte im Support melden und wir finden dafür auch eine Lösung!

Zu aller erst eine wichtige Info, prüfen Sie immer zuerst den Message Track mit Status "Angehalten", denn da sind alle relevanten Daten enthalten!
Hier ist wichtig der Reiter "Überprüfung", denn dort sieht man ob eine E-Mail vertrauenswürdig ist oder nicht! Sobald nur ein Vertrauen größer -4 SCL vorliegt (-4 bis -10 SCL vertrauenswürdig; -3.9 bis 10 SCL nicht vertaruenswürdig), bzw. überhaupt kein Vertrauen angewendet werden kann, zählt die Mail grundsätzlich als nicht vertrauenswürdig!


Wenn dem so ist, prüfen Sie bitte Ihren Inhaltsfilter konfiguriert auf Partner oder Unternehmensbenutzer Seite in den jeweiligen Standardeinstellungen!
Ist dort unser vorkonfigurierter Inhaltsfilter Strict / Streng oder Medium / Mittel ausgewählt, ist der Upload bei nicht vertrauenswürdigen E-Mails nach dem CDR so vorgesehen!
=> https://docs.nospamproxy.com/Cloud/de-de/Content/content-filter/content-filter-cloud-preconfigured.htm

=> Aufklappen



Somit müssen Sie hier dafür sorgen, entweder durch Änderung im Inhaltsfilter durch Änderung der Aktion für Inhaltsfilter

oder

durch Konfiguration des Vertrauens im Partner, dass die Mail als vertrauenswürdig eingestuft wird!

Vertrauen baut sich nur durch ausgehende E-Mails auf oder wenn Sie es im Partner fest setzen, wovor wir aber abraten, da dadurch die Sicherheitsschwelle reduziert wird.
Findet längere Zeit keine Kommunikation mit dem Partner statt, sinkt das Vertrauen automatisch am Tag um 10 Prozent des aktuellen Wertes!

Ich hoffe ich konnte dieses Thema hiermit ein wenig entschärfen und erklären.

Diese Erklärung schließt aber eventuelle Fehler beim Konvertieren nicht aus, was wir aber hier auch erklärt haben!
=> https://docs.nospamproxy.com/Cloud/...t-disarm-and-reconstruction.htm?Highlight=cdr

Gruß der Thomas

 

[Sattler_Armin]

Hallo Herr Glöckner,

die Ursache für die Verwirrung ist sicherlich auch, dass in der Doku im Filterset "Streng" nur "CDR" und kein Hinweis auf die Verzögerung steht. Ich gehe davon aus, dass das Filterset "Streng" hier die gleichen Werte hat wie in "Mittel" angegeben?

Viele Grüße
Armin Sattler

 

[ThomasGlöckner]

Guten Morgen zusammen,

wir haben gestern Nachmittag / Abend noch ein paar Analysen gefahren um das Problem. dass der CDR Prozess für PDF Dateien selber hin und wieder fehlschlägt. Dabei wurde eine Umgebung identifiziert, die sich anders verhalten hat im negativen Sinne.
Daraufhin haben wir diese Umgebung, und auch alle anderen Umgebungen, geprüft und erweitertes Monitoring aktiviert.
Mit den bereits existierenden Kunden im Support prüfen wir dies jetzt ob unsere Maßnahmen in dieser einen Umgebung schon greifen und das verhalten sich wieder verbessert. Falls nicht bekommen wir dort auf jeden Fall dann weitere Informationen wo das Problem liegt.

Heißt es betraf grundsätzlich nicht alle Kunden, augenscheinlich nur die Kunden, die sich in der einen Umgebung befinden, aber auch für diese Kunden sollte jetzt das CDR für PDF Dateien wieder besser funktionieren.

Gruß der Thomas

 

[ThomasGlöckner]

Hallo Herr Glöckner,

die Ursache für die Verwirrung ist sicherlich auch, dass in der Doku im Filterset "Streng" nur "CDR" und kein Hinweis auf die Verzögerung steht. Ich gehe davon aus, dass das Filterset "Streng" hier die gleichen Werte hat wie in "Mittel" angegeben?

Viele Grüße
Armin Sattler

Oh das ist tatsächlich ein guter Hinweis. Im "Strict / Streng" ist tatsächlich auch die CDR Aktion mit Freigabe nach 2h aktiv, auch wenn es noch eine Aktion ohne automatische Freigabe dafür gibt.


Das werde ich mal in der Doku noch anpassen lassen.

Vielen Dank für den Hinweis

 

[kmx]

Hallo Zusammen,

ich möchte das Thema des Anfangs bzw. die Beobachtungen von sbauhaus nochmal aufgreifen: Seit dem 07.04.2025 ist es bei uns ebenfalls dazu gekommen, dass plötzlich sehr viele E-Mails von Extern mit PDF-Anhang nicht mehr zugestellt wurde. Wir haben zuvor nichts an der Konfiguration verändert. Ich verstehe daher nicht, warum es dazu gekommen ist, wenn auch auf eurer Seite keine Konfigurationsänderungen oder Updates gemacht wurden.
Kann das bitte nochmal jemand überprüfen?

 

[H.Glohr]

Hallo, auch bei mir und meinen Kunden werden seit heute einige pdf nicht zugestellt. Es gab keine Änderung und ich bekomme andauernd Anfragen zum freigeben.
Was ist passiert?