wieoderwas
Goto Top

Kaspersky for Exchange Meldungen

Guten Morgen,

wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene.
Heute Morgen habe ich einige von diesen Kaspersky Mails bekommen die ich irgendwie nicht richtig verstehe:

In der Nachricht:	
Von: <>	
An: vor.nachname@firma.local	
CC: 	
Betreff: [!!Spam]*****SPAM***** [系统退信]	
	
wurde das beschädigte Objekt //message/rfc822//text/plain gefunden, das die Bedrohung HEUR:Hoax.Script.Scaremail.gen enthält.	
Ausgeführte Aktion: Nachricht wurde zugelassen.	
Objekt wurde in den Backup-Ordner verschoben.	
	
Empfangsdatum der Nachricht: UTC: 16.04.2021 06:45:17	
Antiviren-Datenbanken vom: UTC: 16.04.2021 04:50:00	
Programmname: Kaspersky Security 9.0 für Microsoft Exchange Server	
Name des Mail-Servers: exchange	
	
Kopfzeilen der Nachricht:	
Received: from exchange.firma.local (xxx.xxx.xxx.2) by exchange.firma.local (xxx.xxx.xxx.2) with Microsoft SMTP Server (TLS) id 15.0.1497.2; Fri, 16 Apr 2021 08:45:17 +0200	
Received: from ip033.out.arch-r01.serviceprovider.de (xxx.xxx.xxx.33) by exchange.firma.local (xxx.xxx.xxx.2) with Microsoft SMTP Server (TLS) id 15.0.1497.2 via Frontend Transport; Fri, 16 Apr 2021 08:45:16 +0200	
X-Received: from xxx.xxx.xxx.1 by xxx.firma.local (RS Unified Firewall); Fri, 16 Apr 2021 06:45:16 -0000	
Received: from m15142.mail.126.com ([220.181.15.142])	by arch-r01.serviceprovider.de with smtp (Exim 4.92.3)	id 1lXIE7-0001pv-Em	for vor.nachname@firma.local; Fri, 16 Apr 2021 08:45:16 +0200	
Subject: [!!Spam]*****SPAM***** [系统退信]

Content-Key: 665800

Url: https://administrator.de/contentid/665800

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: Vision2015
Vision2015 16.04.2021 um 10:11:00 Uhr
Goto Top
moin...

steht doch alles da....

wurde das beschädigte Objekt message/rfc822text/plain gefunden, das die Bedrohung HEUR:Hoax.Script.Scaremail.gen enthält.
bedeutet, da wurde etwas gefunden!
Ausgeführte Aktion: Nachricht wurde zugelassen.
bedeutet, da wurde falsch eingerichtet, die nachricht hätte gelöscht werden müssen, und Backup-Ordner verschoben werden sollen!

schau mal bei dem User nach, und lösche bitte sofort diese Mail....


Frank
Mitglied: wieoderwas
wieoderwas 16.04.2021 aktualisiert um 10:18:38 Uhr
Goto Top
Zitat von @Vision2015:

moin...

steht doch alles da....

wurde das beschädigte Objekt message/rfc822text/plain gefunden, das die Bedrohung HEUR:Hoax.Script.Scaremail.gen enthält.
bedeutet, da wurde etwas gefunden!
Ausgeführte Aktion: Nachricht wurde zugelassen.
bedeutet, da wurde falsch eingerichtet, die nachricht hätte gelöscht werden müssen, und Backup-Ordner verschoben werden sollen!

Das ist mir schon klar gewesen. Okay ich habe meine Frage vielleicht falsch ausgedrückt.

Mir geht es darum wie bzw. von wem diese Nachrichten generiert wurden? Mich macht halt folgendes stuzig = Von: <>
Wurden die Mails durch unseren Exchangeserver verschickt oder handelt es sich einfach um SPAM Mails?!
Mitglied: Vision2015
Lösung Vision2015 16.04.2021 um 10:42:36 Uhr
Goto Top
Moin


Zitat von @wieoderwas:

Zitat von @Vision2015:

moin...

steht doch alles da....

wurde das beschädigte Objekt message/rfc822text/plain gefunden, das die Bedrohung HEUR:Hoax.Script.Scaremail.gen enthält.
bedeutet, da wurde etwas gefunden!
Ausgeführte Aktion: Nachricht wurde zugelassen.
bedeutet, da wurde falsch eingerichtet, die nachricht hätte gelöscht werden müssen, und Backup-Ordner verschoben werden sollen!

Das ist mir schon klar gewesen. Okay ich habe meine Frage vielleicht falsch ausgedrückt.

Mir geht es darum wie bzw. von wem diese Nachrichten generiert wurden? Mich macht halt folgendes stuzig = Von: <>
Wurden die Mails durch unseren Exchangeserver verschickt oder handelt es sich einfach um SPAM Mails?!
das ist SPAM... und wurde empfangen... steht doch da face-smile
schau doch im SMTP log nach...

und überprüfe deine Kasperky konfiguration...
Aktion: Nachricht wurde zugelassen.
finde ich echt doof... das darf nicht sein!

Frank
Mitglied: wieoderwas
wieoderwas 16.04.2021 aktualisiert um 11:06:06 Uhr
Goto Top
das ist SPAM... und wurde empfangen... steht doch da face-smile
Das es SPAM ist ist mir auch klar. Okay ich habe die Mails nun mal mit dem Message Tracking GUI angeschaut.
Die Mails sind über einen Sender Postmaster@123.com reingekommen.
Message redirected to 'spam@firma.com' by the transport rules agent.

und überprüfe deine Kasperky konfiguration...
Aktion: Nachricht wurde zugelassen.
finde ich echt doof... das darf nicht sein!

Es gibt einen Benutzer SPAM auf denen nur ich Zugriff habe. Alle Mail die als SPAM eingestuft werden landen da. Wenn die Mail verdächtige Anhänge hat, werden diese Anhäge abgeschnitten und in dem Backup Ordner abgelegt und die Mail wird nur als Text zugestellt. Also alles richtig eingestellt. Es landet nicht eine einzige SPAM Mail bei den Benutzern.

Mich hatte nur das Von: <> stutzig gemacht. Aber durch das Tracking GUI konnte ich dieses nun herausbekommen.
Mitglied: NordicMike
Lösung NordicMike 16.04.2021 um 11:31:40 Uhr
Goto Top
Das hier gibt dir auch einen Hinweis, von wo es kommt:

Received: from m15142.mail.126.com ([220.181.15.142]) by arch-r01.serviceprovider.de
Mitglied: Visucius
Visucius 16.04.2021 aktualisiert um 13:49:12 Uhr
Goto Top
Zitat von @wieoderwas:

Es gibt einen Benutzer SPAM auf denen nur ich Zugriff habe. Alle Mail die als SPAM eingestuft werden landen da. Wenn die Mail verdächtige Anhänge hat, werden diese Anhäge abgeschnitten und in dem Backup Ordner abgelegt und die Mail wird nur als Text zugestellt. Also alles richtig eingestellt. Es landet nicht eine einzige SPAM Mail bei den Benutzern.
Du ersetzt also die Spam-Mail durch eine eigene Mail mit dem Textinhalt der Spam-Mail und stellst diese zu?!

Ich dachte, effizientes Spam-Handling zeichnet sich dadurch aus, dass der Empfänger nicht von potenziellen Penisverlängerungen in seiner Schaffenskraft abgelenkt wird?! Und nicht, dass ich auch noch CPU und Stromenergie damit verbrate, diese "schöner" zu verpacken face-wink
Mitglied: wieoderwas
wieoderwas 16.04.2021 um 13:52:50 Uhr
Goto Top
Ich ersetzte schon mal gar nichts.

Ich lasse mir die SPAM Mails in ein Postfach SPAM zustellen, damit eventuell falsch gekennzeichnete Mails nicht übersehen werden. Da wir viel mit Auslandsvertretungen zu tun haben, kommt das schon das ein oder andere mal vor. Es wird jediglich bei schädlichen Dateien der Anhang durch KSC entfernt.
Mitglied: Vision2015
Vision2015 16.04.2021 um 13:53:59 Uhr
Goto Top
Zitat von @Visucius:

Zitat von @wieoderwas:

Es gibt einen Benutzer SPAM auf denen nur ich Zugriff habe. Alle Mail die als SPAM eingestuft werden landen da. Wenn die Mail verdächtige Anhänge hat, werden diese Anhäge abgeschnitten und in dem Backup Ordner abgelegt und die Mail wird nur als Text zugestellt. Also alles richtig eingestellt. Es landet nicht eine einzige SPAM Mail bei den Benutzern.
Du ersetzt also die Spam-Mail durch eine eigene Mail mit dem Textinhalt der Spam-Mail und stellst diese zu?!

Ich dachte, effizientes Spam-Handling zeichnet sich dadurch aus, dass der Empfänger nicht von potenziellen Penisverlängerungen in seiner Schaffenskraft abgelenkt wird?! Und nicht, dass ich auch noch CPU und Stromenergie damit verbrate, diese "schöner" zu verpacken face-wink

nicht nur das... denn
Aktion: Nachricht wurde zugelassen.
sagt mir, das bei einem Anhang mit Virus, nix richtig eingestellt ist!
aber der TO muss ja zufrieden sein, nicht ich face-smile

Frank
Mitglied: Visucius
Visucius 16.04.2021 aktualisiert um 13:58:07 Uhr
Goto Top
Zitat von @wieoderwas:

Ich ersetzte schon mal gar nichts.

Ich lasse mir die SPAM Mails in ein Postfach SPAM zustellen, damit eventuell falsch gekennzeichnete Mails nicht übersehen werden. Da wir viel mit Auslandsvertretungen zu tun haben, kommt das schon das ein oder andere mal vor. Es wird jediglich bei schädlichen Dateien der Anhang durch KSC entfernt.
Achso, Du "sprengst" also das Fermeldegeheimnis - na denne face-wink
Mitglied: wieoderwas
wieoderwas 16.04.2021 um 13:57:53 Uhr
Goto Top
Wenn ich die Mails nicht zulassen würde, könnte ich falsch gekennzeichnete Mails aus z.B. Aserbaidschan oder von anderen Auslandsvertretungen nicht überprüfen. Einfach alleine aus diesem Grund müssen die Mails gesäubert aber trotzdem an das Postfach SPAM zugestellt werden. Punkt aus fertig. Wie du schon schreibst der TO muss zufrieden sein face-smile
Mitglied: wieoderwas
wieoderwas 16.04.2021 aktualisiert um 14:04:16 Uhr
Goto Top
Spam-Behandlung

Für die Behandlung einer als vermeintlich oder wahrscheinlich unerwünschten Nachricht identifizierten E-Mail gibt es grundsätzlich vier verschiedene technische Möglichkeiten: Markieren, Blockieren, Quarantäne (inkl. Umleitung an spezifische E-Mail-Adressen) und Löschen.

Rechtlich weitgehend unbedenklich ist das bloße Markieren von vermuteten Spam-Nachrichten.

Ist alles mit unserem Datenschutzbeauftragten abgesprochen. Also ist wieder der TO zufrieden face-smile

So und nun schönes Wochenende.

https://www.youtube.com/watch?v=cjgldht4PKw