[SOLVED] email trotz Filter zugestellt

S

SPINNER IT

New Member
Dec 3, 2019
16
5
3
24
Grüß Euch Zusammen,

unsere Firewall nimmt als erste Instanz Emails entgegen und tagged als SPAM erkannte Emails im Betreff mit FGspam, gibt diese dann aber weiter.
Als Zweite Instanz kommt dann Proxmox MG zu Einsatz.
Neben den üblichen Regeln von Proxmox haben wir einen Filter erstellt, welcher im Betreff nach FGspam schauen soll und diese Emails dann in Quarantäne schieben soll.
Der Filter hat Priorität 91.
Nicht gefilterte Emails werden dann final an den eigentlichen Mailserver übergeben

Nun kommt es aber vor, dass ab und an Emails zugestellt werden, obwohl diese im Betreff mit FGspam getagged sind.
Woran kann das liegen?

Schon vielen Dank im Voraus für Eure Hilfe.
Beste Grüße
Stefan
 
SPINNER IT said:
Nun kommt es aber vor, dass ab und an Emails zugestellt werden, obwohl diese im Betreff mit FGspam getagged sind.
Woran kann das liegen?
Click to expand...
Potentiell an einer Regel mit Höherer Priorität, die dafür Sorgt, dass die Mail zugestellt wird ...
(Das sollte im maillog/tracking center ersichtlich sein)
Wie sieht das Regelsystem aus?
Ansonsten - wie sehen die mails aus die trotz FGspam im subject zugestellt werden (als .eml file)
 
Danke für Deine Hilfe Stoiko.

Stoiko Ivanov said:
Potentiell an einer Regel mit Höherer Priorität, die dafür Sorgt, dass die Mail zugestellt wird ...
(Das sollte im maillog/tracking center ersichtlich sein)
Click to expand...
Kurios...
Diese SPAM-Email hat als Sender eine "BOUNCE+..."-Adresse, mit diesen BOUNCE-Nachrichten haben wir schon öfter Probleme gehabt und wissen noch nicht so recht, wie wir mit diesen Emails umgehen sollen.
Im tracking center wird bei Email gar nicht angezeigt, dass im Betreff FGspam enthalten ist, was erklären würde, dass die Nachricht entsprechend auch zugestellt wird.
Im Log der Firewall (erste Instanz) ist protokolliert, dass die Email im Betreff getagged wurde und am eigentlichen Emailserver bzw. im Outlook ist diese Nachricht ebenfalls mit FGspam getagged.
Proxmox scheint aber eine Version der Email zu verarbeiten, die "noch nicht" getagged ist.
Den Log-Ausschnitt habe ich als log-Datei beigefügt.

Stoiko Ivanov said:
Wie sieht das Regelsystem aus?
Click to expand...
1634032980409.png

Stoiko Ivanov said:
Ansonsten - wie sehen die mails aus die trotz FGspam im subject zugestellt werden (als .eml file)
Click to expand...
Ich habe die eml-Datei beigefügt.

Es gibt noch einen Schalter "Before Queue Filtering", der ist bei uns aus, sollte der eher an sein, um das Problem zu umgehen, dass die Email zu spät getagged wird?

Weiterhin herzlichen Dank, Stoiko.

Viele Grüße
Stefan
 

Attachments

SPINNER IT said:
Es gibt noch einen Schalter "Before Queue Filtering", der ist bei uns aus, sollte der eher an sein, um das Problem zu umgehen, dass die Email zu spät getagged wird?
Click to expand...
die Option is im allgemeinen unabhängig wann was gemacht wird (nur wie auf mails reagiert wird) - Insbesondere wenn das taggen unabhängig von PMG passiert - siehe dazu die Referenzdoku:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#_mail_proxy_configuration (section 4.7.5)


Welches System sollte denn das fgspam hinzufuegen? - In den Received headern der mail sieht es so aus (soweit ich dass trotz der pseudonymisierung erkennen konnte) als würde sich 51.195.127.53 direkt zum PMG verbinden - wie sehen die Received header im anderen Fall aus?
 
Stoiko Ivanov said:
die Option is im allgemeinen unabhängig wann was gemacht wird (nur wie auf mails reagiert wird) - Insbesondere wenn das taggen unabhängig von PMG passiert - siehe dazu die Referenzdoku:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#_mail_proxy_configuration (section 4.7.5)
Click to expand...
super, danke Dir. Wir haben das jetzt mal angeschaltet.

Stoiko Ivanov said:
Welches System sollte denn das fgspam hinzufuegen? - In den Received headern der mail sieht es so aus (soweit ich dass trotz der pseudonymisierung erkennen konnte) als würde sich 51.195.127.53 direkt zum PMG verbinden - wie sehen die Received header im anderen Fall aus?
Click to expand...
Das ist eine Fortigate. Die SPAM-Erkennung läuft wohl transparanet in der Fortigate. Dort kann man zwischen Flow-Prüfung und Proxy-Prüfung umschalten, wir nutzen Proxy-Prüfung, sprich die Email wird dort auch erstmal im Ganzen vorgehalten und geprüft und dann erst weitergegeben.
Andere Received header sehen auch so aus.

Aber kann es denn an diesen "BOUNCE+..."-Absendern hängen? Wir haben so den Eindruck, dass alle dieser Nachrichten mir "BOUNCE" vom Filter nicht mehr beachtet werden. Was hat es denn damit auf sich?
EDIT: Es kommen auch Nachrichten von Absendern "bounce-" oder auch "doublebounce" oder ähnliches.
 
Last edited:
Als Bounces im Allgemeinen werden mails mit empty envelope sender bezeichnet - siehe auch https://en.wikipedia.org/wiki/Bounce_message
PMG behandelt dies im Grossen und Ganzen nicht anders - in diesem fall ist aber der envelope-sender nicht leer - sowas ist von Mailinglisten (oder eben Newslettern bekannt, tw. wird in die envelop addresse der Emfpaenger einkodiert, damit herausgefunden werden kann ob eine Adresse nicht mehr erreichbar ist).

Wie die Fortigate sich bei so etwas verhält kann ich nicht beurteilen - da würde ich mich mal an deren Support wenden.

Ich hoffe das hilft!
 
Stoiko Ivanov said:
Als Bounces im Allgemeinen werden mails mit empty envelope sender bezeichnet - siehe auch https://en.wikipedia.org/wiki/Bounce_message
PMG behandelt dies im Grossen und Ganzen nicht anders - in diesem fall ist aber der envelope-sender nicht leer - sowas ist von Mailinglisten (oder eben Newslettern bekannt, tw. wird in die envelop addresse der Emfpaenger einkodiert, damit herausgefunden werden kann ob eine Adresse nicht mehr erreichbar ist).
Click to expand...
danke für die Erklärung.

Sollten wir uns dann wegen des fehlenden Tags FGspam auch an Fortinet wenden, oder was denkst Du, was die Ursache ist, dass das Tag bei der Verarbeitung (noch) nicht vorhanden ist?
 
SPINNER IT said:
Sollten wir uns dann wegen des fehlenden Tags FGspam auch an Fortinet wenden, oder was denkst Du, was die Ursache ist, dass das Tag bei der Verarbeitung (noch) nicht vorhanden ist?
Click to expand...
Fortinet support klingt nach der richtigen Stelle - kenne den Mail-filter von Ihnen nicht - alternativ kann auch versucht werden eine Regel einzuführen, die alle mails gleich mal an eine Mailbox BCCed - dann könnt ihr schauen, ob es tatsächlich vorhanden ist oder nicht.
 
  • Like
Reactions: SPINNER IT
Grüß Dich Stoiko,
so, wir haben nun das Problem auf Seite der Firewall finden und lösen können.
Ich möchte an dieser Stelle somit betonen, dass das Problem nicht bei Proxmox lag, Proxmox arbeitete hier vollkommen korrekt.
Nochmals vielen Dank für Deine hervorragende Unterstützung.
Herzliche Grüße
Stefan
 
  • Like
Reactions: larsen and Stoiko Ivanov
SPINNER IT said:
so, wir haben nun das Problem auf Seite der Firewall finden und lösen können.
Click to expand...
Sehr schön, dass das Problem gefunden wurde!
SPINNER IT said:
Ich möchte an dieser Stelle somit betonen, dass das Problem nicht bei Proxmox lag, Proxmox arbeitete hier vollkommen korrekt.
Nochmals vielen Dank für Deine hervorragende Unterstützung.
Click to expand...
Danke fuer die Rosen :)

Wünsche noch einen schönen Freitag!
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom