Ex 2007 + Transportregel

[Moped 11]

Hi @ all

 

ich kämpfe gerade mit meinem Exchange 2007 und hier speziell mit Spam.

 

Am Start habe ich einen Ex2007 mit Sp2 und aktivierem AntiSpam Agent (also kein Externes Produkt.

 

Jetzt landen bei uns Mails von GMX bzw T-Online fast immer im Quarantäne Ordner weil die Mails einen SCL von 5 haben

 

Ok, dache ich, richte ich mal ne Transportregel ein > Also alles was an Mich gesendet wird und meine GMX Adresse als Absender hat soll einen SCL weniger als 5 bekommen (getestet mit SCL 3, 4 und -1)

Doch die Mails landen immer noch (fast immer, zwischendurch geht es mal) im Spam-Postfach. Der SCL ist dann immer noch 5 :mad:

 

Zwei testmails sind heute aber auch schon in meinem Postfach gelandet > die hatten dann den SCL -1 (wie eingestellt) :confused:

 

Hat jemand eine Idee was da falsch läuft?

Kann man irgendwo (bestimmt sogar) ein Log einstellen??

[NorbertFe 1.824]

Hi,

 

ein klassisches Beispiel dafür, dass das Quarantänepostfach eine "Sch..pitzenidee" ist. ;)

 

Bye

Norbert

 

PS: Wie wäre es, wenn du einfach die Safe Senders List benutzt?

[Moped 11]

Hi,

 

ein klassisches Beispiel dafür, dass das Quarantänepostfach eine "Sch..pitzenidee" ist. ;)

 

Das muss "schpitze" sein, ist doch von MS ;)

 

 

PS: Wie wäre es, wenn du einfach die Safe Senders List benutzt?

 

Du meist die Mails in Junkmail Postfach laufen lassen und da soll der User selber entscheiden?? :confused:

[NorbertFe 1.824]

Das muss "schpitze" sein, ist doch von MS ;)

 

Nein, da hat MS nur was adaptiert, was seit Jahren von anderen Firmen vorgemacht wird. Quarantänepostfächer sind aber zumindest in Deutschland mit sehr viel Vorsicht zu geniessen (im Firmenumfeld).

 

Du meist die Mails in Junkmail Postfach laufen lassen und da soll der User selber entscheiden?? :confused:

 

Ja ganz genau, frag dich mal, wozu der Junkmail Ordner da ist. ;)

 

Bye

Norbert

[Moped 11]

Nein, da hat MS nur was adaptiert, was seit Jahren von anderen Firmen vorgemacht wird. Quarantänepostfächer sind aber zumindest in Deutschland mit sehr viel Vorsicht zu geniessen (im Firmenumfeld).

 

Kannst Du das auch begründen? Wegen Datenschutz?????

 

 

Ja ganz genau, frag dich mal, wozu der Junkmail Ordner da ist. ;)

 

Bye

Norbert

 

Hab mich gefragt > leider keine Antwort bekommen :p

 

Nee, Spass bei Seite

 

Du hast mich jetzt zwar auf einen anderen Weg gebracht, aber hast Du auch eine Idee/Vorschlag/Lösung für mein Problem???

[NorbertFe 1.824]

Kannst Du das auch begründen? Wegen Datenschutz?????

 

Deine ?-Taste klemmt. Und ja, wegen Datenschutz und ähnlichen Sachen. Und ja, wenn ich wollte, könnte ich das sicher auch begründen, aber will ich nicht. ;)

 

Du hast mich jetzt zwar auf einen anderen Weg gebracht, aber hast Du auch eine Idee/Vorschlag/Lösung für mein Problem???

 

Ja die Safe Sender List ist genau dafür gedacht.

 

Bye

Norbert

[Moped 11]

Deine ?-Taste klemmt.

 

:shock::shock:

 

Und ja, wegen Datenschutz und ähnlichen Sachen. Und ja, wenn ich wollte, könnte ich das sicher auch begründen, aber will ich nicht. ;)

 

Das ist aber schade :( Wäre auch gerne was schlauer geworden

 

Ja die Safe Sender List ist genau dafür gedacht.

 

Bye

Norbert

 

Das hört sich logisch an :)

Aber wie kann ich testen ob meine Transportregel greift (oder auch nicht)???? (oh, Taste klemmt wieder)

[NorbertFe 1.824]

Das ist aber schade :( Wäre auch gerne was schlauer geworden

 

Ja, dann tu halt was dafür. ;)

 

Das hört sich logisch an :)

Aber wie kann ich testen ob meine Transportregel greift (oder auch nicht)???? (oh, Taste klemmt wieder)

 

https://www.mcseboard.de/rules.php?u=43659#nr10 leg ich jetzt mal nicht nur auf Titel aus. Aber sei's drum. Wenn du mit der Safe Senders Whitelist arbeiten würdest, wäre deine Transport Rule überflüssig, das versuche ich dir hier seit einigen Stunden zu verklickern. Wenn deine Transport Regel nicht korrekt funktioniert, müßte man jetzt erstmal schauen, welche Logging Optionen dafür vorhanden sind (nein, ich brauchte sowas noch nicht, weil ich die Transport Rules für sowas noch nicht benutzt hab).

 

Bye

Norbert

[Moped 11]

Guten Morgen Norbert + all

 

Ja, dann tu halt was dafür. ;)

 

Tu ich ja, hab ja hier jemand gefrage der sich anscheind auskennt

 

 

https://www.mcseboard.de/rules.php?u=43659#nr10 leg ich jetzt mal nicht nur auf Titel aus. Aber sei's drum.

 

Ok, akzeptiert, wusste ich nicht

Hab die Taste repariert :D

 

Wenn du mit der Safe Senders Whitelist arbeiten würdest, wäre deine Transport Rule überflüssig, das versuche ich dir hier seit einigen Stunden zu verklickern.

 

Das ist schon klar und habe ich auch "von Anfang an" verstanden.

Werde das auch bei uns entsprechend ändern :thumb1:

 

Wenn deine Transport Regel nicht korrekt funktioniert, müßte man jetzt erstmal schauen, welche Logging Optionen dafür vorhanden sind

 

Das ist das, was ich seit Stunden versuche zu "erfragen" (siehe mein erstes Posting)

Kann man irgendwo (bestimmt sogar) ein Log einstellen??

Das mein Vorgehen mit dem Änden des SCL durch Transportrules nicht der optimale Weg ist hast Du mir ja auch schön vermittelt. Um mich aber "weiter zu Bilden" wollte ich trotzdem wissen, wo man das evtl Loggen kann?

 

 

 

(nein, ich brauchte sowas noch nicht, weil ich die Transport Rules für sowas noch nicht benutzt hab).

Ja, schon klar ;)

[NorbertFe 1.824]

Das ist das, was ich seit Stunden versuche zu "erfragen" (siehe mein erstes Posting)

Das mein Vorgehen mit dem Änden des SCL durch Transportrules nicht der optimale Weg ist hast Du mir ja auch schön vermittelt. Um mich aber "weiter zu Bilden" wollte ich trotzdem wissen, wo man das evtl Loggen kann?

 

Diagnose von Transport-Agentproblemen mit der Pipelineablaufverfolgung: Exchange 2007-Hilfe

 

HTH

Norbert

[Moped 11]

Hi Norbert,

 

vielleicht kannst Du (oder wer anderes) mir ja nochmal weiterhelfen.

 

Ich wollte Safe Senders List "aktivieren, also was habe ich gemacht:

 

Folgende SCL Schwellenwerte eingestellt (bzw war auch schon eingestellt)

 

Löschen = 9

ablehnen = 8

Isolieren = 6

 

set-OrganizationConfig -SCLJunkThreshold 4

 

Mails mit SCL 5 landen nicht im JunkMail ordner!

 

Dann habe ich auf meiner Mailbox folgendes gemacht:

 

SCLJunkThreshold 4

SCLJunkEnabled $true

 

Junkmail im OWA aktiviert!

 

Mails mit SCL 5 landen immer noch im Posteingang (nicht im JunkMail)

 

Habe ich noch was vergessen? :confused:

 

Gruß

[NorbertFe 1.824]

Was soll denn 9=Löschen und 8=ablehnen bringen? ;) Und wieso isolieren? Schau mal bei deiner Mailbox per OWA rein ob der Haken bei Junkfilterung aktiviert ist. Falls ja, dann einfach nochmal deaktivieren und wieder aktivieren. Wenns dann nicht geht, kanns natürlich sein, dass der Absender auf deiner SafeSenderslist gelandet ist? ;)

 

bye

Norbert

 

PS: Deine Filteraktionen sehen nicht sehr sinnvoll aus.

[Moped 11]

9= Löschen = die Mail wird gelöscht (ohne NDR)

8= ablehnen = Die mail wird verworfen (mit NDR)

6= Isolieren = Wird in Quarantaene-Ordner verschoben

 

Oder sehe ich das falsch?

Ok, uber sinn und Unsinn der Config lässt sich streiten

 

Was würdest Du einstellen?

 

 

Junkmail im OWA aktiviert!

 

Habe es auch nochmal de-und wieder aktiviert

 

Wenns dann nicht geht, kanns natürlich sein, dass der Absender auf deiner SafeSenderslist gelandet ist?

 

Nein, habe ich nachgeschaut

Alle Mails von GMX kommen mit SCL 5 bei uns an

Die werden dann ins Postfach weitergeleitet und haben dann SCL -1 :confused:

[NorbertFe 1.824]

Übrigens grad nen netten Blogeintrag zu deinem Transport Rule "Problem" gefunden. ;)

Exchange anti-spam myths revealed

Myth 1: Creating a hub transport rule to set the SCL will affect the behavior of SCLDeleteThreshold and SCLRejectThreshold.

 

This myth applies particularly to the case of Hub server role with anti-spam agents installed. While it is fine to install the anti-spam agents on a hub transport server, expecting that a hub transport rule with "set the spam confidence level to value" action will influence the content filter delete/reject/quarantine is false.

 

This is a misconception due to where in the transport pipeline the content filter agent (which does the actual deleting/rejecting) fires. If we run Get-TransportPipeline we will see that the content filter agent fires at OnEndOfData (EOD) while the transport rules fire during the OnRouted stage.

 

Bye

Norbert

[NorbertFe 1.824]

9= Löschen = die Mail wird gelöscht (ohne NDR)

8= ablehnen = Die mail wird verworfen (mit NDR)

6= Isolieren = Wird in Quarantaene-Ordner verschoben

 

Wieso löschst du 9 ohne NDR und für 8 sendest du einen? 9 nimmst du quasi an und löschst die Mail, wohingegen du 8 sofort ablehnst. Siehst du da sehr viel "Sinn drin"? Glaub mir, dem Spammer ist vollkommen Latte, was du mit der Mail tust, nachdem du sie ihm abgenommen hast.

 

Oder sehe ich das falsch?

 

Ja.

 

Ok, uber sinn und Unsinn der Config lässt sich streiten

 

Nein eigentlich nicht.

 

Was würdest Du einstellen?

 

 

Ablehnen alles was größer gleich 5 ist den Rest zum User durchlassen (SCLJunkThreshold 4)

 

Nein, habe ich nachgeschaut

Alle Mails von GMX kommen mit SCL 5 bei uns an

Die werden dann ins Postfach weitergeleitet und haben dann SCL -1

 

SCL-1 ist ja logisch wenn deine transport Rule zuschlägt, oder? ;)

 

Bye

Norbert