Feature Request: SPAM und INFECTED-Meldungen im System check optional

[Ebi]

Hallo,

ich hätte hier mal noch einen kleinen aber evtl. recht nützlichen Wunsch.

Da ich die Überwachung des Intranators hauptsächlich über das System Check-Protokoll mache, welches jeden morgen per Mail zugeschickt wird, ist es für mich immens wichtig dort klar und schnell einen Überblick zu erhalten, ob es Angriffsversuche oder Probleme gab. Leider werden hier auch SPAM und INFECTED-Meldungen bei entsprechenden Mails mit generiert, was die Lesbarkeit nahezu zerstört. Bei Spam und Virus-behafteten Mails wird hier eine Kopie per Mail an den Postmaster weitergeleitet, welcher die entsprechende Überwachung vornimmt - die Meldungen sind also quasi "doppelt".

Deswegen wäre es sehr schön, wenn diese Meldungen ihren Weg optional ins System Check-Protokoll finden würden. Dürfte ja eigentlich technisch gar kein Problem sein, oder?

Liebe Grüße,
Jens Eberhardt

[Thomas Jarosch]

Hallo Herr Eberhardt,

keine schlechte Idee, ich nehme es in die Wunschliste auf.

Herzliche Grüsse,
Thomas Jarosch

[Ebi]

Hallihallo!

Wollt mich mal erkundigen, wie weit der Wunsch auf der Wunschliste schon gewachsen ist.

Bin nämlich gerade mal wieder ziemlich frustriert, weil ich die System-Check-Reports der letzten 2 Wochen durchgehen muß und diese zu 95% aus SPAM- und INFECTED-Meldungen bestehen. Dabei übersieht man leider schnell wichtige Meldungen...

So denn, noch einen wunderbaren Tag wünschend,
Jens Eberhardt

[Gerd von Egidy]

Hallo,

einige Kunden haben sich die INFECTED-Meldungen explizit gewünscht

Bekommen Sie Meldungen über Spam oder sind das Meldungen über "Bad Header"? Spam-Meldungen sollten nicht in den Reports auftauchen, viel Spam verwendet aber ungültige Header. Das sollte schon in den Reports gebracht werden, da evtl. jemand damit versuchen könnte den Intranator anzugreifen. Nicht das das so einfach wäre, aber wenn es da gehäufte Versuche mit ähnlichen Mustern gibt, sollte man das auf jeden Fall bemerken.

Herzliche Grüße,

v. Egidy

[Ebi]

Hallo,

deswegen war die Idee ja, dass sich diese Meldungen optional deaktivieren lassen. Bei uns gibt es z.B. eine Kopie der Infected-Meldung ins Admin-Postfach. Eine zusätzliche Meldung im System-Check is daher doppelt. Andere Kunden haben dies natürlich dann wieder nur im System-Check.

Genauso mit dem Spam... es sind übrigens echte Spam-Meldungen a la

Sep 7 06:48:49 intranator amavis[23068]: (23068-08) Blocked SPAM, [76.192.64.138] <infoletter@doramail.com> -> <fo@aviso-gmbh.de>, quarantine: spam@aviso-gmbh.de, Message-ID: <281870.46311.188916@absentee-haj483.k.ro>, mail_id: vt2raWx2G6rq, Hits: 29.469, 1624 ms

Vielleicht wünscht sich ja einer, diese Meldungen im System-Check zu sammeln. Bei uns werden sie jedoch in einen eigenen Spam-Folder sortiert, wo sie dann periodisch auf Falschmeldungen hin untersucht / gelöscht werden.

Könnte mir vorstellen, dass dies ganz gängige Anwendungsbeispiele sind, oder?

Liebe Grüße aus dem sonnigen Greiz,
Jens Eberhardt

[Gerd von Egidy]

Hallo,

echte Spam-Meldungen wie Sie sie gepostet haben sollten gar nicht im Report auftauchen - die interessieren niemanden. Da scheint der Filter noch nicht optimal zu arbeiten. Ich habe das mal notiert und wir werden uns das vor dem nächsten Release mal anschauen.

Herzliche Grüße,

v. Egidy

[Ebi]

Hallihallo,

wollte nur mal fix mitteilen, dass auch mit der neuesten Version immer noch echte SPAM-Meldungen im System-Check-Report auftauchen.

Liebe Grüße,
Jens Eberhardt

[Thomas Jarosch]

Hallo Herr Eberhardt,

Version 4.6.9 war ein Sicherheitsupdate ohne neue Funktionen. Wir arbeiten momentan an Version 5, die Sicherheit der Systeme hat jedoch Priorität.

Herzliche Grüsse,
Thomas Jarosch

[Ebi]

Achso... alles klar. So soll es auch sein!

Hatte da Herrn von Egidy missverstanden.

Liebe Grüße,
Jens Eberhardt

[Ebi]

Einen schönen guten Morgen!

Die SPAM-Meldungen sind seit dem neuesten Update verschwunden und ich habe zum ersten mal weniger als 30min mit dem System-Check-Protokoll zugebracht. Leider währte die Freude nicht sehr lange, denn nach der hier (http://forum.intra2net.com/997-ndrs-...ge-server.html) beschriebenen Umkonfiguration der Domain-Weiterleitung habe ich nun bei allen SPAM-Nachrichten, welche an einen unbekannten Empfänger gehen eine

Dec 2 04:42:05 intranator postfix/smtpd[28181]: NOQUEUE: reject: RCPT from inbound-mx.de[217.114.73.81]: 450 <falsche@e-mail-adresse.de>: Recipient address rejected: undeliverable address: host exchangeserver.intranatordomain.lan[intranatorip] said: 550 5.1.1 User unknown (in reply to RCPT TO command); from=<kolar@saeta.org.au> to=<falsche@e-mail-adresse.de> proto=ESMTP helo=<inbound-mx.de>

Meldung im Security Violations-Protokoll des System-Checks... leider in noch größerer Anzahl wie vorher die Spam-Meldungen (da waren die Empfänger zusammengefasst in eine Meldung, jetzt gibts eine Meldung pro Empfänger). Und so ist die Größe des System Checks von handlichen 12 A4-Seiten pro Tag (ohne eine Spam- oder User Unknown-Meldung) auf über 376 A4-Seiten pro Tag explodiert. Arghh...

Gibt es hier eine Idee / Möglichkeit da was dran zu drehen? Hab auch so schon genug graue Haare auf dem Kopf.

Liebe Grüße,
Jens Eberhardt

[Thomas Jarosch]

Hallo Herr Eberhardt,

früher hatte die "reject" Meldung im Log durchaus Ihre Berechtigung.
Durch die neue Adressüberprüfung sowie dem momentan extrem hohen Spam-Volumen ist sie leider unbrauchbar geworden.
Wir werden die Meldung in einem kommenden Update ausblenden.

Um Ihren Systemreport wieder in den Griff zu bekommen
werden wir Ihnen einen Hotfix zur Verfügung stellen.

Herzliche Grüsse,
Thomas Jarosch