• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Verständnisfrage zu "Level of Trust", festes Vertrauensniveau und SCL-Berechnung

M

mabu

Well-known member
Registriert
19 Dezember 2019
Beiträge
321
Reaktionspunkte
19
Hallo.

Haben NSP 15.1.0 im Einsatz. Irgendwie bin ich gerade ein wenig verwirrt, was mir hier bei zwei Mails in der Nachrichtenverfolgung angezeigt wird.

Mail von einem Arbeitgeber wird von 32Guards mit 2 bewertet - Multiplikator bringt dies auf 4 SCL und Mail wird abgewiesen. (Bereits als Fehlklassifizierung gemeldet.)

Dann für die Domäne einen Partner angelegt, da es diesen bisher nicht gab. Und hier ein festes Vertrauensniveau von 40 eingetragen.

Die nächste Mail wurde dann angenommen, aber mir kommt nun die Bewertung eigenartig vor.

Links gibt es die 4 SCL und so ist auch die Gesamtbewertung. Rechts nach Vertrauensniveau 40 für die Domain werden von 32Guards weiterhin 4 SCL vergeben. "Level of Trust" gibt 40 Punkte für die Domäne und dort wird von -4 SCL gesprochen. Im Ergebnis steht aber -10 SCL. Hätte hier nicht 0 (4 minus 4) stehen müssen?

Frage mich halt, was nun rauskommt, wenn z.B. der Reputationsfilter hier auch noch 4 SCL vergibt und es somit 8 SCL wären. Dann würden die -4 durch Level of Trust eigentlich eine 4 ergeben und somit "Mail abweisen". Daher verwirrt mich die -10 SCL hier in den Fall schon ziemlich.

1731420776934.png
 
Hier gibt es eine gute Übersicht und Erklärung. Dennoch würde ich mir manchmal irgendwo in der Nachrichtenverfolgung die Berechnung wünschen, insbesondere da alles auf 10 gekappt wird (und auch meine eigene Rechnung bisher nur recht selten überein gestimmt hat).

VG, Dimitri
 
Das Beispiel 2 verwirrt uns ein wenig.

"Hätte also eine E-Mail +100 Vertrauenspunkte für die Domäne erhalten, wäre aber aus anderen Gründen mit -5 Vertrauenspunkten belegt worden, so würden diese -5 Vertrauenspunkte als Basis der Gewichtung verwendet werden." ist so ein Satz, der uns irgendwie nicht so richtig klar ist. Obwohl ich gerade in den Screenshots oben sehe, dass es da wohl um die Vertrauenspunkte unterhalb von "Level of Trust" geht.

Für mich als Admin, der den NSP als eins von vielen Systemen betreut, ist das Thema irgendwie auch schwer zu lernen und zu behalten. Im Ergebnis reicht 4 SCL zum Abweisen der Mail. Bei "Level of Trust" sind positive Werte dann wirklich positiv gemeint und werden erst durch die Multiplikation mit -10 zu einem negativen Wert, damit dieser im SCL berücksichtigt werden kann.

Finde Dimitris Wunsch einer Berechnung in der Nachrichtenverfolgung auch ganz schön.

Ich beschäftige mich meistens dann mit dem Thema, wenn ich eine Anfrage erhalte, warum eine Firma keine Mails an uns los wird. Häufig ist alles okay und nur 32Guards vergibt 2 SCL (mit Multiplikator 2 dann die entscheidenden 4 SCL). Und unterschiedlichste Einstufungen (verdächtiger Mailserver, verdächtiger Anhang, bit.ly-URL genutzt - für letzteres vergeben wir über Wortfilter aber auch negative Punkte, ...)

Domäne ist unter "Partner" nicht vorhanden und somit sehe ich hier als Lösung dann erstmal nur das manuelle Anlegen des Partners mit Zuweisung eines festen Vertrauensniveaus. Und 40 war in meinem Beispiel oben dann wohl zu viel. Da kann ich wohl eher mit 10 arbeiten und das sollte reichen.
 
Eins noch dazu: nun könnte ein User dem Empfänger, der sich gemeldet hat, ja auch erst eine Mal schicken. Dann ist dies dem NSP bekannt und dadurch ist schon mal ein Vertrauen aufgebaut. Die Antwort müsste dann auch vom NSP angenommen werden (wenn ich mal den gleichen Inhalt der Mail voraussetze wie es in der Praxis vorgekommen ist).

Nur wie erkläre ich unseren Usern "wenn Externer anruft und seine Mails von uns abgelehnt werden, dann schickt selbst erstmal eine Mail hin - vielleicht kann Externer uns danach dann eine Mail schicken"? Kann ja auch aus ganz anderen Gründen zur Ablehnung gekommen sein und dann nützt der aufgebaute Level-of-Trust gar nichts.

Solche Fälle bleiben dann wohl immer ein Fall für den IT-Support. Aber vielleicht übersehe ich auch noch was.
 
Ich versuche mal etwas Licht ins Dunkel zu bringen:
Die eingestellten 40 Vertrauenspunkte werden ja angezeigt. Das sind die Level-of-Trust-Punkte. Diese werden in SCL Punkte umgerechnet indem sie durch -10 dividiert werden. So kommt dann der Wert von -4 SCL Punkten zustande, wie auch in der GUI angezeigt. Dann hat Level-of-Trust noch eine Gewichtung, die immer berechnet wird. Die Gewichtung für LoT ist die Summe aller anderen Gewichtungen der aktivierten Filter in der entsprechenden Regel. Wenn die Gewichtung bspw. 8 ist, dann wird -4 * 8 gerechnet, ergibt -32. Die SCL Scala endet bei -10 und daher wird dann abgeschnitten und es kommt -10 als Endergebnis heraus.
Das in die Nachrichtenverfolgung zu schreiben, ist aus meiner Sicht zu viel des Guten, wenngleich ich den WUnsch nachvollziehen kann.

Die Aussage, dass LoT immer greift ist erst mal richtig, es sei denn, die E-Mail wird als Virus erkannt (den will ich auch von meinem Lieblingsgeschäftspartner nicht haben) oder sie enthält Anhänge, die der Admin verboten hat. Dann hilft auch kein Bonuspunkt.
Hope this helps
Stefan
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Similar threads

M
Vertrauen (dynamisch) für Partner durch automatische Antwort?
Antworten
3
Aufrufe
141
StefanCink
StefanCink
M
Inbound-Regeln und Betreff als "positives" Kriterium mit berücksichtigen
Antworten
5
Aufrufe
175
JanJäschke
JanJäschke
N
Frage: Umgang mit SPAM Abweisung / Freischaltung Domains
Antworten
0
Aufrufe
144
ne0.exe
N
M
Gelöst 32Guards und HEIC-Dateien "verdächtig"
Antworten
1
Aufrufe
162
StefanCink
StefanCink
S
Inhaltsfilter
Antworten
0
Aufrufe
171
Schim
S
Zurück
Oben