• Bewerte uns auf OMR Reviews: Klick

  • NSP Forum als App inkl. Push Nachrichten (iOS): Klick

  • Wichtige Information für alle, die noch nicht auf v14.0.5.39 sind:

    Cyren Antimalware kann nicht mehr verwendet werden. Unsere Lizenz ist endgültig deaktiviert, so dass der Dienst nicht mehr nutzbar ist.
    Bitte stellt sicher, dass ihr schnellstmöglich auf die aktuelle Version aktualisiert. Bis es so weit ist, empfehlen wir die Cyren Antimalware Aktion zu deaktivieren und mindestens den lokalen Virenscanner zu aktivieren. Sollte kein anderer Scanner als Cyren aktiv sein, kommt es unweigerlich zur Abweisung von E-Mails.

    Zusätzlich raten wir dazu, die Cyren Filter zu deaktivieren, hier ist der Einfluss zwar geringer, solange alle anderen Filter korrekt durchlaufen, aber im Problemfall kommt es ebenfalls zur Abweisung.

     

    Unser Blogbeitrag wird in Kürze ebenfalls aktualisiert.

    Beste Grüße
    Euer NoSpamProxy Team

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

SMTP-Code 5.7.1. liefert Anleitung zum Umgehen von Regeln

Frank05

Member
Hallo,

ich möchte hier noch ein Verhalten von NSP zur Diskussion stellen, was mir bei meiner Evaluation etwas negativ aufgefallen ist.

Wenn eine Mail vom NSP abgewiesen wurde, informiert der NSP den Absender ausführlich darüber, warum die Mail abgesehen wurde - in meinen Augen ZU ausführlich. Zwar kann es für Absender, die keine Spammer sind, hilfreich sein, den Grund der Ablehnung zu erfahren, damit sie das Problem beheben können. Echte Spammer hingegen erfahren auf diese Weise aber genau, wie sie ihre Spams anpassen müssen, um die NSP-Barriere zu überwinden.

Jetzt kann man sagen, echte Spammer, die ihre Spams millionenfach versenden, scheren sich nicht um NDRs. Mag sein, aber es gibt ja auch "Klein-Spammer/Scammer", die das sehr wohl tun.

Daher fände ich es wichtig, die detaillierten Meldungen beim Code 5.7.1. abschaltbar zu machen, entweder generell oder pro Regel.

Zum Hintergrund: Es gibt ein Netz von Scammern, die ganz gezielt Betrugsversuche per Mail gegen Unternehmen unserer Branche absetzen. Wir bekommen 10-20 solcher Mails am Tag. Da die Betrüger auf Mail-Antworten ihrer Opfer warten, überwachen sie auch die verwendeten Absenderadressen (und lesen daher die NDRs). Allerdings sind diese Leute nicht besonders clever, daher gibt es Muster in den Mails, die man wunderbar in eine NSP-Regel fassen kann. Mit NSP ist es mir auch erstmals gelungen, alle diese Mail vollständig abzuweisen. Nur leider bekommt der Absender im NDR die Anleitung präsentiert, wie er den Filter umgehen kann:

5.7.1 This email was rejected because it violates our security policy
5.7.1  'Header-To' and 'CC' do not contain a local email address.
5.7.1  Found prohibited words in the mail: xxxxxxx yyyyy zzz

Die erste Zeile der Fehlermeldung reicht meiner Meinung nach völlig aus. Ganz auf einen NDR verzichten will ich nicht, da ja doch mal ein False Positive von der speziellen Regel erfasst werden könnte.

Grüße
Frank
 
Hallo Frank,

wir haben eine Änderung in diesem Bereich schon bei uns auf der ToDo Liste stehen.
Hierbei wird dann die Aussage darauf beschränkt, dass es auf Grund von Maleware/Spam zur Ablehnung kam und man sich mit einer angezeigten Referenz-ID an den Admin wenden kann.

Was mich auf jeden Fall freut zu lesen ist, dass du die E-Mails vollständig mit dem NSP abweisne konntest. Mit der Anpassung sollte das dann auch auf langefrist so bleiben :)


Gruß,
Jan
 
Hallo,
hab den Beitrag hier gefunden, mal nachgehakt.
Wie schaut es den hier aus ?
Habe bei mir ebenfalls wieder gesehen das Spammer die Info bekommen das sie wegen Spam blockiert wurden. Das brauchen die ja so nicht zu wissen. ;)

Wie mein Namenskollege schon sagte "5.7.1 This email was rejected because it violates our security policy" reicht aus....
 
Hallo Frank,

hier hat sich schon eingies getan was aber noch in keinem Release enthalten ist.
Wir weden aber wie erwähnt weiterhin die SMTP Meldungen weniger aussagekräftig machen und die Informationen versuchen einem Administrator dennoch bereit zustellen.
Hierbei soll eine Referenz ID in Zukunft genutzt werden können.

Gruß
Jan
 
Hallo,

ein Jahr später...gibt es mittlerweile etwas Neues?
Arbeiten erst seit ein paar Wochen mit NoSpam und die SMTP Meldung ist leider immer noch zu aussagekräftig.

Gruss
Marcus
 
Meine große Hoffnung war die Version 14, aber leider sind auch hier die SMTP-Meldungen noch zu aussagekräftig:

1683114548027.png
Ist schon bekannt ob und wann der NSP hier weniger gesprächig wird?
 
Das ist aus meiner Sicht ein zweischneidiges Schwert.
  • Auf der einen Seiten die Information für den vermeidlichen Spammer, der evtl. sein Template überarbeitet.
  • Auf der der anderen Seite die Information für den unbeholfen Absender. Der sich entnervt an seinen Kontakt im Unternehmen wendet. Der wiederum bei der IT nachfragen muss. Die eigentlich nie Zeit hat für sowas.
Man sollte ich immer vor Augen führen, dass NSP nicht nur 10, 30, 500, Mann Unternehmen, sondern auch Unis und große Unternehmen mit 2000, 10.000 oder 50.000 Leuten eingesetzt wird.

Ich sehe da regelrecht eine Flut an Anfragen an die IT weil niemand mehr sieht weshalb die E-Mail abgelehnt wird. Falls es seitens NSP weiterhin die Überlegungen gibt die Meldung anzupassen, dann habe ich die Bitte an euch, dies als Konfigurationsmöglichkeit einzubauen.
 
Man sollte ich immer vor Augen führen, dass NSP nicht nur 10, 30, 500, Mann Unternehmen, sondern auch Unis und große Unternehmen mit 2000, 10.000 oder 50.000 Leuten eingesetzt wird.
Wir gehören eindeutig zur zweiten Gruppe.

Ich sehe da regelrecht eine Flut an Anfragen an die IT weil niemand mehr sieht weshalb die E-Mail abgelehnt wird.
Meine Dafürhalten kommt von einer täglichen Flut an gemeldetem Spam, den der NSP nicht erkennen kann, weil er von (gekaperten) Konten versendet wird und inhaltlich unauffällig ist. Die einzige Gemeinsamkeit ist das Thema der E-Mails und ein schier endloses Wörterbuch mit Begriffen. Wir merken aber eben auch, dass sich der Inhalt verändert, je nachdem ob und wie wir den Wortfilter erweitern. Natürlich muss man gründlich überlegen welche Begriffe man in den Wortfilter packt und wie hoch man die SCL-Bewertung setzt.

Unsere Erfahrung ist außerdem, dass die wenigsten die Fehlermeldungen lesen, sondern sowieso ein Ticket aufmachen, wenn eine E-Mail nicht angekommen ist.

Falls es seitens NSP weiterhin die Überlegungen gibt die Meldung anzupassen, dann habe ich die Bitte an euch, dies als Konfigurationsmöglichkeit einzubauen.
Bitte gern, das wäre der perfekte Kompromiss.
 
Meine Dafürhalten kommt von einer täglichen Flut an gemeldetem Spam, den der NSP nicht erkennen kann, weil er von (gekaperten) Konten versendet wird und inhaltlich unauffällig ist.
Seid ihr schon auf der 14.0.5?

Bitte gern, das wäre der perfekte Kompromiss.
Also es gibt dazu ein Work Item, soweit ich es auf dem Schirm habe, wird es nicht einstellbar sein, sondern der NSP wird das nicht mehr mitteilen.

Ansonsten sehe ich das so, dass dies zwar recht unschön ist, aber Spammer werten diese Meldungen eh nicht aus. Wer solche Meldungen auswertet um es weiter zu probieren, dürften die sein, die Spear Phishing betreiben wollen... Denen sollte man natürlich kein Futter an die Hand geben.
 
Dann bitte dringend machen! Die Systeme von Cyren könnten jederzeit abgeschaltet werden... Das würde auch erklären warum von der schlechten Erkennungsrate sprichst.
Die schlechte Erkennungsrate kommt schlicht von sehr gut gemachten Spam-E-Mails. Die kommen von Gmail, t-online.de und anderen Freemail-Anbietern. SPF, DKIM, DNS, etc. sind dann natürlich unauffällig. Inhaltlich sind sie auch schwer zu packen, weil sie da eben auch unauffällig sind. Nur Text, keine Anhänge. Gemeinsamkeiten gibt es nur beim Thema und da haben wir einen eigenen Wortfilter. Da bin ich Realist, da wird die v14 auch keine Wunder bewirken.

Edit: Das Update ist bei uns schon in Planung. Es hapert noch an der Anpassung eines für uns von Euch programmierten Outlook-AddIns. :)
 
Unsere Erfahrung ist außerdem, dass die wenigsten die Fehlermeldungen lesen, sondern sowieso ein Ticket aufmachen, wenn eine E-Mail nicht angekommen ist.
Ist eine Sache der Erziehung der Nutzer. ;-)
Also es gibt dazu ein Work Item, soweit ich es auf dem Schirm habe, wird es nicht einstellbar sein, sondern der NSP wird das nicht mehr mitteilen.
Sehr, sehr schade! Das heißt die jahreslange Erziehung der Nutzer ist zum Teil dahin und verursacht im Umkehrschluss sicherlich einen Mehraufwand bei UHD. Wie ist diese Entscheidung entstanden?

Gruß,
Daniel
 
Zurück
Oben