Das Notes Forum
Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: Johnson am 29.05.08 - 11:33:57
-
Hallo zusammen,
seit zwei Tagen kommen bei uns Mails in die Maildatenbanken, die eigentlich von der IQ-Suite als SPAM erkannt und gelöscht werden sollten bzw. in die Quaratine gestellt werden sollte.
Das klappt auch soweit. ABER:
Wir prüfen lediglich Mails, die von extern abgesendet wurden.
Dazu wurde die folgende Regel verwendet:
@if(@Matches(SMTPOriginator; "*@*.*") | @Matches(From; "*@*.*");@True;@False)
Bei den SPAMs, die durchflutschen, ist folgendes in den Feldern:
SMTPOriginator
""
From
""Jame" <>"
RFC822 Header Name:
"From"
RFC822 Header Delimiter:
": "
RFC822 Header Body:
22 4A 61 6D 65 "Jame
22 20 3C 3E 0D " <>.
0A .
Wieso ist das Feld SMTPOridinator leer? Sollte hier nicht aufjeden Fall eine Adresse enthalten sein?
-
Das ist momentan auch mein Problem, was ich zunächst gelöst hatte indem ich das Feld "Return_Path" auf den Inhalt "<>" geprüft habe, da fast alle Mails dort "<>" eingetragen hatten.
Das klappte auch bis heute morgen, nun kommen die Mails rein, ohne Inhalt (From-Feld leer, SMTP Originator leer , Feld Return_Path gar nicht vorhanden).
Evtl. ist es lösbar wenn man "%local% einbaut, z.B. "Absender ist nicht %local%" !?
-
Das Feld Return_Path hab ich auch nicht gefunden. Das Feld From war bisher immer befüllt.
Was bewirkt %local%? Was wird dabei geprüft?
Ich habe nämlich eine Adress-Regel gefunden: *@%Local%
Ich habe das Thema erst seit einigen Wochen übernommen. Leider ohne intensive Übergabe.
-
Hallo,
nur mal so (entgegen der Empfehlungen von IQSuite) gefragt:
Warum prüft Ihr nicht alle eMails (egal ob eingehend oder ausgehend)?
Gruß Werner
-
Wir haben das Problem auch. Ich hab mir eben überlegt, ob ich nicht einfach auf leeres SMTPOriginator prüfe, weil bei den durchgeflutschten Mails ist das Item entweder leer oder nicht vorhanden.
Ich bin mal andere Mails durchgegangen und habe bisher keine gefunden, in der das Feld leer ist.
@Werner :
Ginge natürlich. Aber dann kann es halt passieren, daß von intern versendete Mails im Spamfilter hängenbleiben. Das ist dann auch unschön.
-
@driri - Prüfen auf leeres Felf SMTPOriginator habe ich auch zuerst dran gedacht, die IQ.Suite braucht an der Stelle aber mind. 1 Zeichen.
-
Vorsicht vor dem Prüfen auf ein leeres SMTPOriginator Feld. Zustellfehlermeldungen (NDRs) haben hier meist auch nichts drinstehen. Die würdet ihr damit dann auch löschen, quarantänieren oder was auch immer.
-
@DigitDani:
Danke für den Hinweis, dann können wir das wohl auch vergessen.
@Cebe1:
Warum ? Ich kann doch eine Regel definieren ala @If(SMTPOriginator = ""; @TRUE; @FALSE).
-
Ich habe es jetzt so gelöst, hoffe es klappt so.......
Absender ist nicht local...siehe Anhang...
Unter Domänen habe ich auch benachbarte (Notes-)Domänen, die
nicht geprüft werden sollen eingepflegt.
Der Wert für %local% steht in der Notes.ini bei dem Parameter "Domain".
-
Warum ? Ich kann doch eine Regel definieren ala @If(SMTPOriginator = ""; @TRUE; @FALSE).
Richtig. Ich habe auch einige Formel-Regeln gefunden, die Feldinhalte so überprüfen und bissher scheint es auch wunderbar zu klappen.
Nur mal 'ne Frage eines Unweissenden (unabhängig von SPAM oder Nicht-SPAM): Was ist das SMTPOriginator genau? Wann und wo wird es schrieben. Und aus welchen Daten setzt es sich zusammen?
@Cebe1:
Muss ich mal prüfen. Wäre super, wenn's klappt.
-
@Driri - ich habe das nur mit der einfachen Textregel gemacht, mein Fehler.
-
Hab hier was zu dem Thema gefunden: http://www.dominoforum.de/modules/newbb/viewtopic.php?post_id=99158
Hier traf einer die Aussage, dass die IQ-Suite immer das Feld From als Absenderinformation verwendet.
Somit würde die Domainregel auch nicht greifen. Oder? Zumindest bei den Spams, mit denen die dort kämpfen.
-
%Local% können wir leider nicht verwenden, weil unser SMTP in einer eigenen Domäne läuft.
Ich prüfe gerade, ob wir das Item $SMTPNotFromNotes prüfen können. Dieses wird auf "1" gesetzt, wenn der Absender aus dem Internet kommt.
Zitat aus der KnowledeBase von IBM :
The field is called $SMTPNotFromNotes. This field can be used to determine whether or not the message is an internet message.
Allerdings muß ich noch prüfen was mit Mails ist, die wir z.B. von internen Server auf unserem SMTP abkippen (Newsletterversand). Ggf. müßte man dann zusätzliche Ausnahmen definieren.
-
Hier traf einer die Aussage, dass die IQ-Suite immer das Feld From als Absenderinformation verwendet.
Somit würde die Domainregel auch nicht greifen. Oder? Zumindest bei den Spams, mit denen die dort kämpfen.
Kommt darauf an, wie man die Regel definiert. Wir hatten bisher immer eine negierte Regel für unsere internen Domänen als Bedingung für die Prüfung drin. Allerdings steht halt bei den aktuellen Mails unsere interne Domäne mit im From-Feld. Bei den bisherigen Spammails hat das sonst immer funktioniert.
-
Hallo
Um so länger ich mitlese im so mehr tendiere ich zu meiner Meinung von oben, auch wenn ich Diri recht geben muss:
@Werner :
Ginge natürlich. Aber dann kann es halt passieren, daß von intern versendete Mails im Spamfilter hängenbleiben. Das ist dann auch unschön.
dass das unschön wäre, aber welche Internen Mails könnte das passieren?
Gruß Werner
-
Da wir auch mit Wortlisten-Filtern arbeiten, könnte es schon die ein oder andere Mail erwischen.
Wenn wir keine andere Lösung finden, werden wir auch wohl oder übel alle Mails filtern. Aber ich geb noch nicht auf ;)
-
@digit dani - ja aber nur wenn die Kriterien erfüllt sind, es kommen jede Menge an Rückläufern in Form von Zustellfehlern die auf Spams zurückzuführen sind, demzufolge gelöscht werden können.
Es geht ja nur darum festzulegen welche Mails auf Spam geprüft werden sollen.
-
Jau, ist mir schon klar. Wollte euch nur darauf hinweisen, dass eben auch "echte" NDRs abgefangen werden könnten wenn so eine Regel in den entsprechenden Jobs zu voreilig verwendet wird. Die simple Prüfung auf ein leeres SMTPOriginator Feld ist definitiv keine zuverlässige Klassifizierung für eine SPAM-Mail.
Ich stehe im Moment selbst vor der Aufgabe NDRs, die an echte SMTP-Adressen zurückgeschickt werden, weil Spammer diese als Absenderadresse verwendet haben, von echten NDRs zu unterscheiden. Aber das ist jetzt etwas off topic.
-
@DigitDani - Das Problem habe ich hier auch. Ich sage den Usern schon daß das eine ganz normale Zustellfehlermeldung ist , die man nicht blocken sollte.
Bei den Spam-Rückläufern stehen meist aber die einschlägigen Betreffs und Texte im Body der Zustellfehlermeldung, so daß diese , wenn sie denn auf Spam geprüft werden..., auch als "Müll" bzw. Spam erkannt werden.
-
Hallo Christian,
da gebe ich Dir Recht. Statt nach einem Merkmal zu suchen, wie ich die echten NDRs von den unechten unterscheiden kann, sollte ich lieber schauen, dass die SPAM-Erkennung bei den "bösen" NDRs greift. Danke für den Hinweis.
VG
Daniel
-
Wir habens jetzt, allerdings kommt uns zu Gute, daß wir den SMTP in einer eigenen Domäne betreiben. Wir haben jetzt einfach die Regel so geändert, daß alle Mails geprüft werden, die nicht von unserer internen Domäne kommen.
-
Jep! So haben wir es jetzt auch gelöst.
Ich bekomme in Notes ein Flag mit, das mir einmal sagt, ob die Mail von außen kommt und zum anderen wie hoch die Spam-Wahrscheinlichkeit ist.
Ich habe die Regeln jetzt so angepasst, dass Mails, die einen bestimmten Wert überschreiten (SPAM-SCORE-CRITICAL), nicht zugestellt und einfach in die Quarantine gestellt werden. Mails die innerhalb eines bestimmten Wertes liegen (SPAM-SCORE-WARNING) in den Junk-Mail-Ordner der Maildatenbanken zugestellt werden. Der Rest (SPAM-SCORE-NOSPAM) geht ganz normal in die Inbox.
Jeder Benutzer hat darüber hinaus dann noch die Möglichkeit Mails in seiner Mailbox nicht automatisch in den Junk-Mail-Ordner zustellen zu lassen, sonder für ihn in die Inbox zu stellen.
Andersherum natürlich genauso. Das ganze läuft über einen Agenten (Bevore mail arrives).
Fakt ist. Böse Spams, wie die, die seit kurzer Zeit durchkommen, werden gelöscht.
Wie die Server-Jungs (SMTP) den Mails einen bestimmten SPAM-SCORE-Wert zuweisen, weiß jetzt leider nicht. Aber das ist das, was sie mir anbieten konnten.
-
Hallo erstmal,
also ich habe es bei uns nach der Masse an durchgerutschten Emails auch mit dem "@ISAvailable(SMTPOriginator)" gelöst.
Damit werden quasi alle aus dem Internet kommenden Emails abgefangen und geprüft, das ist ja genau das was ich erreichen wollte.
Auch die Probleme die jetzt einige haben weil die Felder von den Spammern ja beliebig gesetzt werden können sind dadurch -kein- Problem, werden eh geprüft. :-)
Zustellungsfehler werden natürlich so auch geprüft, aber wie schon der ein oder andere gesagt hat, auch davon sind 98% Spam.
Grüße
Steffen