9
Cisco Ironport - ESA Nachrichtenfilter
Hi all,
ich habe nach folgender Seite :
Cisco
mail die Nachrichtenfilter gebaut. (Cluster) . Genau nach dem Schema beide probiert mit 10 als Menge angepasst und Email eingetragen bei dem einen.
Beide Filter erscheinen auch aktiv in CLI. Aber ich bekomme keine Nachrichten. Getestet nach der Trefferabfrage ...
Kennt sich da jemand aus ? bzw. ..folgende Fragen :
da dies notify ist ... gehen diese immer raus oder muss dies konfiguriert werden ähnlich den standard mails mit warning / Critical etc? Ist da dann notify = information falls ja ?
Wie zählt das ? beispiel email-from = 10 x email an einen Empfänger entspricht auf 1 x mail an 10 Empfänger?
Danke für Hilfe
greets
Cyb
ich habe nach folgender Seite :
Cisco
mail die Nachrichtenfilter gebaut. (Cluster) . Genau nach dem Schema beide probiert mit 10 als Menge angepasst und Email eingetragen bei dem einen.
Beide Filter erscheinen auch aktiv in CLI. Aber ich bekomme keine Nachrichten. Getestet nach der Trefferabfrage ...
Kennt sich da jemand aus ? bzw. ..folgende Fragen :
da dies notify ist ... gehen diese immer raus oder muss dies konfiguriert werden ähnlich den standard mails mit warning / Critical etc? Ist da dann notify = information falls ja ?
Wie zählt das ? beispiel email-from = 10 x email an einen Empfänger entspricht auf 1 x mail an 10 Empfänger?
Danke für Hilfe
greets
Cyb
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1529844866
Url: https://administrator.de/contentid/1529844866
Printed on: May 10, 2024 at 21:05 o'clock
9 Comments
Latest comment
Moin,
trotz mehrmaligem Lesen verstehe ich nicht, was du willst.
Vielleicht kannst Du mal dein Posting überarbeiten.
Wenn es Dir um eine notification geht, wird die im „Reporting“ definiert.
Grüße
trotz mehrmaligem Lesen verstehe ich nicht, was du willst.
Vielleicht kannst Du mal dein Posting überarbeiten.
Wenn es Dir um eine notification geht, wird die im „Reporting“ definiert.
Grüße
Hi sabines,
danke erstmal.. ja bissel schwer zu verstehen...
also ich hol mal aus...
Ich wollte Nachrichtenfilter konfigurieren und den auch testen ..erstmal mit notify..
aber leider hat mein Test nicht so funktioniert obwohl meines Erachtens nach die Regel erfasst wurde.
Je einmal 10 x von mail-from und 10x same Subject ...
Da ich nix bekam wollte ich auf Fehlersuche gehen. Emailadresse stimmt. Meine Idee war ob diese Nachrichtenfilter kategorisiert sind als information ..aber dies scheint nicht so.
Mittlerweile habe ich den Cluster und auch die SMA neu gestartet und dann hat der Filter für einen User gegriffen. Also funktioniert.
Das nächste hat sich auch geklärt... wie Cisco schreibt innerhalb einer Stunde x =true auf den Filter ... und meine Frage war dann eine mail als Info oder mehrere. Antwort jeweils eine mail für x=true + 1 ..
somit eigentlich erledigt.
Arbeitest du damit?`Wenn ja wie löst Ihr das Problem mit phishing mails ? Oder ist das bei Euch keines da nicht ohne 2FA z.B. dies genutzt werden kann?
greets
Cyb
danke erstmal.. ja bissel schwer zu verstehen...
also ich hol mal aus...
Ich wollte Nachrichtenfilter konfigurieren und den auch testen ..erstmal mit notify..
aber leider hat mein Test nicht so funktioniert obwohl meines Erachtens nach die Regel erfasst wurde.
Je einmal 10 x von mail-from und 10x same Subject ...
Da ich nix bekam wollte ich auf Fehlersuche gehen. Emailadresse stimmt. Meine Idee war ob diese Nachrichtenfilter kategorisiert sind als information ..aber dies scheint nicht so.
Mittlerweile habe ich den Cluster und auch die SMA neu gestartet und dann hat der Filter für einen User gegriffen. Also funktioniert.
Das nächste hat sich auch geklärt... wie Cisco schreibt innerhalb einer Stunde x =true auf den Filter ... und meine Frage war dann eine mail als Info oder mehrere. Antwort jeweils eine mail für x=true + 1 ..
somit eigentlich erledigt.
Arbeitest du damit?`Wenn ja wie löst Ihr das Problem mit phishing mails ? Oder ist das bei Euch keines da nicht ohne 2FA z.B. dies genutzt werden kann?
greets
Cyb
Ja, ich hatte eine Ironport/ESA im Einsatz, durch Jobwechsel leider nicht mehr.
Deine Frage zu Phishing und 2FA verstehe ich nicht.
Nachdem Einsatz der ESA ist das Mailaufkommen auf dem nachgelagerten Mailserver mal eben um rund 20.000 Mails runtergegangen, die ESA hat ja diverse Spam Filter Optionen, die ziemlich wirksam sind. Dazu die üblichen Outlook Einstellungen und Awareness Schulungen und bis auf ein Mal pro Jahr war Ruhe.
Bitte Beitrag auf gelöst stellen, wenn sich deine ursprünglichen Fragen geklärt haben.
Deine Frage zu Phishing und 2FA verstehe ich nicht.
Nachdem Einsatz der ESA ist das Mailaufkommen auf dem nachgelagerten Mailserver mal eben um rund 20.000 Mails runtergegangen, die ESA hat ja diverse Spam Filter Optionen, die ziemlich wirksam sind. Dazu die üblichen Outlook Einstellungen und Awareness Schulungen und bis auf ein Mal pro Jahr war Ruhe.
Bitte Beitrag auf gelöst stellen, wenn sich deine ursprünglichen Fragen geklärt haben.
Hi,
Bei vielen Firmen kann ja über active Sync / oder directmail sich direkt auf mail einloggen ohne 2 FA .
Da ist natürlich eine phishing attacke recht erfolgreich. Die eingehenden Filter kann man da vergessen da user ja Ihre Daten selbst preis geben .. Ging mir da mehr über den Block in der ESA für solche "erfolgreichen" Attacken die dann ja losspamen. Mit dem Filter aus dem Ursprungspost will ich die zumindest schnellstmöglich angezeigt bekommen bzw. in quarantäne bringen.
Danke
greets
Deine Frage zu Phishing und 2FA verstehe ich nicht.
Bei vielen Firmen kann ja über active Sync / oder directmail sich direkt auf mail einloggen ohne 2 FA .
Da ist natürlich eine phishing attacke recht erfolgreich. Die eingehenden Filter kann man da vergessen da user ja Ihre Daten selbst preis geben .. Ging mir da mehr über den Block in der ESA für solche "erfolgreichen" Attacken die dann ja losspamen. Mit dem Filter aus dem Ursprungspost will ich die zumindest schnellstmöglich angezeigt bekommen bzw. in quarantäne bringen.
Danke
greets
Naja, hier hilft eigentlich nur das vorherige rausfiltern und löschen und eine Schulung.
Der Filter ist da schon zu spät. Zusätzlich hierzu kann man owa und sync überall da abschalten (Postfachfunktionen), wo es nicht gebraucht wird. Ggfs. nur per VPN zulassen.
Der Filter ist da schon zu spät. Zusätzlich hierzu kann man owa und sync überall da abschalten (Postfachfunktionen), wo es nicht gebraucht wird. Ggfs. nur per VPN zulassen.
Hi ,
genau da sehe ich ja das Problem... da meist alles irgendwelche Links sind ist das nicht so einfach... oder doch?
Leider wird es immer einen geben der nicht darauf achtet...klar kann alles abschalten...aber das ist ja Chefetagen Entscheidung.. Leider
greets
genau da sehe ich ja das Problem... da meist alles irgendwelche Links sind ist das nicht so einfach... oder doch?
Leider wird es immer einen geben der nicht darauf achtet...klar kann alles abschalten...aber das ist ja Chefetagen Entscheidung.. Leider
greets
Dann kannst Du da eh nichts machen, wenn der Chef das so will!
Grundsätzlich gehören die Links etc. in den Outlookeinstellungen "verboten".
Ich meine die ESA kann bei Mails auch eine Warnmeldung einbauen, müsste ich aber nachschauen.
Grundsätzlich gehören die Links etc. in den Outlookeinstellungen "verboten".
Ich meine die ESA kann bei Mails auch eine Warnmeldung einbauen, müsste ich aber nachschauen.
danke nochmal..
vielleicht kannst du mir noch erklären oder helfen -
habe hier mails die outgoing mit Subject : Not read... versendet wurden von user.
Habe mir das mal durchgelesen Mail und soweit ich es verstanden habe, sendet tatsächlich u.U. Outlook solche mails als Lesebestätigung bzw.nicht.
Im Spam Ordner der ESA können die ja nicht sein da outlook die ja nicht kennt. Sind das dann Junk mails ?
Kann mir nicht vorstellen, dass ein User sich die Mühe macht 20 mal nicht gelesen anzuklicken zumal die outgoings eher wie gelöscht aussehen da Zeitfenster innerhalb 2 Sekunden.
Hoffe konnte meine Frage verstädnlich machen?
Greets
vielleicht kannst du mir noch erklären oder helfen -
habe hier mails die outgoing mit Subject : Not read... versendet wurden von user.
Habe mir das mal durchgelesen Mail und soweit ich es verstanden habe, sendet tatsächlich u.U. Outlook solche mails als Lesebestätigung bzw.nicht.
Im Spam Ordner der ESA können die ja nicht sein da outlook die ja nicht kennt. Sind das dann Junk mails ?
Kann mir nicht vorstellen, dass ein User sich die Mühe macht 20 mal nicht gelesen anzuklicken zumal die outgoings eher wie gelöscht aussehen da Zeitfenster innerhalb 2 Sekunden.
Hoffe konnte meine Frage verstädnlich machen?
Greets
Stell das Verhalten einmal nach, ist das wirklich so?
Wenn ja müsstest du dir mal den genauen Inhalt der Mails anschauen, und dann gegebenenfalls den Versand filtern.
Wenn ich das richtig verstanden habe, werden diese Mails versendet, ohne dass du das richtig mitbekommst. Das ist dann auch kein Spam oder Junk.
Wenn ja müsstest du dir mal den genauen Inhalt der Mails anschauen, und dann gegebenenfalls den Versand filtern.
Wenn ich das richtig verstanden habe, werden diese Mails versendet, ohne dass du das richtig mitbekommst. Das ist dann auch kein Spam oder Junk.
