[SOLVED] email trotz Filter zugestellt

SPINNER IT

New Member
Dec 3, 2019
16
5
3
24
Grüß Euch Zusammen,

unsere Firewall nimmt als erste Instanz Emails entgegen und tagged als SPAM erkannte Emails im Betreff mit FGspam, gibt diese dann aber weiter.
Als Zweite Instanz kommt dann Proxmox MG zu Einsatz.
Neben den üblichen Regeln von Proxmox haben wir einen Filter erstellt, welcher im Betreff nach FGspam schauen soll und diese Emails dann in Quarantäne schieben soll.
Der Filter hat Priorität 91.
Nicht gefilterte Emails werden dann final an den eigentlichen Mailserver übergeben

Nun kommt es aber vor, dass ab und an Emails zugestellt werden, obwohl diese im Betreff mit FGspam getagged sind.
Woran kann das liegen?

Schon vielen Dank im Voraus für Eure Hilfe.
Beste Grüße
Stefan
 
Nun kommt es aber vor, dass ab und an Emails zugestellt werden, obwohl diese im Betreff mit FGspam getagged sind.
Woran kann das liegen?
Potentiell an einer Regel mit Höherer Priorität, die dafür Sorgt, dass die Mail zugestellt wird ...
(Das sollte im maillog/tracking center ersichtlich sein)
Wie sieht das Regelsystem aus?
Ansonsten - wie sehen die mails aus die trotz FGspam im subject zugestellt werden (als .eml file)
 
Danke für Deine Hilfe Stoiko.

Potentiell an einer Regel mit Höherer Priorität, die dafür Sorgt, dass die Mail zugestellt wird ...
(Das sollte im maillog/tracking center ersichtlich sein)
Kurios...
Diese SPAM-Email hat als Sender eine "BOUNCE+..."-Adresse, mit diesen BOUNCE-Nachrichten haben wir schon öfter Probleme gehabt und wissen noch nicht so recht, wie wir mit diesen Emails umgehen sollen.
Im tracking center wird bei Email gar nicht angezeigt, dass im Betreff FGspam enthalten ist, was erklären würde, dass die Nachricht entsprechend auch zugestellt wird.
Im Log der Firewall (erste Instanz) ist protokolliert, dass die Email im Betreff getagged wurde und am eigentlichen Emailserver bzw. im Outlook ist diese Nachricht ebenfalls mit FGspam getagged.
Proxmox scheint aber eine Version der Email zu verarbeiten, die "noch nicht" getagged ist.
Den Log-Ausschnitt habe ich als log-Datei beigefügt.

Wie sieht das Regelsystem aus?
1634032980409.png

Ansonsten - wie sehen die mails aus die trotz FGspam im subject zugestellt werden (als .eml file)
Ich habe die eml-Datei beigefügt.

Es gibt noch einen Schalter "Before Queue Filtering", der ist bei uns aus, sollte der eher an sein, um das Problem zu umgehen, dass die Email zu spät getagged wird?

Weiterhin herzlichen Dank, Stoiko.

Viele Grüße
Stefan
 

Attachments

  • pmg.log
    3.9 KB · Views: 2
  • email.eml.zip
    8.8 KB · Views: 2
Es gibt noch einen Schalter "Before Queue Filtering", der ist bei uns aus, sollte der eher an sein, um das Problem zu umgehen, dass die Email zu spät getagged wird?
die Option is im allgemeinen unabhängig wann was gemacht wird (nur wie auf mails reagiert wird) - Insbesondere wenn das taggen unabhängig von PMG passiert - siehe dazu die Referenzdoku:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#_mail_proxy_configuration (section 4.7.5)


Welches System sollte denn das fgspam hinzufuegen? - In den Received headern der mail sieht es so aus (soweit ich dass trotz der pseudonymisierung erkennen konnte) als würde sich 51.195.127.53 direkt zum PMG verbinden - wie sehen die Received header im anderen Fall aus?
 
die Option is im allgemeinen unabhängig wann was gemacht wird (nur wie auf mails reagiert wird) - Insbesondere wenn das taggen unabhängig von PMG passiert - siehe dazu die Referenzdoku:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#_mail_proxy_configuration (section 4.7.5)
super, danke Dir. Wir haben das jetzt mal angeschaltet.

Welches System sollte denn das fgspam hinzufuegen? - In den Received headern der mail sieht es so aus (soweit ich dass trotz der pseudonymisierung erkennen konnte) als würde sich 51.195.127.53 direkt zum PMG verbinden - wie sehen die Received header im anderen Fall aus?
Das ist eine Fortigate. Die SPAM-Erkennung läuft wohl transparanet in der Fortigate. Dort kann man zwischen Flow-Prüfung und Proxy-Prüfung umschalten, wir nutzen Proxy-Prüfung, sprich die Email wird dort auch erstmal im Ganzen vorgehalten und geprüft und dann erst weitergegeben.
Andere Received header sehen auch so aus.

Aber kann es denn an diesen "BOUNCE+..."-Absendern hängen? Wir haben so den Eindruck, dass alle dieser Nachrichten mir "BOUNCE" vom Filter nicht mehr beachtet werden. Was hat es denn damit auf sich?
EDIT: Es kommen auch Nachrichten von Absendern "bounce-" oder auch "doublebounce" oder ähnliches.
 
Last edited:
Als Bounces im Allgemeinen werden mails mit empty envelope sender bezeichnet - siehe auch https://en.wikipedia.org/wiki/Bounce_message
PMG behandelt dies im Grossen und Ganzen nicht anders - in diesem fall ist aber der envelope-sender nicht leer - sowas ist von Mailinglisten (oder eben Newslettern bekannt, tw. wird in die envelop addresse der Emfpaenger einkodiert, damit herausgefunden werden kann ob eine Adresse nicht mehr erreichbar ist).

Wie die Fortigate sich bei so etwas verhält kann ich nicht beurteilen - da würde ich mich mal an deren Support wenden.

Ich hoffe das hilft!
 
Als Bounces im Allgemeinen werden mails mit empty envelope sender bezeichnet - siehe auch https://en.wikipedia.org/wiki/Bounce_message
PMG behandelt dies im Grossen und Ganzen nicht anders - in diesem fall ist aber der envelope-sender nicht leer - sowas ist von Mailinglisten (oder eben Newslettern bekannt, tw. wird in die envelop addresse der Emfpaenger einkodiert, damit herausgefunden werden kann ob eine Adresse nicht mehr erreichbar ist).
danke für die Erklärung.

Sollten wir uns dann wegen des fehlenden Tags FGspam auch an Fortinet wenden, oder was denkst Du, was die Ursache ist, dass das Tag bei der Verarbeitung (noch) nicht vorhanden ist?
 
Sollten wir uns dann wegen des fehlenden Tags FGspam auch an Fortinet wenden, oder was denkst Du, was die Ursache ist, dass das Tag bei der Verarbeitung (noch) nicht vorhanden ist?
Fortinet support klingt nach der richtigen Stelle - kenne den Mail-filter von Ihnen nicht - alternativ kann auch versucht werden eine Regel einzuführen, die alle mails gleich mal an eine Mailbox BCCed - dann könnt ihr schauen, ob es tatsächlich vorhanden ist oder nicht.
 
  • Like
Reactions: SPINNER IT
Grüß Dich Stoiko,
so, wir haben nun das Problem auf Seite der Firewall finden und lösen können.
Ich möchte an dieser Stelle somit betonen, dass das Problem nicht bei Proxmox lag, Proxmox arbeitete hier vollkommen korrekt.
Nochmals vielen Dank für Deine hervorragende Unterstützung.
Herzliche Grüße
Stefan
 
so, wir haben nun das Problem auf Seite der Firewall finden und lösen können.
Sehr schön, dass das Problem gefunden wurde!
Ich möchte an dieser Stelle somit betonen, dass das Problem nicht bei Proxmox lag, Proxmox arbeitete hier vollkommen korrekt.
Nochmals vielen Dank für Deine hervorragende Unterstützung.
Danke fuer die Rosen :)

Wünsche noch einen schönen Freitag!
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!