cyberurmel
Goto Top

Cisco Ironport - ESA Nachrichtenfilter

Hi all,

ich habe nach folgender Seite :
Cisco

mail die Nachrichtenfilter gebaut. (Cluster) . Genau nach dem Schema beide probiert mit 10 als Menge angepasst und Email eingetragen bei dem einen.
Beide Filter erscheinen auch aktiv in CLI. Aber ich bekomme keine Nachrichten. Getestet nach der Trefferabfrage ...
Kennt sich da jemand aus ? bzw. ..folgende Fragen :

da dies notify ist ... gehen diese immer raus oder muss dies konfiguriert werden ähnlich den standard mails mit warning / Critical etc? Ist da dann notify = information falls ja ?
Wie zählt das ? beispiel email-from = 10 x email an einen Empfänger entspricht auf 1 x mail an 10 Empfänger?

Danke für Hilfe

greets
Cyb

Content-ID: 1529844866

Url: https://administrator.de/forum/cisco-ironport-esa-nachrichtenfilter-1529844866.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

sabines
sabines 24.11.2021 um 07:56:41 Uhr
Goto Top
Moin,

trotz mehrmaligem Lesen verstehe ich nicht, was du willst.
Vielleicht kannst Du mal dein Posting überarbeiten.

Wenn es Dir um eine notification geht, wird die im „Reporting“ definiert.

Grüße
Cyberurmel
Cyberurmel 24.11.2021 um 15:01:21 Uhr
Goto Top
Hi sabines,

danke erstmal.. ja bissel schwer zu verstehen...

also ich hol mal aus...

Ich wollte Nachrichtenfilter konfigurieren und den auch testen ..erstmal mit notify..
aber leider hat mein Test nicht so funktioniert obwohl meines Erachtens nach die Regel erfasst wurde.
Je einmal 10 x von mail-from und 10x same Subject ...
Da ich nix bekam wollte ich auf Fehlersuche gehen. Emailadresse stimmt. Meine Idee war ob diese Nachrichtenfilter kategorisiert sind als information ..aber dies scheint nicht so.

Mittlerweile habe ich den Cluster und auch die SMA neu gestartet und dann hat der Filter für einen User gegriffen. Also funktioniert.

Das nächste hat sich auch geklärt... wie Cisco schreibt innerhalb einer Stunde x =true auf den Filter ... und meine Frage war dann eine mail als Info oder mehrere. Antwort jeweils eine mail für x=true + 1 ..

somit eigentlich erledigt.

Arbeitest du damit?`Wenn ja wie löst Ihr das Problem mit phishing mails ? Oder ist das bei Euch keines da nicht ohne 2FA z.B. dies genutzt werden kann?

greets
Cyb
sabines
Lösung sabines 25.11.2021 um 03:09:08 Uhr
Goto Top
Ja, ich hatte eine Ironport/ESA im Einsatz, durch Jobwechsel leider nicht mehr.
Deine Frage zu Phishing und 2FA verstehe ich nicht.

Nachdem Einsatz der ESA ist das Mailaufkommen auf dem nachgelagerten Mailserver mal eben um rund 20.000 Mails runtergegangen, die ESA hat ja diverse Spam Filter Optionen, die ziemlich wirksam sind. Dazu die üblichen Outlook Einstellungen und Awareness Schulungen und bis auf ein Mal pro Jahr war Ruhe.

Bitte Beitrag auf gelöst stellen, wenn sich deine ursprünglichen Fragen geklärt haben.
Cyberurmel
Cyberurmel 25.11.2021 um 08:59:34 Uhr
Goto Top
Hi,

Deine Frage zu Phishing und 2FA verstehe ich nicht.

Bei vielen Firmen kann ja über active Sync / oder directmail sich direkt auf mail einloggen ohne 2 FA .
Da ist natürlich eine phishing attacke recht erfolgreich. Die eingehenden Filter kann man da vergessen da user ja Ihre Daten selbst preis geben .. Ging mir da mehr über den Block in der ESA für solche "erfolgreichen" Attacken die dann ja losspamen. Mit dem Filter aus dem Ursprungspost will ich die zumindest schnellstmöglich angezeigt bekommen bzw. in quarantäne bringen.

Danke
greets
sabines
sabines 26.11.2021 um 08:36:08 Uhr
Goto Top
Naja, hier hilft eigentlich nur das vorherige rausfiltern und löschen und eine Schulung.
Der Filter ist da schon zu spät. Zusätzlich hierzu kann man owa und sync überall da abschalten (Postfachfunktionen), wo es nicht gebraucht wird. Ggfs. nur per VPN zulassen.
Cyberurmel
Cyberurmel 29.11.2021 um 09:07:19 Uhr
Goto Top
Hi ,

genau da sehe ich ja das Problem... da meist alles irgendwelche Links sind ist das nicht so einfach... oder doch?

Leider wird es immer einen geben der nicht darauf achtet...klar kann alles abschalten...aber das ist ja Chefetagen Entscheidung.. Leider

greets
sabines
sabines 29.11.2021 um 10:06:36 Uhr
Goto Top
Dann kannst Du da eh nichts machen, wenn der Chef das so will!

Grundsätzlich gehören die Links etc. in den Outlookeinstellungen "verboten".
Ich meine die ESA kann bei Mails auch eine Warnmeldung einbauen, müsste ich aber nachschauen.
Cyberurmel
Cyberurmel 29.11.2021 um 14:10:11 Uhr
Goto Top
danke nochmal..

vielleicht kannst du mir noch erklären oder helfen -

habe hier mails die outgoing mit Subject : Not read... versendet wurden von user.
Habe mir das mal durchgelesen Mail und soweit ich es verstanden habe, sendet tatsächlich u.U. Outlook solche mails als Lesebestätigung bzw.nicht.
Im Spam Ordner der ESA können die ja nicht sein da outlook die ja nicht kennt. Sind das dann Junk mails ?
Kann mir nicht vorstellen, dass ein User sich die Mühe macht 20 mal nicht gelesen anzuklicken zumal die outgoings eher wie gelöscht aussehen da Zeitfenster innerhalb 2 Sekunden.
Hoffe konnte meine Frage verstädnlich machen?

Greets
sabines
sabines 01.12.2021 um 17:22:56 Uhr
Goto Top
Stell das Verhalten einmal nach, ist das wirklich so?
Wenn ja müsstest du dir mal den genauen Inhalt der Mails anschauen, und dann gegebenenfalls den Versand filtern.

Wenn ich das richtig verstanden habe, werden diese Mails versendet, ohne dass du das richtig mitbekommst. Das ist dann auch kein Spam oder Junk.