Die Angriffe per E-Mail sind massiv geworden, bekomme etliche E-Mails im Postfach pro Tag.- OK, ich gebe keine Kundendaten „zur Verifizierung“ mehr preis, diese Masche lässt sich leicht ignorieren.-
Auch fingierte Rechnungen mit einem ZIP-File im Anfang sind leicht als gefährlich zu identifizieren.Weitaus schlimmer sind die E-Mails, die einen direkten Link zu Ransomware enthalten, da reicht es nur, diesen Link anzuklicken.
Früher sahen diese E-Mail sofort verdächtig aus und die Aufforderung zum Klick sah auch schon verdächtig aus, wenn man sich den Absender angeschaut hatte, dann war alles klar.
Nun ist bin – trotz Vorsicht – fast selbst reingefallen. Jetzt kommen Newsletter von bekannten Firmen mit einem Link zum Abbestellen, der Absender ist manipuliert und stammt z.B. von einem echten Newsletter von Vodafone.
Erst wenn man sich den Link hinter dem Klick anschaut, merkt man, dass es vermutlich Ransomware ist.
Wäre es möglich, den Estugo Kunden mit der Einrichtung eines Schutzes am Spam-Experts Gateway zu helfen?
1. Wie weist man E-Mails mit ZIP-Files ab? Außer sie stammen WIRKLICH von vertrauenswürdigen Absendern.
2. Wie weist man E-Mails mit Links ab? Es ist schon eine radikale Methode, denn dann funktionieren auch sichere E-Mails mit einem „Unsubscribe“ nicht mehr.Das wäre supergenial, ich würde auch mitmachen, um nach solche Lösung zu suchen.
Mit diesen Einstellungen kann man die Filterung anpassen
Wenn Sie die Quarantäne deaktivieren,
werden alle vom Filter empfangenen E-Mails, darunter auch gefährliche Mails wie Phishes, Viren und andere Malware, an Ihren E-Mailserver weitergeleitet.
Diese Option sollte nur in Verbindung mit einer Software zur Online-Einreichung von Informationen
(unter Verwendung der zusätzlichen Klassifizierungskopfzeilen), welche den Enduser vor dem Empfang von gefährlichen Inhalten schützt, auf Ihrem Mailserver verwendet werden.
Deaktivieren Sie die Quarantäne nicht,
wenn Sie Spam empfangen möchten, aber kein Phishing. Verwenden Sie in diesem Fall eine angepasste Aktion – dies ist aber ebenfalls nicht ratsam, denn die Charakteristiken von Spam, Phishes und Viren können überlappen, d.h. Viren können als Spam klassifiziert werden und
umgekehrt.
Filtergenauigkeit
Um die Filtergenauigkeit zu verbessern, passen Sie den Schwellwert für diese Nachrichten an Ihre Vorstellungen.
Fügen Sie dem Betreff eine Markierung hinzu, um Nachrichten erkennbar zu machen, die sehr hilfreich für das Trainieren sind.
Stellen Sie hier das minimale Ergebnis ein, um eine Nachricht als Spam zu definieren, wenn durch den Filter keine definitive Klassifizierung vorgenommen werden konnte.
Das Ergebnis kann zwischen
0.0 (mit größter Sicherheit kein Spam)
bis 1.0 (mit größter Sicherheit Spam) liegen.
Daraus folgt:
- Je höher die Einstellung ist, umso wahrscheinlicher ist es, dass Sie den als schwierig einzustufenden Spam empfangen
- und es ist unwahrscheinlicher, dass die als schwierig einzustufenden legitimen Meldungen in die Quarantäne gehen oder abgewiesen werden.
- Dies bezieht sich sowohl auf die eingehende als auch die ausgehende Filterung. Beachten Sie, dass die Schwellwerte für eingehende und ausgehende Filterung verwendet werden.
Stellen Sie hier das maximale Ergebnis ein, um eine Nachricht nicht als Spam zu definieren, wenn der Filter keine definitive Entscheidung anhand der Klassifizierung treffen konnte.
Das Ergebnis kann zwischen
- 0.0 (mit größter Sicherheit kein Spam) –
- bis 1.0 (mit größter Sicherheit Spam) liegen.
Nachrichten, deren Schwellenwert höher ist als der hier angegebene werden als unsicher eingestuft und profitieren vom Training. Die Einstellung muss unter dem Schwellenwert der Quarantäne liegen.
Dies bezieht sich sowohl auf die eingehende als auch die ausgehende Filterung.
Quarantine threshold
If this quarantine threshold setting is lowered from the default (recommended) value of 0.9, more messages will be classified as spam.
Wenn diese Quarantäne-Schwellenwerteinstellung vom standardmäßigen (empfohlenen) Wert von 0,9 herabgesetzt wird, werden mehr Nachrichten als Spam klassifiziert.
If this setting is increased towards 1.0, fewer messages will be classified as spam and so the potential for spam to be delivered is much higher.
Wenn diese Einstellung in Richtung 1,0 erhöht wird, werden weniger Nachrichten als Spam klassifiziert und somit ist das Potenzial für die Zustellung von Spam viel höher.
We do not recommend making any significant changes to this setting. Any changes should be small, either increasing the aggressiveness of the filter by setting a lower numeric value closer to 0.0 or lowering the aggressiveness by raising the slider closer to 1.0.
Wir empfehlen, keine wesentlichen Änderungen an dieser Einstellung vorzunehmen. Alle Änderungen sollten gering sein und entweder die Aggressivität des Filters erhöhen, indem ein niedrigerer numerischer Wert näher an 0,0 eingestellt wird, oder die Aggressivität verringern, indem der Schieberegler näher an 1,0 angehoben wird.
Aktionen
- In general, when the filter detects a dangerous message, it is rejected without being exposed in the user’s quarantine;
Wenn der Filter eine gefährliche Nachricht erkennt, wird sie im Allgemeinen abgelehnt, ohne dass sie in der Quarantäne des Benutzers angezeigt wird.
- when the filter detects other unwanted messages, they are rejected and added to the user’s quarantine;
Wenn der Filter andere unerwünschte Nachrichten erkennt, werden diese abgelehnt und zur Quarantäne des Benutzers hinzugefügt.
- other messages are delivered.
Andere Nachrichten werden zugestellt.
If you wish to customise what happens to particular messages (for example, do not quarantine phishes, or blackhole large messages), you can create those rules here.
Wenn Sie anpassen möchten, was mit bestimmten Nachrichten geschieht (z. B. keine Phishing-Mails oder große Blackhole-Nachrichten unter Quarantäne stellen), können Sie diese Regeln hier erstellen.
Customisation is based on the message’s classification (for example, all messages on the block list, or all attachment filenames on the block list, etc).
Die Anpassung basiert auf der Klassifizierung der Nachricht (z. B. alle Nachrichten auf der Sperrliste oder alle Dateinamen von Anhängen auf der Sperrliste usw.).
The classification columns (main class, sub class, and extra class) are regular expressions.
Die Klassifizierungsspalten (Hauptklasse, Unterklasse und Zusatzklasse) sind reguläre Ausdrücke.
Regular expressions are rules used to describe matching patterns; they are similar to wildcards, but more powerful.
Reguläre Ausdrücke sind Regeln zur Beschreibung übereinstimmender Muster. Sie ähneln Platzhaltern, sind jedoch leistungsfähiger.
The rules defined here use Python’s regular expression syntax. You can learn more about the regular expressions on regex101.com (a regular expression tool with real time explanation, error detection and highlighting).
Die hier definierten Regeln verwenden die reguläre Ausdruckssyntax von Python. Weitere Informationen zu regulären Ausdrücken finden Sie auf regex101.com (ein Tool für reguläre Ausdrücke mit Echtzeiterklärung, Fehlererkennung und -hervorhebung).
In this page you can manage your quarantine settings for filtered emails.
Auf dieser Seite können Sie Ihre Quarantäneeinstellungen für gefilterte E-Mails verwalten.
You can also control the inbound TLS enforcement settings from this page.
Sie können auf dieser Seite auch die Einstellungen für die TLS-Erzwingung für eingehenden Datenverkehr steuern.
Auf dieser Seite können Sie Ihre Quarantäneeinstellungen für gefilterte E-Mails verwalten.
If you choose to disable your quarantine, all emails detected as Spam will be delivered to your email server unfiltered.This page is available at the Domain Level only and settings are determined on a per-domain basis.
Wenn Sie Ihre Quarantäne deaktivieren, werden alle als Spam erkannten E-Mails ungefiltert an Ihren E-Mail-Server zugestellt.Diese Seite ist nur auf Domänenebene verfügbar und die Einstellungen werden für jede Domäne einzeln festgelegt.
They cannot be set at a higher level for all domains under one Admin.In the Domain Level Control Panel, select Incoming – Protection Settings > Filter settings. The Filter settings page for the selected domain is displayed:
Sie können nicht für alle Domänen unter einem Administrator auf eine höhere Ebene gesetzt werden.Wählen Sie in der Systemsteuerung auf Domänenebene Eingehend – Schutzeinstellungen > Filtereinstellungen aus. Die Seite „Filtereinstellungen“ für die ausgewählte Domäne wird angezeigt:
Wie weist man E-Mails mit ZIP-Files ab?
Außer sie stammen WIRKLICH von vertrauenswürdigen Absendern.
Wie weist man E-Mails mit Links ab?
Es ist schon eine radikale Methode, denn dann funktionieren auch sichere E-Mails mit einem „Unsubscribe“ nicht mehr.
Filterungsregeln mit Blockierungslisten anklicken ….
und eine neue Regel anlegen, die E-Mails mit „HREF=“ verbietet anlegen
Filterung der E-Mails bei SpamExpert – TopDown Chart
Bei SpamExperts gibt es diese Möglichkeiten, E-Mails zu filtern:
Incoming filtering block rules
ALLOW – Sender allow list – Zulassungsliste für Sender
ALLES VON EINEM SENDER ANNEHMEN
Wenn Sie E-Mails von einem bestimmten Absender unabhängig vom Nachrichteninhalt erhalten möchten, sollten Sie ihn auf die Zulassungsliste setzen. Sie sollten dies nur tun, wenn Sie wissen, dass der Absender seine Adresse verifiziert und ausschließlich legitime, sichere Inhalte sendet.
- Sie haben die Möglichkeit, nur den „Envelope“ Absender zu checken, die Absenderadresse in der „Von“ Kopfzeile, oder beide.
- Fügen Sie den Domänennamen einfach ohne „@“ davor hinzu, um alle E-Mail-Adressen einer Domäne der Zulassungsliste hinzuzufügen (z. B. für alle Sender mit der Adresse „@example.com“ einfach nur „example.com“ hinzufügen).
- Verwenden Sie ein Sternchen („*“) als Platzhalter, um eine ganze Domäne der obersten Ebene zur Zulassungsliste hinzuzufügen (z. B. „*.nl“ für alle NL-Domänen).
ALLOW – Recipient allow list – Zulassungsliste für Empfänger
EIN EMPFÄNGER ENTHÄLT IMMER ALLES – OHNE FILTERUNG
Erlaube bestimmten Empfängern, E-Mails zu erhalten.
BLOCK – Sender block list – Blocked senders – Blockierte Sender
Wenn Sie von einem bestimmten Sender nie eine E-Mail erhalten möchten, können Sie ihn blockieren. Diese Nachrichten werden unabhängig von der Nachrichtenklassifizierung verworfen.
Verwenden Sie * als Platzhalter, um eine ganze Domäne der obersten Ebene zu blockieren (z. B. für alles von .nl einfach „*.nl“ hinzufügen).
Sie haben die Möglichkeit, nur den „Envelope“ Absender zu checken, die Absenderadresse im „Von“ Header, oder beide. Nachrichten, die mit dem „Envelope“ Sender übereinstimmen, werden abgewiesen, bevor der Nachrichteninhalt empfangen wird und sind daher auch nicht in der Quarantäne vorhanden.
Fügen Sie den Domänennamen einfach ohne „@“ davor hinzu, um alle E-Mail-Adressen einer Domäne zu blockieren (z. B. für alle Sender mit der Adresse „@example.com“ nur „example.com“ hinzufügen).
BLOCK – Recipient block list – Blocked recipients – Blockierte Empfänger
Messages to a blocked recipient will be rejected regardless of the message content.
!!!!! Note that only the „envelope“ recipient is checked, not any address headers, such as „To“ or „CC“. Messages are rejected prior to the message content being received, so are not available in the quarantine. To block all recipients (ie. accept no mail) use * as the local part.
Nachrichten an einen blockierten Empfänger werden unabhängig vom Nachrichteninhalt abgelehnt.
!!!!! Beachten Sie, dass nur der „Envelope“-Empfänger geprüft wird, nicht etwaige Adressheader wie „An“ oder „CC“. Nachrichten werden abgelehnt, bevor der Nachrichteninhalt empfangen wird, und sind daher nicht in der Quarantäne verfügbar. Um alle Empfänger zu blockieren (d. h. keine E-Mails anzunehmen), verwenden Sie * als lokalen Teil.
Filtering Rules: Diagram – abgestimmt von SpamExperts
Filtering criteria: SMTP Header:
Sender Allow list -> no filtering | no virus control at all -> line in log file ->no quarantaine
Recipient Allow list -> no filtering | no virus control at all -> line in log file ->no quarantaine
The Sender Blocklist has a „Filtering criteria: Data“, which is the „Apply to From: Address“ option (which would include the „Apply to both“ option should a received message matches the „From: Address“ instead of the „Envelope Sender“) and the diagram it will follow is below:
Sender Block list -> sender ‚From: Address‘ blocked -> line in log file -> no quarantaine
Recipient Block list -> recipient blocked -> line in log file ->no quarantaine
Filtering criteria: Data:
Incoming filtering allow rules -> no further checks -> mail is delivered ->line a logfile
Incoming filtering block rules -> move mail into quarataine ->line a logfile
Attachement check failed ->move mail into quarantaine ->line a logfile
– Blocked extensions
Messages that have an attachment with any of these extensions will be rejected.
– Disallowed release extensions
Email users will not be allowed to release messages that contain attachments with these extensions
Mail size check failed ->move mail into quaranaine OR reject ->line a logfile
SPAM CHECK through Intelligency Centre – delivery or quarantaine
When message is quarantained – it possible to send a new message to the sender directly ?
When message is quarantained – it possible to send a new message to the sender directly instead of using SMTP Error Codes? For clarification: I was using a product similar to SpamExperts, which used templates for new e-mails sent to Sender FROM: to inform him directy what happended with his message.
Thank you for contacting N-able Support. My name is Jhennie, and I’ll be assisting you with this case. I understand that you would like to know if it’s possible to send a new message directly to the sender instead of using SMTP error codes.
Unfortunately, this option is not available in SpamExperts. However, you may be able to configure it on your mail server.
If a message is quarantined and the quarantine response is set to „Rejected,“ the message will be quarantined, and the sending server will receive a 550 SMTP response code at the end of the transmission. It is then the responsibility of the sending server to generate a Non-Delivery Report (NDR) to notify the sending user with the reason for the quarantined status.
For reference, you can consult this documentation:
https://documentation.n-able.com/spamexperts/userguide/Content/C_Domain%20Level/incoming/manage-quarantine-filter-settings.htm?Highlight=filter%20settings
Add sender to allow list: What ist the real difference in checking Envelope: and From:?
I know what Envelope and From are used for. But why to check and to decide between Envelope, Header and Both when spamers can fake those adresses?
My name is Mylene, and I will be working on this case with you.
I understand that you are having this issue with the Spam Experts application but let me help you with this.
I acknowledged the receipt of your concern about the Sender Allow list and difference between Apply to Envelope Sender and Apply to From: Address.
See the difference below about the Sender Flags:
Apply to Envelope Sender – The SMTP Envelope sender from address only
Apply to From: Address – The MIME message header from address only
Apply to both – both the SMTP Envelope sender from address and the MIME message header from address
Please take note how the Allow list feature works:
Incoming mail received from senders listed in the Allow list will always be allowed, regardless of the message classification. You should only do this when you know that the sender will verify their address and will only ever send legitimate safe content. When email was added on the Allow List, this will now take precedence and always be allowed, regardless of the message classification, hence checking of DKIM / SFP is no longer valid.
References: https://documentation.n-able.com/spamexperts/userguide/email/Content/B_Admin%20Level/allowlist-blocklist/manage-sender-allowlist.htm?Highlight=allowlist
Allow List – Allow list policies identify mail that should always be delivered, without any filtering applied to the messages.
In addition to your concern: “ But why to check and to decide between Envelope, Header and Both when spammers can fake those addresses?“
Most bad-actors try to trick email users via impersonation – pretending to be another person or company. To do this, they use sophisticated techniques to craft email attacks. You can stop this by visiting the
Advanced Block list Filtering Rule page
and
Advanced Filtering Rule Examples
and Quick Reference page for full details.
https://documentation.n-able.com/spamexperts/userguide/email/Content/faqs/impersonation-examples.htm?Highlight=CEO
https://documentation.n-able.com/spamexperts/userguide/email/Content/B_Admin%20Level/incoming-filtering/add-incoming-blocklist-filtering-rule.htm#Advanced-block-list