Vorfälle unter FP2010 für Exchange Server freigeben

Hintergrund

Forefront Protection 2010 für Exchange Server protokolliert einen Vorfall. Dieser wurde aber falsch erkannt und soll zugestellt werden.

Lösung

Eine Lösung gibt es leider nicht – zumindest habe ich diese nicht gefunden. Man kann die protokollierten Vorälle auflisten und auch ggf. löschen. In der Liste selbst werden nur rudimentäre Informationen (Zeit, Grund, Absender, Empfänger, usw) dargestellt, nicht aber der Inhalt. Ich interpretiere dies so, dass die Mails selbst gelöscht werden und diese garnicht mehr zur Verfügung stehen. Als Lösung selbst muss also der Absender der Mail nochmals gebeten werden, seine Mail zuzustellen. Vorab muss zumindes eine der Varianten des nachfolgenden Workarounds umgesetzt werden.

Zusätzlich zum Workaround kann auch der Hersteller des Antispammoduls informiert werden. An dieser stelle darf ich die Windows Hilfe zu Forefront Protection zitieren:

… [Entnommen aus Konfiguration von Inhaltsfilterung]

Berichten von falsch positiven Werten und entgangenem Spam

Informationen zu falsch negativen und positiven Werten dienen dem Hersteller des Antispammoduls zur Verbesserung der Modulleistung.

Senden Sie die E-Mail als RFC 2822-Anlage, um falsch positive oder falsch negative Spam-E-Mails zu übermitteln. Senden Sie keine falsch klassifizierten Nachrichten mithilfe des Befehls Weiterleiten, da dadurch wichtige Headerinformationen verloren gehen und keine gültige Übermittlung stattfindet.

Senden Sie die ursprüngliche E-Mail zu Analysezwecken an folgende Adressen:

  • Für falsch negative Werte: Forefront-spam@submit.cloudmark.com
  • Für falsch positive Werte: Forefront-legit@submit.cloudmark.com

So fügen Sie eine E-Mail-Nachricht als RFC 2822-Anlage an

  1. Erstellen Sie in Microsoft Outlook eine neue E-Mail-Nachricht.
  2. Geben Sie die entsprechende Adresse ein.
  3. Klicken Sie auf die Schaltfläche Element anfügen, wählen Sie die falsch klassifizierten E-Mails aus, und klicken Sie dann auf OK.

Workaround

Anknüpfend an die Logik der Lösung, muss erreicht werden, dass der Absender nicht als „Vorfall“ klassifiziert wird. Dies kann auf mehrere Arten realisieren oder beide Varianten kombinieren.

Variante 1

Der Absender bzw. die Domäne wird auf die sog. Whitelist gesetzt.

-> Richtlinienverwaltung -> Antispam -> Inhaltsfilter, „Listen mit zulässigem Inhalt konfigurieren…“

Variante 2

Alle als SPAM deklarierte Nachrichten werden nicht als Vorfall gewertet, sondern werden in die Quarantäne gestellt. Hierfür muss der SCL Wert auf „SCL 5 bis 9“ gesetzt werden.

-> Richtlinienverwaltung -> Antispam -> Inhaltsfilter -> SCL-Schwellenwerte und -Aktionen

Screenshot FP2010 for Exhange - Antispam
Screenshot aus dem Forefront Protection 2010 for Exchange zur Inhaltsfilterung

 

!Vorsicht bei Variante 2, da vermutlich auch mehr Speicherplatz verbraucht wird. Ich empfehle entsprechen die Quarantäneoption für das automatische löschen zu konfigurieren (Überwachung -> Konfiguration -> Quarantäneopntion, „Elemente unter Quarantäne automatisch löschen“ + Tageswert)

Kommentar verfassen