inhaltsfilterung nachrichten isolieren

[werner008 10]

moin,

ich habe den exchange 2007 spamfilter aktiviert und er funktioniert einmal grundsätzlich.

 

in der inhaltsfilterung habe ich bei "aktion" eingestellt

 

Nachrichten isolieren, deren SCL-Bewertung größer als oder gleich folgendem Wert ist.

 

 

und habe eine email adresse angegeben.

 

zwei fragen dazu:

 

- ist es nur bei mir so, dass ein email-aktivierter öffentlicher ordner nicht funktioniert, gibt es einen trick dies zu ändern? (hier wird die spam-mail einfach nicht weiter geleitet, in echte postfächer habe ich kein problem)

- ich würde gerne die vollständige spam-email bekommen und nicht nur die headerinformationen. das würde mir die arbeit erleichtern, denn dann könnte ich einfach aus dem betreffenden postfach die nachricht weiterleiten an den gewünschten empfänger, falls mal eine mail falsch im spamfilter hängen bleibt. kann man das irgendwo konfigurieren?

 

 

danke

werner

[NorbertFe 1.835]

- ich würde gerne die vollständige spam-email bekommen und nicht nur die headerinformationen. das würde mir die arbeit erleichtern

 

Erleichtern würdest du dir die Arbeit, wenn du Spammails erst gar nicht annimmst, sondern ablehnst. ;)

 

Bye

Norbert

[werner008 10]

moin,

hmm, da hast du nicht ganz unrecht :-)

 

mein gedanke war, dass rbl blacklists IPs von spammern zurückweisen und der rest gefiltert und in ein zentrales spampostfach geliefert wird. grund: ich kann nicht garantieren, dass alle systeme die in zukunft den exchange beliefern absenderadressen haben, die jemand liest (ich werde denke ich für solche systeme auf ip ebene whitelisten, das ist ist ok, aber die muss ich halt erstmal finden...)

 

wenn ich nachrichten ablehnen lasse bekomme ich am sendenen mailserver eine nachvollziehbare rückmeldung, das ist gut, aber ist da sichergestellt, dass nicht unbeteiligte mit bounces zugemüllt werden wenn die absenderadresse gefälscht ist?

 

Jun 28 16:07:49 serveserver postfix/smtp[3851]: 0B5E12B825: to=<testmail2@empfaenger.at>, relay=empfaenger.at[212.122.xxx.xxx]:25, delay=5.2, delays=0.06/0/0.07/5.1, dsn=5.7.1, status=bounced (host empfaenger.at[212.122.xxx.xxx] said: 550 5.7.1 Message rejected as spam by Content Filtering. (in reply to end of DATA command))

 

wobei ich bei genauerem hinsehen feststelle, dass im postfix kein "sent" drin ist und exchange den inhalt der mail anscheinend auf spam untersucht noch bevor es den empfänger prüft (mit falschem empfänger werde ich erst wegen spam abgewiesen und nicht wegen falschem empfänger).

 

auf die gefahr hin dass du dich wiederholst: abweisen von mails hat keine unerwünschten nebenwirkungen beim exchange?

 

danke nochmal

werner

[NorbertFe 1.835]

moin,

hmm, da hast du nicht ganz unrecht :-)

 

Ich würde sagen, ich hab sogar sehr recht. ;)

 

mein gedanke war, dass rbl blacklists IPs von spammern zurückweisen und der rest gefiltert und in ein zentrales spampostfach geliefert wird.

 

Kann ich nicht empfehlen. Aber wer unbedingt Spam lesen will soll es tun.

 

grund: ich kann nicht garantieren, dass alle systeme die in zukunft den exchange beliefern absenderadressen haben, die jemand liest (ich werde denke ich für solche systeme auf ip ebene whitelisten, das ist ist ok, aber die muss ich halt erstmal finden...)

 

Und was hat das damit zu tun? :) Das ist ja schliesslich nicht dein Problem.

 

wenn ich nachrichten ablehnen lasse bekomme ich am sendenen mailserver eine nachvollziehbare rückmeldung, das ist gut, aber ist da sichergestellt, dass nicht unbeteiligte mit bounces zugemüllt werden wenn die absenderadresse gefälscht ist?

 

Und? Ist das dein Problem? Wäre ja wohl das einfachste einfach nen SPF Record zu schalten. Wenn das mehr tun würden, hätte man schonmal jede Menge weniger Spam.

 

wobei ich bei genauerem hinsehen feststelle, dass im postfix kein "sent" drin ist und exchange den inhalt der mail anscheinend auf spam untersucht noch bevor es den empfänger prüft (mit falschem empfänger werde ich erst wegen spam abgewiesen und nicht wegen falschem empfänger).

 

Die Reihenfolge läßt sich notfalls ändern bei E2k7 ;)

 

auf die gefahr hin dass du dich wiederholst: abweisen von mails hat keine unerwünschten nebenwirkungen beim exchange?

 

Für dich keine, ausser es sind false positives. Aber das Problem existiert logischerweise immer. Und ich nehme lieber eine geringe Anzahl false positives in Kauf deren Absender ja auch noch benachrichtigt wird, als dass ich mir jeden Tag spam freiwillig reinziehe.

 

Bye

Norbert

[werner008 10]

moin,

falls jemand die fragen beantworten kann, es interessiert mich schon noch :-)

 

 

grund: ich kann nicht garantieren, dass alle systeme die in zukunft den exchange beliefern absenderadressen haben, die jemand liest (ich werde denke ich für solche systeme auf ip ebene whitelisten, das ist ist ok, aber die muss ich halt erstmal finden...)

Und was hat das damit zu tun? Das ist ja schliesslich nicht dein Problem.

 

ok, das war schlecht beschrieben von mir. doch, es ist mein problem weil ich keine motivation verspüre jemanden aus der nachbarabteilung dazu zu verdonnern jahr(zehnte) alte skripte auf as400 / z-series zu durchforsten, auf der anderen seite bin ich aber dafür verantwortlich dass die mails ankommen (ich weiß, das ist technisch nicht sauber, aber hier prallen budget und wunsch aufeinander)

 

 

Und? Ist das dein Problem? Wäre ja wohl das einfachste einfach nen SPF Record zu schalten. Wenn das mehr tun würden, hätte man schonmal jede Menge weniger Spam.

 

da hast du nicht unrecht, aber spf hat nur eine minderheit im einsatz. daher habe ich die wahl zwischen unnötigen bounces (die mich vielleicht selbst auf eine rbl katapultieren) oder ich speicher spam zwischen und lösch nach ein paar tagen automatisch (das ist der grund warum ich öffentlichen ordner möchte). ich habe nicht vor spam händisch durchzuschauen oder zu lesen, das passiert nur auf anfrage.

 

Für dich keine, ausser es sind false positives.

 

das ist nicht wirklich ein problem. es geht mir nicht um mich, es geht mir mehr um andere mailserver und dass ich es nicht verantwortlich finde spam sinnlos herum zu bouncen und unbeteiligte zu belästigen. da ist sofortiges oder verzögertes löschen meiner meinung nach geeigneter.

 

schönen abend

werner

[NorbertFe 1.835]

ok, das war schlecht beschrieben von mir. doch, es ist mein problem weil ich keine motivation verspüre jemanden aus der nachbarabteilung dazu zu verdonnern jahr(zehnte) alte skripte auf as400 / z-series zu durchforsten, auf der anderen seite bin ich aber dafür verantwortlich dass die mails ankommen (ich weiß, das ist technisch nicht sauber, aber hier prallen budget und wunsch aufeinander)

 

Wenn du die Absender kennst pack sie doch einfach in die Whitelist. ;)

 

da hast du nicht unrecht, aber spf hat nur eine minderheit im einsatz.

 

Ja, und je mehr deiner Ansicht sind, um so kleiner ist die Minderheit. ;)

 

daher habe ich die wahl zwischen unnötigen bounces (die mich vielleicht selbst auf eine rbl katapultieren) oder ich speicher spam zwischen und lösch nach ein paar tagen automatisch (das ist der grund warum ich öffentlichen ordner möchte). ich habe nicht vor spam händisch durchzuschauen oder zu lesen, das passiert nur auf anfrage.

 

Da produziere ich lieber bounces, als dass ich Spam manuell nach eventuell false positives durchsuche. Und ja, ich weiß dass das im Zweifel für den Empfänger unangenehm werden kann. Aber er könnte das mit einem SPF recht leicht lösen.

 

das ist nicht wirklich ein problem. es geht mir nicht um mich, es geht mir mehr um andere mailserver und dass ich es nicht verantwortlich finde spam sinnlos herum zu bouncen und unbeteiligte zu belästigen. da ist sofortiges oder verzögertes löschen meiner meinung nach geeigneter.

 

Ich weiß nicht, wo du arbeitest, aber löschen ist keine Option. Schon rechtlich ist das in D bedenklich.

 

Bye

Norbert

 

PS: Für public folder funktioniert der IMF afaik nicht.