Sophos UTM: Einreichen von falsch positiven oder falsch negativen Virus / Spam E-Mails

Diese Anleitung gilt für folgende Sophos Produkte und Versionen:

Sophos UTM v9.0 – SG 105, SG 115, SG 125, SG 135, SG 210, SG 230, SG 310, SG 330, SG 430, SG 450, SG 550, SG 650

Anleitung

In seltenen Fällen meldet die E-Mail-Schutz-Engine von Sophos UTM möglicherweise Spam-E-Mails oder infizierte E-Mails, die falsch sind. Auf der anderen Seite können Spam-E-Mails oder Virus-infizierte E-Mails gelegentlich an den Empfänger übermittelt werden. Um solche Fälle zu minimieren, sollten sowohl falsch positive als auch falsch negative Proben bei Sophos eingereicht werden.

Sammeln und reichen Sie Ihre Proben für falsch positive Spam- / Virus-E-Mails ein. Um Beispiele von Fehlalarmen erfassen zu können, sollte die Konfiguration des E-Mail-Schutzes wie folgt geändert werden:

Falsch gemeldete Viren

  1. Melden Sie sich beim Webadmin an und navigieren Sie zu E-Mail protection > SMTP > Antivirus
  2.  Deaktivieren Sie Reject malware during SMTP transaction, und klicken Sie auf Apply

 KB115670_1

Falsch gemeldeter Spam

  1. Melden Sie sich beim Webadmin an und navigieren Sie zu E-Mail protection > SMTP > Antispam
  2. Schalten Sie die SMTP-Zeit auf "OFF“ und klicken Sie auf Apply.

 KB115670_2

Standardmäßig wird die Aktion für Spam- und Virus-E-Mails in die Quarantäne verschoben und Proben können gesammelt werden. Stellen Sie sicher, dass die Proben nicht älter als 3 Tage sind.

Sammeln und reichen Sie Ihre Proben für falsch positive Spam- / Virus-E-Mails ein

1. Melden Sie sich beim Webadmin an und navigieren Sie E-Mail protection > Mail Manager
2. Klicken Sie auf Open Mail Manager in New Window
3. Überprüfen Sie 3 der falsch positiven E-Mails in der SMTP-Quarantäne und wählen Sie Download im Dropdown-Menü unten

KB115670_3

4. Komprimieren Sie die Samples in eine passwortgeschützte ZIP-Datei
5. Wechseln Sie zurück zum Webadmin und navigieren Sie je nach Zeitpunkt des Auftretens zu Protokollierung und Berichterstellung> Protokolldateien anzeigen> Heutige Protokolldateien oder archiviert Protokolldateien.

Hinweis: Wir benötigen die Logdatei, die das Eintreffen der eingereichten E-Mail-Samples anzeigt

6. Laden Sie die SMTP-Proxy-Protokolldatei als Archiv herunter
7. Öffnen eines Supporttickets über myUTM, fügen Sie die Beispiele und das SMTP-Protokoll hinzu, fügen Sie Ihrer Nachricht die folgenden Informationen hinzu:

Für Viren:
Ist Single (welche AV-Engine) oder Dual Scan aktiviert?

Für Spam:
Welcher Mail-Server wird verwendet?
Welcher Mail-Client wird verwendet?

8. Reichen Sie Ihr Ticket ein

Sammeln und reichen Sie Ihre Proben für falsch negative Spam / Virus E-Mails ein

1. Falsch negative E-Mails wurden am wahrscheinlichsten an den Empfänger geliefert; Daher bleiben die E-Mail-Schutzeinstellungen für die Sammlung unverändert. Verwenden Sie den E-Mail-Client, um die unerkannten E-Mails (idealerweise drei) in das * .eml-Format zu exportieren.

Hinweis: Eine Schritt-für-Schritt-Anleitung zum Exportieren von E-Mails mit Ihrem E-Mail-Client finden Sie in KB 23113. Achten Sie jedoch darauf, die E-Mails nur als * .eml-Dateien zu exportieren!

2. Komprimieren Sie die Samples in eine passwortgeschützte ZIP-Datei
Hinweis: Dies dient dazu, ein falsches positives Ergebnis auf unserer Seite zu vermeiden, das die Auslieferung Ihres Anhangs blockiert
3. Melden Sie sich am Webadmin an und navigieren Sie je nach Zeitpunkt des Auftretens zu

Protokollierung und Berichterstellung> Protokolldateien anzeigen> Heutige Protokolldateien oder archivierte Protokolldateien.

Hinweis: Wir benötigen die Logdatei, die das Eintreffen der eingereichten E-Mail-Samples anzeigt

4. Laden Sie die SMTP-Proxy-Protokolldatei als Archiv herunter
5. Öffnen Sie ein Supportticket über myUTM
6. Hängen Sie die Beispiele und das SMTP-Protokoll an
7. Öffnen eines Supporttickets über myUTM, fügen Sie die Beispiele und das SMTP-Protokoll hinzu, fügen Sie Ihrer Nachricht die folgenden Informationen hinzu:

Für Viren:
Ist Single (welche AV-Engine) oder Dual Scan aktiviert?

Für Spam:
Welcher Mail-Server wird verwendet?
Welcher Mail-Client wird verwendet?

8.  Reichen Sie Ihr Ticket ein.

 

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.