ingrimmsch
Goto Top

Kaspersky for Exchange Meldungen

Guten Morgen,

wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene.
Heute Morgen habe ich einige von diesen Kaspersky Mails bekommen die ich irgendwie nicht richtig verstehe:

In der Nachricht:	
Von: <>	
An: vor.nachname@firma.local	
CC: 	
Betreff: [!!Spam]*****SPAM***** [系统退信]	
	
wurde das beschädigte Objekt //message/rfc822//text/plain gefunden, das die Bedrohung HEUR:Hoax.Script.Scaremail.gen enthält.	
Ausgeführte Aktion: Nachricht wurde zugelassen.	
Objekt wurde in den Backup-Ordner verschoben.	
	
Empfangsdatum der Nachricht: UTC: 16.04.2021 06:45:17	
Antiviren-Datenbanken vom: UTC: 16.04.2021 04:50:00	
Programmname: Kaspersky Security 9.0 für Microsoft Exchange Server	
Name des Mail-Servers: exchange	
	
Kopfzeilen der Nachricht:	
Received: from exchange.firma.local (xxx.xxx.xxx.2) by exchange.firma.local (xxx.xxx.xxx.2) with Microsoft SMTP Server (TLS) id 15.0.1497.2; Fri, 16 Apr 2021 08:45:17 +0200	
Received: from ip033.out.arch-r01.serviceprovider.de (xxx.xxx.xxx.33) by exchange.firma.local (xxx.xxx.xxx.2) with Microsoft SMTP Server (TLS) id 15.0.1497.2 via Frontend Transport; Fri, 16 Apr 2021 08:45:16 +0200	
X-Received: from xxx.xxx.xxx.1 by xxx.firma.local (RS Unified Firewall); Fri, 16 Apr 2021 06:45:16 -0000	
Received: from m15142.mail.126.com ([220.181.15.142])	by arch-r01.serviceprovider.de with smtp (Exim 4.92.3)	id 1lXIE7-0001pv-Em	for vor.nachname@firma.local; Fri, 16 Apr 2021 08:45:16 +0200	
Subject: [!!Spam]*****SPAM***** [系统退信]

Content-Key: 665800

Url: https://administrator.de/contentid/665800

Printed on: May 27, 2024 at 06:05 o'clock

Member: Vision2015
Vision2015 Apr 16, 2021 at 08:11:00 (UTC)
Goto Top
moin...

steht doch alles da....

wurde das beschädigte Objekt message/rfc822text/plain gefunden, das die Bedrohung HEUR:Hoax.Script.Scaremail.gen enthält.
bedeutet, da wurde etwas gefunden!
Ausgeführte Aktion: Nachricht wurde zugelassen.
bedeutet, da wurde falsch eingerichtet, die nachricht hätte gelöscht werden müssen, und Backup-Ordner verschoben werden sollen!

schau mal bei dem User nach, und lösche bitte sofort diese Mail....


Frank
Member: ingrimmsch
ingrimmsch Apr 16, 2021 updated at 08:18:38 (UTC)
Goto Top
Zitat von @Vision2015:

moin...

steht doch alles da....

wurde das beschädigte Objekt message/rfc822text/plain gefunden, das die Bedrohung HEUR:Hoax.Script.Scaremail.gen enthält.
bedeutet, da wurde etwas gefunden!
Ausgeführte Aktion: Nachricht wurde zugelassen.
bedeutet, da wurde falsch eingerichtet, die nachricht hätte gelöscht werden müssen, und Backup-Ordner verschoben werden sollen!

Das ist mir schon klar gewesen. Okay ich habe meine Frage vielleicht falsch ausgedrückt.

Mir geht es darum wie bzw. von wem diese Nachrichten generiert wurden? Mich macht halt folgendes stuzig = Von: <>
Wurden die Mails durch unseren Exchangeserver verschickt oder handelt es sich einfach um SPAM Mails?!
Member: Vision2015
Solution Vision2015 Apr 16, 2021 at 08:42:36 (UTC)
Goto Top
Moin


Zitat von @ingrimmsch:

Zitat von @Vision2015:

moin...

steht doch alles da....

wurde das beschädigte Objekt message/rfc822text/plain gefunden, das die Bedrohung HEUR:Hoax.Script.Scaremail.gen enthält.
bedeutet, da wurde etwas gefunden!
Ausgeführte Aktion: Nachricht wurde zugelassen.
bedeutet, da wurde falsch eingerichtet, die nachricht hätte gelöscht werden müssen, und Backup-Ordner verschoben werden sollen!

Das ist mir schon klar gewesen. Okay ich habe meine Frage vielleicht falsch ausgedrückt.

Mir geht es darum wie bzw. von wem diese Nachrichten generiert wurden? Mich macht halt folgendes stuzig = Von: <>
Wurden die Mails durch unseren Exchangeserver verschickt oder handelt es sich einfach um SPAM Mails?!
das ist SPAM... und wurde empfangen... steht doch da face-smile
schau doch im SMTP log nach...

und überprüfe deine Kasperky konfiguration...
Aktion: Nachricht wurde zugelassen.
finde ich echt doof... das darf nicht sein!

Frank
Member: ingrimmsch
ingrimmsch Apr 16, 2021 updated at 09:06:06 (UTC)
Goto Top
das ist SPAM... und wurde empfangen... steht doch da face-smile
Das es SPAM ist ist mir auch klar. Okay ich habe die Mails nun mal mit dem Message Tracking GUI angeschaut.
Die Mails sind über einen Sender Postmaster@123.com reingekommen.
Message redirected to 'spam@firma.com' by the transport rules agent.

und überprüfe deine Kasperky konfiguration...
Aktion: Nachricht wurde zugelassen.
finde ich echt doof... das darf nicht sein!

Es gibt einen Benutzer SPAM auf denen nur ich Zugriff habe. Alle Mail die als SPAM eingestuft werden landen da. Wenn die Mail verdächtige Anhänge hat, werden diese Anhäge abgeschnitten und in dem Backup Ordner abgelegt und die Mail wird nur als Text zugestellt. Also alles richtig eingestellt. Es landet nicht eine einzige SPAM Mail bei den Benutzern.

Mich hatte nur das Von: <> stutzig gemacht. Aber durch das Tracking GUI konnte ich dieses nun herausbekommen.
Member: NordicMike
Solution NordicMike Apr 16, 2021 at 09:31:40 (UTC)
Goto Top
Das hier gibt dir auch einen Hinweis, von wo es kommt:

Received: from m15142.mail.126.com ([220.181.15.142]) by arch-r01.serviceprovider.de
Member: Visucius
Visucius Apr 16, 2021 updated at 11:49:12 (UTC)
Goto Top
Zitat von @ingrimmsch:

Es gibt einen Benutzer SPAM auf denen nur ich Zugriff habe. Alle Mail die als SPAM eingestuft werden landen da. Wenn die Mail verdächtige Anhänge hat, werden diese Anhäge abgeschnitten und in dem Backup Ordner abgelegt und die Mail wird nur als Text zugestellt. Also alles richtig eingestellt. Es landet nicht eine einzige SPAM Mail bei den Benutzern.
Du ersetzt also die Spam-Mail durch eine eigene Mail mit dem Textinhalt der Spam-Mail und stellst diese zu?!

Ich dachte, effizientes Spam-Handling zeichnet sich dadurch aus, dass der Empfänger nicht von potenziellen Penisverlängerungen in seiner Schaffenskraft abgelenkt wird?! Und nicht, dass ich auch noch CPU und Stromenergie damit verbrate, diese "schöner" zu verpacken face-wink
Member: ingrimmsch
ingrimmsch Apr 16, 2021 at 11:52:50 (UTC)
Goto Top
Ich ersetzte schon mal gar nichts.

Ich lasse mir die SPAM Mails in ein Postfach SPAM zustellen, damit eventuell falsch gekennzeichnete Mails nicht übersehen werden. Da wir viel mit Auslandsvertretungen zu tun haben, kommt das schon das ein oder andere mal vor. Es wird jediglich bei schädlichen Dateien der Anhang durch KSC entfernt.
Member: Vision2015
Vision2015 Apr 16, 2021 at 11:53:59 (UTC)
Goto Top
Zitat von @Visucius:

Zitat von @ingrimmsch:

Es gibt einen Benutzer SPAM auf denen nur ich Zugriff habe. Alle Mail die als SPAM eingestuft werden landen da. Wenn die Mail verdächtige Anhänge hat, werden diese Anhäge abgeschnitten und in dem Backup Ordner abgelegt und die Mail wird nur als Text zugestellt. Also alles richtig eingestellt. Es landet nicht eine einzige SPAM Mail bei den Benutzern.
Du ersetzt also die Spam-Mail durch eine eigene Mail mit dem Textinhalt der Spam-Mail und stellst diese zu?!

Ich dachte, effizientes Spam-Handling zeichnet sich dadurch aus, dass der Empfänger nicht von potenziellen Penisverlängerungen in seiner Schaffenskraft abgelenkt wird?! Und nicht, dass ich auch noch CPU und Stromenergie damit verbrate, diese "schöner" zu verpacken face-wink

nicht nur das... denn
Aktion: Nachricht wurde zugelassen.
sagt mir, das bei einem Anhang mit Virus, nix richtig eingestellt ist!
aber der TO muss ja zufrieden sein, nicht ich face-smile

Frank
Member: Visucius
Visucius Apr 16, 2021 updated at 11:58:07 (UTC)
Goto Top
Zitat von @ingrimmsch:

Ich ersetzte schon mal gar nichts.

Ich lasse mir die SPAM Mails in ein Postfach SPAM zustellen, damit eventuell falsch gekennzeichnete Mails nicht übersehen werden. Da wir viel mit Auslandsvertretungen zu tun haben, kommt das schon das ein oder andere mal vor. Es wird jediglich bei schädlichen Dateien der Anhang durch KSC entfernt.
Achso, Du "sprengst" also das Fermeldegeheimnis - na denne face-wink
Member: ingrimmsch
ingrimmsch Apr 16, 2021 at 11:57:53 (UTC)
Goto Top
Wenn ich die Mails nicht zulassen würde, könnte ich falsch gekennzeichnete Mails aus z.B. Aserbaidschan oder von anderen Auslandsvertretungen nicht überprüfen. Einfach alleine aus diesem Grund müssen die Mails gesäubert aber trotzdem an das Postfach SPAM zugestellt werden. Punkt aus fertig. Wie du schon schreibst der TO muss zufrieden sein face-smile
Member: ingrimmsch
ingrimmsch Apr 16, 2021 updated at 12:04:16 (UTC)
Goto Top
Spam-Behandlung

Für die Behandlung einer als vermeintlich oder wahrscheinlich unerwünschten Nachricht identifizierten E-Mail gibt es grundsätzlich vier verschiedene technische Möglichkeiten: Markieren, Blockieren, Quarantäne (inkl. Umleitung an spezifische E-Mail-Adressen) und Löschen.

Rechtlich weitgehend unbedenklich ist das bloße Markieren von vermuteten Spam-Nachrichten.

Ist alles mit unserem Datenschutzbeauftragten abgesprochen. Also ist wieder der TO zufrieden face-smile

So und nun schönes Wochenende.

https://www.youtube.com/watch?v=cjgldht4PKw