• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

PRVS-Eintrag vor eigentlicher Mailadresse

mabu

Well-known member
Hallo.

Wir hatten vor kurzem mit Mails von einem unserer Dienstleister das Problem, dass der NSP diese beim Mailempfang immer abgelehnt hat.

Grund ist, dass vor der Absendemailadresse immer prvs=1837...=adresse@dienstleister.de auftaucht. Nach Rücksprache mit dem Dienstleister hat das was mit "Bounce Address Tag Validation" zu tun und der Mailserver, der das be uns annimmt, sollte dies erst einmal entfernen - das wäre bei uns der NSP selbst.

Beim Mailempfang erfolgte die Ablehnung, weil das Zertifikat nicht zur Absendeadresse passte (s. Screenshot).

Workaround war erst einmal, dass die Domäne in die Regel "Inbound - Prüfung Zertliste deaktivieren" mit aufgenommen wurde.

So richtig habe ich zu dem pvrs-Eintrag und wie der NSP damit umgehen sollte, noch nichts gefunden. Weder im Forum noch in der KnowledgeBase.

Bitte Info, was hier zu beachten ist. Danke.
 

Anhänge

  • Screenshot.jpg
    Screenshot.jpg
    5.3 KB · Aufrufe: 6
Hi.

Das Problem ist, dass ich von den problematischen Mails keine mehr in der Nachrichtenverfolgung habe. Da haben sich zwei Urlaube überschnitten und ich habe es heute erst erfahren.

Somit kann ich nur auf Screenshots im Ticket zurückgreifen und auf die Infos, die dort vermerkt sind.

Ich habe jetzt mal in der Nachrichtenverfolgung auf "prvs=" gefiltert. und da werden viele Mails inkl. verschlüsselter Mails angenommen. Dann kann es doch nicht an dem prvs liegen. 

Da gibt es etliche Mails von unterschiedlichen Stellen der dt. Rentenversicherung. Und die Mails scheinen trotz Domain wie drv-nord.de mit dem Zertifikat drv-bund.de signiert worden zu sein. Das führt dann wohl zu [font=Tahoma, Verdana, Arial, sans-serif]"[/font][font=Tahoma, Verdana, Arial, sans-serif]Die E-Mail wurde nicht mit einem akzeptablen Zertifikat signiert." [/font]Oh man.

Das gleiche mit drv-westfalen.de, drv-bsh.de und noch zwei anderen Domänen.

Am prvs= vor der "Mail from" scheint es damit tatsächlich nicht zu liegen.

Damit weiß ich nun zumindest, was es mit prvs= auf sich hat.

Und jetzt beende ich mal den Arbeitstag, da mir dieses Thema und das Prüfen, woran es liegen könnte, schon Kopfschmerzen eingebracht hat.
 
Hallo Martin,
ich kann dir gern mal ein paar Mails zu senden mit PRVS.
Muss da nur kurz Mail Server etwas umstellen und die Sophos das BATV Tag anhängen lassen.
Kannst du haben in Verschlüsselt und Unverschlüsselt.

Grüße
 
Kleine Ergänzung vom Hersteller: PRVS erkennen wir und lassen das zB beim Level of Trust aber auch bei der Lizenzzählung mit einfließen.
Gruß Stefan
 
Danke für die Rückmeldungen.

das Problem, das wir bei der Annahme der Mails hatten, hatte letztlich tatsächlich nichts mit dem prvs= Eintrag zu tun. Der war zuerst nur auffällig.

Eigentlich gab es von Seiten des NSP gar kein Problem. Die Absender waren selbst die Verursacher, da diese zum Signieren ein Zertifikat einer alten Maildomain genutzt haben und dies somit nicht mit der nun genutzten Absenderdomain übereinstimmte. Also NSP selbst passte damit.

ALs Hintergrund: Anfang dieses Jahres wurde deutschlandweit aus den einzelnen "Medizinischer Dienst der Krankenversicherung" (kurz MDK) nur noch "Medizinischer Dienst" (kurz MD). Und zeitlich haben die meisten MD zum 01.07.21 die Absenderdomain geändert.

Und leider hat mind. ein MD für die Signatur noch ein Zert für die alte mdk-Domain genutzt. Yippie.

Das Ganze passierte (warum auch immer) auch bei einigen Domains der Deutschen Rentenversicherung. 

Irgendwie von Absenderseite alles sehr merkwürdig. Vor allem haben wir erst nach anscheinend mind. 4 Wochen eine interne Anfrage bekommen, warum keine Mails vom Medizinischen Dienst Niedersachsen bei uns ankommen. Und jede dieser eigentlich verschickten Mails hat die Rückmeldung der Abmeldung erhalten.

Vielleicht sollte man einmal pro Woche die "permanent abgelehnten" Mails im NSP grob auf Auffälligkeiten überprüfen.

Das Leben in der Praxis mit Mailverschlüsselung - oft echt zum Verzweifeln. Und ich bin froh, dass wir auf unserer Seite den NSP haben. Verbesserungen immer noch möglich, aber schon ein sehr gutes Produkt.
 
Hallo,
danke für die Ausführliche Erklärung.

Der NSP nimmt einen schon viel ab.
Aber selbst ich prüf bei allen Kunden mindestens einmal die Woche nach Zustellfehlern etc.
Es wäre vielleicht ein FeatureRequest.
Eine Art Schwellwert wenn von Domain.de Mails versendet werden und die wegen einem Fehler X abgelehnt werden,
ist die Häufigkeit innerhalb von Zeit X bei bsp. 10 melde dem Admin per Mail mit Info des Grundes (Bsp. Zertifikat Fehler etc) das er mal schauen soll.

Edit: Wäre das nicht hiermit möglich ?
https://github.com/noSpamProxy/Reports/tree/master/Send-ReporttoUserswithBlockedEmails
Probiere das gerade aus, gestern kamen ein paar Mails, aber bisher zeigt der Report nichts an.

Edit1: Habe es wo anders probiert, da kommt eine Mail beim Benutzer an mit Mails die abgelehnt worden sind :)
Das wäre ja was, wenn man das einmal die Woche laufen lässt.

Mit Zertifikaten muss ich auch immer wieder schauen, meist trifft es aber so eigene CAs die keiner kennt,
Allianz, oder Bayern.de etc. die haben da immer Extra CAs.

Grüße
 
Danke für die Infos.

Das mit dem Skript hört sich gut an. Bin nicht ganz sicher, wer in dem Skript die Mail letztlich erhält -> lege ich einen speziellen Empfänger fest oder bekommt es die Mailadresse, für die die geblockte Mail bestimmt war?

Probiere das dann mal aus.

Gibt es eigentlich weitere interessante Skripte, die ihr so laufen lasst? Ich meine, ich habe eins regelmäßig laufen, das auf Zertifikate in der Quarantäne prüft und dann eine Mail an mich schickt. Obwohl ich glaube, dass ich zuletzt keine Mail dazu erhalten habe und zufällig im NSP gesehen habe, dass ein Zert in Quarantäne liegt. hmm
 
Hallo,
also der Empfänger der Abgelehnte E-Mails bekommen hat, der bekommt diese Mail zugesendet.
So das Script, aber es lässt sich sicherlich auch anpassen.

Schön wäre es noch wenn der Grund dafür dabei stehen würde, so sieht der Empfänger der Report Mail ja nur das da was kam, aber nicht warum.
(man kann das Script anpassen das auch der Grund angezeigt wird)
Anhang anzeigen 8

in einem Fall, konnte die Zert.Kette nicht geprüft werden, weil eigene CA.

Lizenz Auswertung habe ich noch am laufen.
Grüße
 

Anhänge

  • nsp_rep.jpg
    nsp_rep.jpg
    254.6 KB · Aufrufe: 9
Moin zusammen,
na das sind ja Neuigkeiten. Ich bin immer wieder überrascht, dass es zu solchen Fehlern überhaupt kommen kann! Welche Software lässt es bitteschön zu, eine E-Mail mit der Domäne corp1.com im Header-From mit einem Zertifikat zu signieren, indem diese Domain nicht einmal enthalten ist? Mir bleibt ein Kopfschütteln.
Zu dem Vorschlag mit der Auswertung: Hier würde ich gerne konkreter werden, da wir ja gerade in der Cloud die Reporting-Oberfläche überarbeitet und in die Web UI überführt haben. Das "droht" auch allen OnPrem-Kunden. Hier mal das Video von Sören und mir dazu:
Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.
. In der bisherigen Reporting-Funktion gibt es die Top10-Spam-Empfänger. Wäre es aus eurer Sicht dann hilfreich, auch die Top10 bzw. Top-x-abgewiesenen-domains zu sehen?

Gruß Stefan
 
Morgen.

Es wundert mich auch immer, was das im Reallife so ist.

Ich hatte die Tage einen größeren Verband im Bereich der gesetzlichen Krankenversicherung, der SwissSign-Zertifikate nutzt (sehen vom Aussteller aus wie unsere), die ich selbst über SwissSign Zert-Suche nicht finden kann. Meine Vermutung war "die haben der Veröffentlichung vielleicht widersprochen). Laut deren IT "Die öffentlichen Schlüssel unserer Mitarbeiter sind nicht über SwissSign abrufbar, da wir eine MPKI in einer lokalen Infrastruktur betreiben" - okay. Wir nutzen auch SwissSign MPKI - aber wenn es da auch die MPKI auf "lokaler Infrastruktur" gibt. Finde ich extrem merkwürdig. Und um das noch zu toppen: habe dann einen Domänenzertifikat von denen erhalten - ausgestellt von einer internen CA, die nichts mit SwissSign zu tun hat. Na super.

Da ist in der Praxis leider soviel ... mit dabei, dass das Thema Mailverschlüsselung extrem nervig und auch für User und Führungskräfte kaum noch erklärbar macht. Hätte für NSP-Einführung in 2019 nie gedacht, dass es so einen Folgeaufwand gibt. Und ich bin weit davon entfernt, dass es so eingerichtet ist, wie ich mir das vorstelle. Mir fehlt nur einfach die Zeit.

Stefan: fände solche Reports auf jeden Fall gut. Muss aber sagen, dass ich die Reports bisher kaum nutze (keine Zeit).

Ich werde es auf jeden Fall mal mit dem Skript und dem Mailversand versuchen - muss aber irgendwie Skript anpassen, damit die Info nur an eine IT-Adresse geht.

Vielleicht wäre es auch gut, wenn es im NSP bei den Reports auch eine Option gibt, in der ein Versand regelmäßig aktiviert werden kann. Wie bei FritzBoxen die wöchentliche Übersicht z.B.
 
Moin Stefan,
für On Prem muss ich mir das Web UI auch mal anschauen.

Ja ich denke das das sicherlich Interessant wäre, zu sehen wer in den Top 10 ist wo abgelehnt werden.
Denn bekommt man so ja nicht mit, der Grund wäre noch wichtig finde ich.
Bei den Script Anpassungen von gestern, konnte ich ja nur ausgeben Policy oder SPAM/Virus.
Spam/Virus wäre ja so noch ok aber bei Policy, wäre es sicherlich hilfreich wenn zumindest der "Admin" die Info bekommt Zertifikatsfehler, oder Inhaltsfehler etc.
Könnte man besser darauf reagieren.

Den wie bereits geschrieben, kommt ne Mail von Absender bsp. Allianz, die Ihre eigene CA haben aber niemand kennt, dann wird die Mail abgelehnt wen die Kette nicht geprüft werden kann. Ich pflege schon eigene CA Speicher von Allianz,Telekom,Bayern,Lidl/Aldi. Weiß ja nie.

Außer das vielleicht intern bei NSP solche CA Pakete verteilt, denn korrekte Domains sind ja in der CA Whitelist - da wäre es ja geschickt wenn NSP da was machen könnte.

Grüße




[font=Tahoma, Verdana, Arial, sans-serif]Hallo Martin,[/font]


[font=Tahoma, Verdana, Arial, sans-serif][size=small][size=small][font=Tahoma, Verdana, Arial, sans-serif]Ich werde es auf jeden Fall mal mit dem Skript und dem Mailversand versuchen - muss aber irgendwie Skript anpassen, damit die Info nur an eine IT-Adresse geht.[/font][/size][/font][/size]


[font=Tahoma, Verdana, Arial, sans-serif]ja.[/font]

[font=Tahoma, Verdana, Arial, sans-serif]Zeile 77[/font]

[font=Tahoma, Verdana, Arial, sans-serif]von[/font]
Code:
Send-MailMessage -SmtpServer $SmtpHost -From $ReportSender -To $_.Name -Subject $ReportSubject -BodyAsHtml -Body "Im Anhang dieser E-Mail finden Sie den Bericht mit der Auswertung der abgewiesenen E-Mails aufgrund von Anhängen an der E-Mail." -Attachments $reportFileName
[font=Tahoma, Verdana, Arial, sans-serif]nach[/font]
Code:
Send-MailMessage -SmtpServer $SmtpHost -From $ReportSender -To "deine_emai_adrese@domain.de" -Subject $ReportSubject -BodyAsHtml -Body "Im Anhang dieser E-Mail finden Sie den Bericht mit der Auswertung der abgewiesenen E-Mails aufgrund von Anhängen an der E-Mail." -Attachments $reportFileName

[font=Tahoma, Verdana, Arial, sans-serif]--[/font]
[font=Tahoma, Verdana, Arial, sans-serif]Damit der Grund mit dabei ist:[/font]

[font=Tahoma, Verdana, Arial, sans-serif]Zeile 56[/font]

Code:
<td><h3>Uhrzeit</h3></td><td><h3>Absender</h3></td><td><h3>Betreff</h3></td>

[font=Tahoma, Verdana, Arial, sans-serif]nach[/font]
Code:
<td><h3>Uhrzeit</h3></td><td><h3>Absender</h3></td><td><h3>Betreff</h3></td><td><h3>Abweisungsgrund</h3></td>

[font=Tahoma, Verdana, Arial, sans-serif]und [/font]
[font=Tahoma, Verdana, Arial, sans-serif]bei Zeile 66 nach [/font]
Code:
$NSPSubject = $validationItem.Subject

[font=Tahoma, Verdana, Arial, sans-serif]folgendes einfügen:[/font]

Code:
$NSPReason = $validationItem.RejectReason

[font=Tahoma, Verdana, Arial, sans-serif]und [/font]
[font=Tahoma, Verdana, Arial, sans-serif]die Zeile 68 (die dann ja verschoben hat)[/font]

Code:
$htmlbody2 += "<tr><td width=150px>$NSPStartTime</td><td>$NSPSender</td><td>$NSPSubject</td></tr>"
[font=Tahoma, Verdana, Arial, sans-serif]nach[/font]
Code:
$htmlbody2 += "<tr><td width=150px>$NSPStartTime</td><td>$NSPSender</td><td>$NSPSubject</td><td>$NSPReason</td></tr>"


[font=Tahoma, Verdana, Arial, sans-serif]Fertig[/font]
 
Das sind ja schon wieder Infos.
Zunächst zu Martins Beitrag: Wenn die Zertifikate des beschriebenen Verbands von derselben CA bei SwissSign ausgestellt werden, wie die herkömmlichen Silver bzw. Gold-Zertifikate, steht die ausstellende CA auf keinen Fall dort im RZ. Von SwissSign wüsste ich auch nicht, dass sie ein Produkt anbieten, dass das abbildet. Bei GlobalSign gibt es das AEG (Auto Enrollment Gateway). Das ist ein Stück Software, das im lokalen AD installiert wird und sich im Netzwerk wie eine Microsoft CA verhält. Tatsächlich spuckt das AEG aber GlobalSign Zertifikate aus. Diese werden jedoch im RZ bei GlobalSign erstellt, nicht vom AEG. Soetwas habe ich zumindest bisher nicht bei SwissSign gesehen. Ich bin da eher bei Dir, dass sie der Veröffentlichung widersprochen haben, warum auch immer.

Zu Franks Beitrag: Wir haben das schon einige Male hier intern besprochen und uns am Ende des Tages gegen einen zentralen "Verteildienst für nicht vertrauenswürdige Zertifikate" entschieden. Das Risiko auf unsere Seite wäre zu groß.

Gruß Stefan
 
StefanCink schrieb:
Zu Franks Beitrag: Wir haben das schon einige Male hier intern besprochen und uns am Ende des Tages gegen einen zentralen "Verteildienst für nicht vertrauenswürdige Zertifikate" entschieden. Das Risiko auf unsere Seite wäre zu groß.

Gruß Stefan

Halo Stefan,
ok, kann ich auch verstehen, dann aber eine Art Report der Informiert wenn ein eine Mail abgelehnt worden ist, weil das Stammzertifikat und die Abhängigkeiten nicht vorhanden sind. So das der Admin dann selbst die Zertifikate besorgen kann. Weil das fällt so nicht auf, außer man schaut täglich als Admin in die Console rein bei den Zertifikaten wo es Fehler gibt.
 
Zurück
Oben