Autor Thema: IQ-Suite und Videos blockieren (Gelesen 21984 mal)

damnstamn · « **am:** 20.02.09 - 16:13:05 »

Hallo in die Runde,

ich habe jetzt schon die Suche hier im Forum als auch in Google bemüht und das Handbuch der IQ-Suite durchgekaut. Aber leider bin ich genauso schlau wie vorher.

Wir haben bei uns 2 Domino 6 Server sowie die IQ-Suite 10 im Einsatz.

Da sich unsere User mittlerweile verstärkt irgendwelche Youtube Videos verschicken (manchmal größer 5 MB) und teilweise unser Server etwas in die Knie geht, hatte ich folgende Idee.

In der IQ-Suite gibt es den Fingerprint zu Multimediainhalten. Diesen wollte ich einsetzen um alle Mails mit einem Anhang der genannten Endungen erstmal in die Quarantäne laufen zu lassen.
Ist das dienstlich, leiten wir das weiter ist das Youtube kommt es in die Tonne.

Leider finde ich weder in den Action Mail Jobs, noch in den Wall Mail Jobs einen Punkt wo ich dem Job sagen kann, das er diesen Fingerprint als Richtlinie beachten soll. In den Regeln finde ich nur Adress, Whitelist/Blacklist, Formula, Signature und Text Rules zum Anlegen, aber auch hier finde ich nichts, mit dem ich den Fingerprint der Multimediadateien verknüpfen kann.

Ich habe mittlerweile das Gefühl ich dreh mich im Kreis. Kann mir evtl. jemand kurz und bündig skizzieren, wie ich es anstelle, das der Job aufgrund des Fingerprints ($Audio/Video) die passenden Mails mit Anhängen in die Quarantäne schiebt und die Admins darüber informiert?

Ich bedanke mich bereits im voraus für die Hilfe.

Ein schönes Wochenende

Damnstamn

Steffen · « **Antwort #1 am:** 20.02.09 - 16:47:21 »

Oh, du bist etwas am falschen Fuß....

Also du schaust momentan zwar in der iQ.Suite, aber nur im Modul "Wall", du mußt aber dafür die WatchDog Lizenz haben und da auch schauen.

Wir setzen zwar noch die 9 ein, aber ich denke in 10 sieht es noch ähnlich aus:
Links am Rand hast du u.A. "Wall" und "WatchDog" stehen und das ist schon der ganze Zauer, einfach mal unter dem Reiter WatchDog schauen und da findest du auch Fingerprints sowie die Möglichkeit der Regelerstellung dafür.

Mehr Sinn macht beim WatchDog übrigens wenn überhaupt eine Whitelist, also alles verbieten außer die zugelassenen Sachen. Dann haste du mit solchen Sachen kein Problem.

Grüße
Steffen

damnstamn · « **Antwort #2 am:** 25.02.09 - 14:05:07 »

Hallo mal wieder,

erstmal vielen Dank für den Tipp mit dem Watchdog. Da wäre ich so nie drauf gekommen.

Jetzt habe ich die IQ Suite so weit, dass ich eine Benachrichtigung erhalte, wenn eine Multimediadatei verschickt wurde. Aber leider wird nichts in die Quarantäne verschoben.

Ich habe meinen Job mal als PDF-Ausdruck angehangen. Vielleicht könnte jemand mal drübergucken, ob ich schon wieder den Wald vor Bäumen nicht sehe...

Vielen Dank im Voraus und bis bald

Damnstamn

Steffen · « **Antwort #3 am:** 25.02.09 - 14:24:47 »

Vorab:
Du hast aber schon die Hilfedatenbank der iQ.Suite auf der Oberfläche? -> dort stehen für die Anlage normaler Jobs eigentlich ausreichende Infos...

Bei deiner PDF lese ich nur bis zur zweiten Zeile...
Da steht "Watchdog Datenbank Job" , also überhaupt nicth was du willst, und was mich in der Annahme bestärkt, dass du die Hilfe noch nicht aufgerufen hast. (-> da ist auch klar zwischen Wall und WatchDog unterschieden)
Was du suchst ist natürlich kein Datenbank, sondern ein MAIL-Job.
Scheinbar habt ihr bei der Installation auch die

Wer hat bei euch denn die iQ.Suite auf dem System installiert und konfiguriert? Ein externer Dienstleiter?

Die Hilfe in der gmanual.nsf im iqsuite-Verzeichnis ist wirklich nicht schlecht für normale Zwecke oder um die Grundzüge zu verstehen.

damnstamn · « **Antwort #4 am:** 25.02.09 - 14:50:35 »

Die Suite wurde von einem Dienstleister installiert und mit ein paar Jobs (5MB Mail, Viren, Exe-Verbieten) vorkonfiguriert.

Meine Kollegen, haben leider irgendwie vergessen, wie das zu konfigurieren geht und ich darf mich jetzt drum kümmern.

Die Hilfe Datenbank sehe ich mir jetzt erstmal an. Wenn ich nicht weiterkomme, werd ich nochmal hier aufschlagen.

Vielen Dank für die Hilfe..

Damnstamn

Steffen · « **Antwort #5 am:** 25.02.09 - 14:54:28 »

Gut, immer bitte erstmal in die Hilfe reinschauen. (sollte ja auch generell so sein)

Tip: eine Kopie von dem EXE-Verbieten-Job und du hast schon fast alles was du brauchst! -> nur noch mit der richtigen dateieinschränkung verbinden und schon wars das.

damnstamn · « **Antwort #6 am:** 17.03.09 - 12:26:34 »

Hallo nochmal,

also ich habe mich jetzt durch die Hilfedatei gelesen und einiges probiert.
Leider ohne großen Erfolg.

Im Anhang hab ich mal meine Konfigurationsversuche beigefügt.

Ich habe einen Watchdog Mail Job angelegt. Dieser hat als Aufgabe die Denied-Attachments zu beachten. Aktive Denied Attachments sind u. a. mp3-Dateien.

Ich habe das Ganze gespeichert und an der Domino Konsole load_tdgrab eingegeben. Dies wurde auch erfolgreich protokolliert.

Danach habe ich mir von außen Testweise eine Email mit MP3 Anhang geschickt. Die Mail habe ich bekommen. Ohne Probleme.

Könnte bitte mal jemand schauen was ich falsch gemacht habe?? Oder spinnt unsere IQ-Suite?

Vielen Dank im voraus.

Damnstamn

tks · « **Antwort #7 am:** 17.03.09 - 12:54:47 »

Hallo.

Ersteinmal: td_grab ist der Databasegrabber, der z.B. periodisch über Datenbanken rennt und die Dokumente bearbeitet. Für Mails ist der Job tm_grab zuständig. Mailjobs laufen also nach Starten von tm_grab.

Ob dein Mailjob auf das Testmail gelaufen ist, kannst Du am Feld $TkFlag50 erkennen. Also in den Dokumenteigenschaften der betreffenden Mail nach diesem Feld suchen. Darin ist dann gelistet, welche Jobs die Mail bearbeitet haben.

Bsp:

"starting jobs # Server1/DOM/DE # 16.03.2009 15:21:10 # Process M05 # 11.2.1.2772.n6"
"WatchDog/M Job Virenscan#NT000009BA(110) # Server1/DOM/DE # 16.03.2009 15:21:10"
"jobs ended # Server1/DOM/DE # 16.03.2009 15:21:10"
"starting jobs # Server2/DOM/DE # 16.03.2009 15:21:11 # Process M04 # 11.2.1.2772.n6"
"WatchDog/M Job Virenscan#NT000009BA(110) # Server2/DOM/DE # 16.03.2009 15:21:12"
"jobs ended # Server1/DOM/DE # 16.03.2009 15:21:12"

Driri · « **Antwort #8 am:** 17.03.09 - 12:59:22 »

Vorab : Habt ihr keinen Support bei GROUP direkt oder warum wendest Du dich hier ans Forum ?

Ich bin nicht der GROUP-Spezialist, aber ich würde den Job etwas anders konfigurieren.

Operations -> Betroffene Anhänge entfernen
Denied Attachments -> Bearbeitung nach allg. Bearbeitungsmodus = Ja

P.S. : Ich würde auch die Servernamen in der PDF mal "anonymisieren"

damnstamn · « **Antwort #9 am:** 17.03.09 - 13:05:05 »

Ok, Danke für den Tipp. Der tmgrab lief aber schon.

Hier die Daten aus der Testmail

-------------------------
Feldname: $TkFlag50
Datentyp: Textliste
Datenlänge: 2138 Byte
Seq.-Num.: 5
Doppeleintrags-ID: 0
Feld-Flags:

"starting jobs # LTGAD223/Server/GADEXT # 17.03.2009 11:30:28 # Process M03 # 10.2.2.1980.s7"
"GAD - Virenscan ohne Info#NT00000BDE(1600) # LTGAD223/Server/GADEXT # 17.03.2009 11:30:28"
"GAD - Potentielle Viren blocken#NT000009FE(1599) # LTGAD223/Server/GADEXT # 17.03.2009 11:30:28"
"GAD - Ausführbare Dateianhänge blocken#NT00000D62(1500) # LTGAD223/Server/GADEXT # 17.03.2009 11:30:28"
"jobs ended # LTGAD223/Server/GADEXT # 17.03.2009 11:30:29"
"starting jobs # LTGAD366/Server/GADBank # 17.03.2009 11:30:31 # Process M09 # 10.2.2.1980.s7"
"GAD - Virenscan mit Info#NT00000D32(1601) # LTGAD366/Server/GADBank # 17.03.2009 11:30:31"
"GAD - Ausführbare Dateianhänge blocken#NT00000D56(1500) # LTGAD366/Server/GADBank # 17.03.2009 11:30:32"
"jobs ended # LTGAD366/Server/GADBank # 17.03.2009 11:30:32"
"starting jobs # LT8B4400/RFV05/GADnet # 17.03.2009 11:30:38 # Process M01 # 10.2.4.2435.n7"
"$Nur Text Empfangen#NT00000B5A(161) # LT8B4400/RFV05/GADnet # 17.03.2009 11:30:38"
"$Virenpruefung Mail von extern#NT00000B66(142) # LT8B4400/RFV05/GADnet # 17.03.2009 11:30:38"
"Testjob Multimedia#NT00000BD6(132) # LT8B4400/RFV05/GADnet # 17.03.2009 11:30:38"
"$Ausfuehrbare Anhaenge#NT00000B6E(131) # LT8B4400/RFV05/GADnet # 17.03.2009 11:30:38"
"Testjob#NT00000BC6(110) # LT8B4400/RFV05/GADnet # 17.03.2009 11:30:38"
"Testjob Multimedia 17.03.2009#NT00000BDE(101) # LT8B4400/RFV05/GADnet # 17.03.2009 11:30:38"
"jobs ended # LT8B4400/RFV05/GADnet # 17.03.2009 11:30:38"
"starting jobs # LT8B46A3/Server/vrbankeg # 17.03.2009 11:35:43 # Process M04 # 10.2.4.2435.n7"
"$Nur Text Empfangen#NT00000B5A(161) # LT8B46A3/Server/vrbankeg # 17.03.2009 11:35:43"
"$Virenpruefung Mail von extern#NT00000B66(142) # LT8B46A3/Server/vrbankeg # 17.03.2009 11:35:43"
"Testjob Multimedia#NT00000BD6(132) # LT8B46A3/Server/vrbankeg # 17.03.2009 11:35:43"
"$Ausfuehrbare Anhaenge#NT00000B6E(131) # LT8B46A3/Server/vrbankeg # 17.03.2009 11:35:43"
"Testjob#NT00000BC6(110) # LT8B46A3/Server/vrbankeg # 17.03.2009 11:35:43"
"Testjob Multimedia 17.03.2009#NT00000BDE(101) # LT8B46A3/Server/vrbankeg # 17.03.2009 11:35:43"
"jobs ended # LT8B46A3/Server/vrbankeg # 17.03.2009 11:35:43"
----------------------------------

Also scheint der Job ja schonmal über die Mails zu laufen.

Hat vielleicht noch jemand einen Tipp, wie ich diesem Job beibringe, die Mail mit Anhang (wie im Fingerprint z. B. *.mp3) in die Qurantäne zu stellen?

Oder verlange ich zuviel von der IQ Suite?

Für Tipps bin ich sehr dankbar...

Damnstamn

Driri · « **Antwort #10 am:** 17.03.09 - 13:16:30 »

Hast Du meinen Beitrag gelesen ? Nach meinem Verständnis kann der Anhang nicht herausgefiltert werden, da die genannten Parameter falsch eingestellt sind.

damnstamn · « **Antwort #11 am:** 17.03.09 - 13:19:19 »

Das hat sich überschnitten.

Ich habe es aber gerade nochmal mit den folgenden Ändeungen versucht:

Allgemeiner Bearbeitungsmodus Betroffene Anhänge entfernen

Bearbeitung nach allgemeinem
Bearbeitungsmodus Ja

Die Test MP3 ist trotzdem durchgeflutscht.

Driri · « **Antwort #12 am:** 17.03.09 - 13:47:01 »

Daß der Job im $TKFlag-Feld auftaucht, deutet auf jeden Fall schon mal darauf hin, daß er auch auf die Mail losläuft, d.h. die Regel ist zumindest korrekt.

Wenn ich das richtig sehe, hast Du in den Dateieinschränkungen nicht den Job eingetragen, der die Datei filtern soll. Dann greift die Dateieinschränkung auch nicht für den Job.

damnstamn · « **Antwort #13 am:** 17.03.09 - 14:21:57 »

Also in der Ansicht kann ich, wenn ich das richtig interpretiere, keine Dateieinschränkungen auswählen.

Der bedient sich einfach Aller Aktiven Einschränkungen oder?

Denn ich hab nur die beiden Buttons Bearbeiten und Neu.
Ich hab jetzt nochmal eine neue Einschränkung angelegt, aber leider der selbe Effekt.

tks · « **Antwort #14 am:** 18.03.09 - 08:39:43 »

Dann such doch mal im iqSuite Log.

Dort gibt es eine Ansicht nach Job, so kannst Du deinen Prozess (z.B. M01) finden. Im Log müsste dann stehen, ob er deine MP3 geprüft hat und zu welchem Ergebnis er gekommen ist.

Bearbeite Job ---- WatchDog/M Job Positivliste#NT000009BE(100)   tm_job.cpp:1026
00:01:42.90   (5)    - Pruefe Anhaenge    wd_file.cpp:177
00:01:42.90   (6)    - Pruefe Anhang : nuxhxygyzxzeg.jpeg    wd_file.cpp:227
00:01:42.90   (6)      Gefundenes Dateimuster: JPG - Files (PaintShopPro)    wd_bpat.cpp:1584
00:01:42.92   (6)    - Pruefe Anhang : yvefyrasokah.jpeg     wd_file.cpp:227
00:01:42.92   (6)      Gefundenes Dateimuster: JPG - Files (PaintShopPro)    wd_bpat.cpp:1584
00:01:42.93   (6)     From "Jakubik" <puchbergefxs@gmail.com> To CN=Max Muster/O=Mail/C=DE wd_eval.cpp:1226
00:01:42.93   (6)     Ok nuxhxygyzxzeg.jpeg     wd_eval.cpp:995
00:01:42.93   (6)     Ok yvefyrasokah.jpeg     wd_eval.cpp:995
00:01:42.93   (4)    Job beendet--------------------------------------

damnstamn · « **Antwort #15 am:** 18.03.09 - 09:58:04 »

Das sagt die Log Datei...

14:02:11.54   (6)    Evaluate rules for Job Testjob Multimedia 17.03.2009    tx_rulemanager.cpp:404
14:02:11.54   (5)          tm_job.cpp:1022
14:02:11.54   (4)    Bearbeite Job ------------------------------------ Testjob Multimedia 17.03.2009#NT00000BDE(101)     tm_job.cpp:1023
14:02:11.54   (5)    - Pruefe Anhaenge    wd_file.cpp:177
14:02:11.54   (6)    - Pruefe Anhang : Beispiel.mp3    wd_file.cpp:227
14:02:11.67   (6)     $Norman (soap scan engine): return code: 0    wd_chck.cpp:890
14:02:11.67   (6)    - Pruefe Anhang : <document contents>    wd_file.cpp:227
14:02:11.67   (6)     $Norman (soap scan engine): return code: 0    wd_chck.cpp:890
14:02:11.67   (4)    Job beendet--------------------------------------    tm_job.cpp:1113
14:02:11.67   (5)          tm_job.cpp:1114

Er scheint die Datei zu prüfen aber an der Bearbeitung scheint es zu klemmen.
Ich hab nochmal einen Ausdruck der Aktuellen Job-Konfiguration mit angehangen. Sowie eine Liste der aktiven Dateieinschränkungen.

Gibt es eigentlich noch einen anderen Weg, wie man das mit der IQ-Suite gebügelt bekommt? Ich hab hier mal was von einer Whitelist gelesen. Die Hilfe-Datei hat das aber eher sehr knapp abgehandelt.

Driri · « **Antwort #16 am:** 18.03.09 - 10:54:43 »

Deaktivier mal den Virenscan in dem Job. Der läuft ja vermutlich eh vorher in einem anderen Job, das braucht dann in dem Job nicht noch einmal zu passieren.

Cebe1 · « **Antwort #17 am:** 18.03.09 - 12:33:32 »

Hast Du denn auch die Dateieinschränkung mit dem Job verknüpft ?

Cebe1 · « **Antwort #18 am:** 18.03.09 - 12:38:54 »

Zitat von: damnstamn am 18.03.09 - 09:58:04

Gibt es eigentlich noch einen anderen Weg, wie man das mit der IQ-Suite gebügelt bekommt? Ich hab hier mal was von einer Whitelist gelesen. Die Hilfe-Datei hat das aber eher sehr knapp abgehandelt.

Whitelist ist eine ganz andere Baustelle (Ausnahme f. d. Spamerkennung)

tks · « **Antwort #19 am:** 18.03.09 - 12:45:20 »

Ich schliesse mich dem an, was Driri gesagt hat.

Alles weg, was nicht Anhangserkennung ist und dann schauen.

So wie das Protokoll aussieht, prüft er die Dateieinschränkungen nämlich gar nicht.