halington
Goto Top

Exchange 2016 Spam

Hallo zusammen,

ich hab einen Exchange 2016 installiert und konfiguriert. Seit dem werden manche Mails immer mit [SPAM] markiert.
Ich hab aber schon bei der Installation den Spam-Schutz deaktiviert. Kann mir jemand sagen warum der dann offensichtlich trotzdem greift?


Grüße
Halington

Content-ID: 334964

Url: https://administrator.de/forum/exchange-2016-spam-334964.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

132895
132895 18.04.2017 aktualisiert um 19:17:42 Uhr
Goto Top
Zitat von @halington:
Ich hab aber schon bei der Installation den Spam-Schutz deaktiviert. Kann mir jemand sagen warum der dann offensichtlich trotzdem greift?
Prüfen ob der Anti-Spam-Agent wirklich deaktiviert wurde (Get-TransportAgent). Wenn nicht diesen deaktivieren und den Transport-Dienst neu starten (Restart-Service MSExchangeTransport). Wenn doch ist vermutlich noch eine andere Anti-Spam Einheit als der Exchange vorgeschaltet wie z.B. eine Sophos mit Mailfilter welche als Proxy den Mailtraffic an den Exchange weiterreicht.

Gruß
halington
halington 19.04.2017 um 01:01:25 Uhr
Goto Top
Hi elchapo,

vielen Dank für den Tipp. Laut Get-TransportAgent steht der Malware Agent auf false.
Ich nutze einen externen Spam-Filter und eine Sophos HW-Appliance. Jedoch nutzen beide andere Spam-Tags. Außerdem steht die gesamte Infrastruktur schon seit Monaten. Nur der Exchange ist neu und die Probleme bestehen erst seit dessen Installation.
132895
132895 19.04.2017 aktualisiert um 08:37:16 Uhr
Goto Top
Dann setze zusätzlich
Set-MalwareFilteringServer <ServerIdentity> -BypassFiltering $true
Wenn das nicht hilft, deinstalliere die Filter komplett mit dem bereitgestellten Powershell-Skript im Exchange Scripts Folder.
Wenn dann noch was kommt kann es definitiv nicht mehr am Exchange liegen, ihr habt etwas fehlerhaft konfiguriert, oder am Client greift eine Security-Suite ein und markiert ihrerseits Mails mit den Markern!
Das ist Fakt.
halington
halington 20.04.2017 um 02:23:54 Uhr
Goto Top
Okay, hab den Befehl wie beschrieben abgesetzt.
Mal schauen ob sich das Verhalten dadurch ändert.
Ich melde mich sobald ich neue Infos habe.
halington
halington 26.04.2017 um 11:23:25 Uhr
Goto Top
Hat sich leider nix geändert. Hab alles schon kontrolliert. Der Spam-Tag kann nur von Exchange kommen.
Hat vielleicht noch jemand eine Idee wie ich das abstellen kann?
132895
132895 26.04.2017 aktualisiert um 12:27:12 Uhr
Goto Top
Hab ich doch oben geschrieben! Nutze das Powershell-Skript zum entfernen aller AntiSpam Agents.
https://social.technet.microsoft.com/Forums/exchange/en-US/97bd166d-940a ...

Zitat:
Wenn das nicht hilft, deinstalliere die Filter komplett mit dem bereitgestellten Powershell-Skript im Exchange Scripts Folder
Sind die Agents weg kann es der EX nicht mehr sein, definitiv!
Natürlich den Transport-Dienst neu starten und den EX zwischendurch auch mal durchstarten.

Der Spam-Tag kann nur von Exchange kommen.
Stichhaltige Beweise fehlen hier leider in deinen Aussagen ohne jegliche Logs etc. pp ...

Ansonsten habt ihr ein veraltetes CU benutzt, oder irgendwo anders einen Konfigurationsfehler gemacht den wir hier leider ohne Glaskugel nicht sehen können, sorry. Statt zu raten würde ich mal die EX Transport-Logs zur Rate ziehen, und in die Mail-Header schauen.

nix
Aua ...
halington
halington 26.04.2017 aktualisiert um 18:33:16 Uhr
Goto Top
Hi rooobert,

sorry, ist mir irgendwie entfallen. Hab das heute Mittag schon erledigt und vergessen den Beitrag anzupassen.
Mal schauen. Ich beobachte ob da nach der Deinstallation noch was kommt. Vielen Dank nochmal.
Stichhaltige Beweise wären, dass der externe Spam-Filter keinen Spam-Tag nutzt und den von Eset hab ich angepasst.
Von dem her gibt es da nix anderes was als "Quelle" in Frage kommt.
halington
halington 03.05.2017 um 00:11:42 Uhr
Goto Top
Leider hat sich das Verhalten nicht geändert.
Hier der Weg den die Mails gehen:

1. Externer Spam-Filter
An dem kann es nicht liegen da dieser keinen Spam-tag nutzt. ich hab das auch von deren Support kontrollieren lassen die mir das bestätigt haben.

2. Sophos SG115
An der Hardware-Firewall kann es auch nicht liegen. Ich den Logs ist nichts zu finden und ich hab den Spam-tag angepasst.

3. Exchange 2016
Logischerweise müsste es an dem liegen da der Fehler erst seit dessen Installation besteht. Leider finde ich keine logische Erklärung weshalb das nach der Deinstallation des Malware-Agents immer noch so ist. Hier das Ergebnis eines Get-TransportAgent:

Identity Enabled Priority
ESET Filtering Agent True 1
ESET Filtering AV Agent True 2
Transport Rule Agent True 3
DLP Policy Agent True 4
Retention Policy Agent True 5
Supervisory Review Agent True 6
Malware Agent False 7
Text Messaging Routing Agent True 8
Text Messaging Delivery Agent True 9
System Probe Drop Smtp Agent True 10
System Probe Drop Routing Agent True 11

Exchange läuft in der aktuellen Version 15.1 (Build 845.34).
Installiert hab ich nichts Besonderes. Ich würde das als „Grundkonfiguration“ bezeichnen.
An der auf dem Exchange installierten Eset Mail Security kann es auch nicht liegen. Auch hier habe ich den Spam-tag angepasst.

4. Client
Hier kann der Fehler auch nicht liegen. Ich hab alle möglichen Fehler ausgeschlossen. Zudem kommt das [SPAM] nicht wenn ich die Mails per IMAP direkt beim Provider abrufe bevor sie vom Exchange abgeholt werden. Das [SPAM] wird erst nach dem Abruf der Mails vom Exchange (POPCon) gesetzt.


Hier noch ein Mail-Header einer entsprechenden Mail. Vielleicht hat ja noch jemand eine Idee was die Ursache sein kann.

Received: from DC.domain.de (192.168.0.3) by DC.domain.de
(192.168.0.3) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256) id 15.1.845.34 via Mailbox
Transport; Sun, 30 Apr 2017 01:03:12 +0200
Received: from DC.domain.de (192.168.0.3) by DC.domain.de
(192.168.0.3) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256) id 15.1.845.34; Sun, 30
Apr 2017 01:03:00 +0200
Received: from exchange-pop3-connector.com (192.168.0.3) by DC.domain.de
(192.168.0.3) with Microsoft SMTP Server id 15.1.845.34 via Frontend
Transport; Sun, 30 Apr 2017 01:02:59 +0200
Return-Path: mail@dnshome.de
Received: from server405.appriver.com ([5.152.185.139]) by mx.kundenserver.de
(mxeue009 [212.227.15.41]) with ESMTP (Nemesis) id 1MfZg8-1dkVld28pk-00gD7a
for <service@domain.de>; Sun, 30 Apr 2017 01:02:21 +0200
X-Note: Xit Build: 3/21/2017 9:04:32 AM UTC (2.6.15.0) XIT_SCAN_PASSED
Received: from [10.46.0.101] (HELO inbound.appriver.com)
by server405.appriver.com (CommuniGate Pro SMTP 6.0.4)
with ESMTP id 137145204 for service@domain.de; Sun, 30 Apr 2017 01:01:44 +0200
X-Note: This Email was scanned by AppRiver SecureTide
X-Note-AR-ScanTimeLocal: 04/30/2017 1:01:44 AM
X-Note: SecureTide Build: 4/27/2017 10:11:48 AM UTC (2.6.18.8)
X-Note: Filtered by 10.46.0.101
X-Policy: service@domain.de
X-Primary: service@domain.de
X-Virus-Scan: V-
X-Note: SPF: IP: 37.120.167.74 DOM: dnshome.de ADDR: returny3viznlzdvbjzx5jyz50dq@dnshome.de
X-Note: SPF: Pass
X-Note: ICH-CT/SI:0-863/SG:1 4/30/2017 1:01:34 AM
X-Note-SnifferID: 0
X-Note: TCH-CT/SI:0-12/SG:2 4/30/2017 1:01:34 AM
X-GBUdb-Analysis: 0, 37.120.167.74, Ugly c=0.071429 p=0 Source Normal
X-Signature-Violations: 0-0-0-4074-c
X-Note-419: 0 ms. Fail:0 Chk:1366 of 1366 total
X-Note: VSCH-CT/SI: 0-1366/SG:1 4/30/2017 1:01:34 AM
X-Note: Spam Tests Failed:
X-Country-Path: ->Germany->
X-Note-Sending-IP: 37.120.167.74
X-Note-Reverse-DNS: mdb1.dnshome.de
X-Note-Return-Path: return+Y3ViZnlzdVBjZX5jYz50dQ@dnshome.de
X-Note: User Rule Hits:
X-Note: Global Rule Hits: U32 U66 G269 G270 G271 G272 G276 G277 G405 G442
X-Note: Encrypt Rule Hits:
X-Note: Mail Class: VALID
X-Note: Headers Injected
Received: from mdb1.dnshome.de ([37.120.167.74] verified)
by inbound.appriver.com (CommuniGate Pro SMTP 6.1.7)
with ESMTPS id 45916491 for service@domain.de; Sun, 30 Apr 2017 00:44:30 +0200
Received: by mdb1.dnshome.de (Postfix, from userid 0)
id 6917A482BC4; Sun, 30 Apr 2017 00:45:06 +0200 (CEST)
To: <service@domain.de>
Subject: [SPAM] Deine Subdomain company.dnshome.de
X-PHP-Originating-Script: 33:mail.inactive.subdoms.0.php
From: <mail@dnshome.de>
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Message-ID: <54f6016575e113de8f6be9e47e77c09d@dnshome.de>
Date: Sun, 30 Apr 2017 00:45:06 +0200
X-Note: This Email was scanned by AppRiver SecureTide
X-Note-AR-ScanTimeLocal: 04/30/2017 12:44:30 AM
X-Note: SecureTide Build: 4/27/2017 10:11:48 AM UTC (2.6.18.8)
X-Note: Filtered by 10.46.0.101
X-Policy: service@domain.de
X-Primary: service@domain.de
X-Virus-Scan: V-
X-Note: SPF: IP: 37.120.167.74 DOM: dnshome.de ADDR: returny3viznlzdvbjzx5jyz50dq@dnshome.de
X-Note: SPF: Pass
X-Note: ICH-CT/SI:0-863/SG:1 4/30/2017 12:43:33 AM
X-Note-SnifferID: 0
X-Note: TCH-CT/SI:0-16/SG:2 4/30/2017 12:43:33 AM
X-GBUdb-Analysis: 0, 37.120.167.74, Ugly c=0 p=0 Source New
X-Signature-Violations: 0-0-0-3301-c
X-Note-419: 15.625 ms. Fail:0 Chk:1366 of 1366 total
X-Note: VSCH-CT/SI: 0-1366/SG:1 4/30/2017 12:43:33 AM
X-Delay: Delay processing for dnshome.de 10:44 PM GMT
Envelope-To: <service@domain.de>
X-UI-Filterresults: notjunk:1;V01:K0:sK5RIjThHLs=:Lk86YcCRMMxxksRJ2YynNCVDuz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==
X-Spam-Flag: YES
X-Spam-Result: Spam
X-CTCH-RefID: str=0001.0A0B0205.59051BA0.0064,ss=3,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
Old-X-EsetId: 37303A298E4BF465677763
X-MS-Exchange-Organization-Network-Message-Id: 9ad113ab-b6a8-4c09-01e5-08d48f53e1e5
MIME-Version: 1.0
X-ESET-AS: R=OK;S=0;OP=CALC;TIME=1493506992;VERSION=5452;MFE-VER=50;MC=818530226;TRN=20
X-ESET-Antispam: OK
X-EsetResult: clean, is OK
X-EsetId: 37303A292E45CB6B677763
X-MS-Exchange-Organization-AuthSource: DC.domain.de
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:13.2812812