117471
Goto Top

Exchange 2010 auf SBS2011: SPAM-Filter "trainieren"

Hallo,

ich habe auf einem SBS2011 auf Port 587 ein offenes SMTP-Relay ohne Authentifizierung konfiguriert und für die IP-Adressen im Servernetz einen SPF-Record definiert.

Das Relay ist von außen nicht erreichbar (kein Portforwarding o.Ä.), den Connector für das Relay habe ich ebenfalls auf das Servernetz eingeschränkt.

Jetzt verschicke ich über dieses Relay zum Beispiel die Alarmmeldungen von meinem Acronis (und zwar von jka@meinetestdomain.de nach jka@meinetestdomain.de). Die Erfolgs- und Fehlermeldungen werden fehlerfrei zugestellt. Hier ein Beispiel, wo Robin ein Backup durchgeführt hat und die E-Mail problemlos zustellen konnte:

Received: from Robin (10.10.10.250) by SBS2011.meinetestdomain.local (10.10.10.10) with
 Microsoft SMTP Server id 14.3.352.0; Thu, 29 Jun 2017 06:46:54 +0200
From: <jka@meinetestdomain.de>
Subject: =?UTF-8?Q?[Acronis_Backup]:_Task_'T=C3=A4gliches_Backup'_erfol?=  
 =?UTF-8?Q?greich_abgeschlossen_auf_Maschine_'Robin'.?=  
Date: Thu, 29 Jun 2017 06:46:47 +0200
Message-ID: <j+UOMiNKj++76HTEkkGrevyabTGYkiY3NUPqvmOhdvU@myhost.com>
To: <jka@meinetestdomain.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8"  
Content-Transfer-Encoding: 8bit
Return-Path: jka@meinetestdomain.de
X-MS-Exchange-Organization-AuthSource: SBS2011.meinetestdomain.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: meinetestdomain.de
X-MS-Exchange-Organization-SenderIdResult: Pass
Received-SPF: Pass (SBS2011.meinetestdomain.local: domain of jka@meinetestdomain.de
 designates 10.10.10.250 as permitted sender) receiver=SBS2011.meinetestdomain.local;
 client-ip=10.10.10.250; helo=Robin;
X-MS-Exchange-Organization-SCL: 0
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report:
 DV:3.3.16631.866;SID:SenderIDStatus Pass;OrigIP:10.10.10.250

Ihr seht, dass ich im DNS einen IP-basierten SPF-Record gesetzt habe, der eine Klassifikation der E-Mail verhindert.

Es gibt aber auch Nachrichten, die im Junk-Ordner landen. Hier ein Beispiel für so eine Nachricht:

Received: from services (10.10.10.32) by SBS2011.meinetestdomain.local (10.10.10.10) with
 Microsoft SMTP Server id 14.3.352.0; Thu, 29 Jun 2017 00:00:03 +0200
From: <jka@meinetestdomain.de>
Subject: [Acronis Backup]: Alarmbenachrichtigung
Date: Thu, 29 Jun 2017 00:00:03 +0200
Message-ID: <fQnDUNGxFmDCCLdSa/XX/RFeDl3oQCaEj47jvOjpxuQ@myhost.com>
To: <jka@meinetestdomain.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8"  
Content-Transfer-Encoding: 8bit
Return-Path: jka@meinetestdomain.de
X-MS-Exchange-Organization-AuthSource: SBS2011.meinetestdomain.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: meinetestdomain.de
X-MS-Exchange-Organization-SenderIdResult: Pass
Received-SPF: Pass (SBS2011.meinetestdomain.local: domain of jka@meinetestdomain.de
 designates 10.10.10.32 as permitted sender) receiver=SBS2011.meinetestdomain.local;
 client-ip=10.10.10.32; helo=services;
X-MS-Exchange-Organization-SCL: 5
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report:
 DV:3.3.16631.866;SID:SenderIDStatus Pass;OrigIP:10.10.10.32

Der SPF-Record hat auch hier gepasst. Dennoch wird die E-Mail als SPAM eingestuft was vermutlich aus dem etwas höherem SCL resultiert. Das scheint bei allen Nachrichten der Fall zu sein, die relativ kurz sind. Der passende Eintrag im AgentLog sieht so auf:

2017-06-28T22:00:03.375Z,08D4BD6FF2F720AF,10.10.10.10:587,10.10.10.32:60162,10.10.10.32,<fQnDUNGxFmDCCLdSa/XX/RFeDl3oQCaEj47jvOjpxuQ@myhost.com>,jka@meinetestdomain.de,jka@meinetestdomain.de;,jka@ihre-argumente.de,1,Content Filter Agent,OnEndOfData,AcceptMessage,,SCL,5,

Im Inhaltsfilter bin ich auf folgenden Screenshot gestoßen:

sbs_inhaltsfilter

Und genau da setzt meine Frage an. Der Hinweis deutet darauf hin, dass hier eine Art Bayes-Filter o.Ä. aktiv ist. Wie trainiere ich diesen? Reicht es, dafür die E-Mails konsequent vom Junk-Ordner in den Posteingang zurückzuschieben und das konsequent so lange durchzuziehen, bis die Nachrichten nicht mehr falsch klassifiziert werden?

Ich bin mir natürlich bewusst, dass ich mit Positivlisten für Absender, Empfänger, Stichwörter usw. arbeiten kann - aber eigentlich erscheint mir das nicht gerade als der "saubere" Weg. Zumindest nicht in einer Produktivumgebung, wo die Hoheit über die Filterung ja eigentlich beim Empfänger liegt.

Lange Rede, kurzer Sinn: Wie kann der Empfänger den Filter seinen Bedürfnissen trainieren bzw. wie geht Ihr mit so etwas grundsätzlich um?

Gruß,
Jörg

Content-Key: 342002

Url: https://administrator.de/contentid/342002

Ausgedruckt am: 28.03.2024 um 14:03 Uhr