chiefteddy
Goto Top

Sophos XG eMail Protection Blacklist

Hallo

ich habe eine Sophos XG135 mit eMail-Protection als Firewall.

Die Mails eines unseres Kunden werden geblockt mit der Meldung, die IP steht auf einer Blacklist.

Mit der mxtoolbox habe ich die Kundendomäne geprüft: keine Einträge. Auch unsere Domäne ist nicht gelistet.

Meine Frage:

Wo kann ich bei der XG die verwendeten (abonierten) RBLs (Blacklists) einsehen und gegebenenfalls editieren?
Bekomme ich irgendwie heraus, welche Blacklist die Kundendomäne führt?

Danke

Jürgen

PS: Ich bin mir bewusst, dass eigentlich der Absender für das Entfernen seiner Domäne aus einer Blacklist zuständig ist.
Das hilft mir aber im Moment nicht weiter. Ich weiß ja nicht mal, welche Blacklist das Problem ist.

Content-ID: 6285582652

Url: https://administrator.de/forum/sophos-xg-email-protection-blacklist-6285582652.html

Ausgedruckt am: 22.12.2024 um 14:12 Uhr

vossi31
vossi31 09.03.2023 um 09:46:57 Uhr
Goto Top
Moin,

und du bist sicher, dass es nicht deine eigene Blacklist ist, die das verursacht?
(Bei Sophos SG unter "E-Mail Protection/SMTP/Antispam")

Henning
NordicMike
NordicMike 09.03.2023 um 10:26:56 Uhr
Goto Top
In den Logs wird du vermutlich die verurachende Blackliste finden, die die Mail geblockt hat.
chiefteddy
chiefteddy 09.03.2023 um 10:28:04 Uhr
Goto Top
Hallo @vossi31,

das Problem ist gestern Nachmittag aufgetreten. Definitiv wurden zu diesem Zeitpunkt keine manuellen Änderungen an der Firewall vorgenommen.

Die eigene Blocklist ist überprüft: kein Eintrag für diese Domäne.

Ich habe unter Schützen --> E-Mail --> Adressgruppen 2 Einträge gefunden:

Premium RBL Service RBL (IPv4) Premium RBLs. No false alarms expexted --> bl.spamcop.net

und

Standard RBL Serices RBL (IPv4) More RBLs. False alarms are possible --> dnsbl-1.uceprotect.net

Beide Adressgruppen sind default, nicht löschbar, nur die Einträge sind editierbar.

Ich habe jetzt erst einmal bei der 2. Gruppe den Eintrag duch einen Dummy-Eintrag ersetzt.


Jürgen
mbehrens
Lösung mbehrens 09.03.2023 um 10:36:07 Uhr
Goto Top
Zitat von @chiefteddy:

Wo kann ich bei der XG die verwendeten (abonierten) RBLs (Blacklists) einsehen und gegebenenfalls editieren?

Unter Protect/Email/Policies & Exceptions. Dort unter der konfigurierten Domain im Bereich Spam Protection.

Bekomme ich irgendwie heraus, welche Blacklist die Kundendomäne führt?

Meiner Meinung nach wird dies in keinem Log verzeichnet.
lcer00
lcer00 09.03.2023 um 11:00:08 Uhr
Goto Top
Hallo,
Zitat von @mbehrens:


Bekomme ich irgendwie heraus, welche Blacklist die Kundendomäne führt?

Meiner Meinung nach wird dies in keinem Log verzeichnet.

https://mxtoolbox.com/blacklists.aspx

Grüße

lcer
chiefteddy
chiefteddy 09.03.2023 um 11:35:13 Uhr
Goto Top
Hallo @icer00,

wie ich in meiner Frage schon geschrieben habe, war das mein erster Anlaufpunkt.

Das Problem ist nur, die Kundendomäne ist auf keiner Blacklist.

Aufgefallen ist mir allerdings, dass eine Abfrage meiner Domäne bei mxtoolbox eine Liste der überprüften Blacklists mit mehr als 20 Einträgen liefert. Die Abfrage der Kundendomäne allerdings nur ca 10 überprüfte Blacklist. Wieso?

Jürgen
lcer00
lcer00 09.03.2023 um 12:21:20 Uhr
Goto Top
Hallo,

mir fallen da noch folgende Punkte ein:
  • schau nochmal in die Email-Header. Ist da vielleicht eine Weiterleitung drin und du prüfst die falsche Domäne.
  • Schau, ob die Blacklists überhaupt erreichbar (und aktuell) sind. Für spamhaus & spamcop habe ich in unserem DNS eine bedingte Weiterleitung auf 9.9.9.10 eingerichtet. Einige DNS-Provider filtern da.

Grüße

lcer
chiefteddy
chiefteddy 09.03.2023 um 13:46:31 Uhr
Goto Top
Hallo,

ich habe jetzt die Ursache des Problems gefunden. face-smile
Meine Firewall hat genau das gemacht, was sie soll!

Entgegen der Beteuerung, nicht auf einer Blacklist zu stehen, ist das doch der FAll.

Der (kommunale) IT-Dienstleiter, der für unseren Kunden zuständig ist, betreibt 2 Mail-Relais, die für die sichere Kommunikation der (kommunalen) Einrichtungen von und zum Internet zuständig sind.
Eines dieser Relais bzw. dessen IP ist bei uceprotect.net auf der Blacklist.
Da Sophos standardmäßig diese Blacklist bei der Filterung mit einbezieht, ist das Verhalten nachvollziehbar.

Als temporäre Lösung habe ich die Sicherheit von "Spam blockieren" auf "vor Spam warnen" gesetzt.
Schaun´ wir mal, ob die Mails jetzt ankommen.

Jürgen
mbehrens
Lösung mbehrens 09.03.2023 um 14:53:31 Uhr
Goto Top
Zitat von @chiefteddy:

Hallo,

Eines dieser Relais bzw. dessen IP ist bei uceprotect.net auf der Blacklist.
Da Sophos standardmäßig diese Blacklist bei der Filterung mit einbezieht, ist das Verhalten nachvollziehbar.

Ich würde aus persönlicher Erfahrung eher von uceprotect abraten. Da landen auch schon mal ganze Providernetzte drauf.

Auch sehr interessant, was man unter https://web.archive.org/web/20210421194255/https://securityboulevard.com ... lesen kann.