SBS 2011 – Mail landet auf einmal im Outlook Junk – Spam Ordner

Situation: Small Business Server 2011 mit Office 2010 auf den Windows 7 x64 Clients. Trend Micro Worry-Free Business Advanced 8.0 ist auf dem SBS installiert und konfiguriert. Eine Mail, Mails des Absenders wurden schon öfter und ohne Junkmailfilterung empfangen, wurde nun in den Junkmail Ordner von Outlook abgelegt. Die Frage ist nun Warum? Nachfolgend eine grobe Übersicht (für mich) wie ich den Verursacher der Einstufung gefunden habe. Die Mail an sich ist ohne Grafiken und mit ca. 3 Sätzen Text, eigentlich unauffällig…

  1. als erstes mal die Mail im OWA geöffnet
  2. grobe Richtung bestimmen -> wenn der Text:
    “…..Diese Nachricht wurde mithilfe eines anderen Junk-E-Mail-Filters als dem von Outlook als Spam markiert. ……”
    oberhalb der Mail als Information erscheint, dann wurde die Mail nicht von Outlook selbst gefiltert, sondern z.B. vom Exchange oder gar dem Trend Micro
  3. als nächstes den Header, unter der Option Eigenschaften der Mail, aufgerufen – der Auszug:
    X-MS-Exchange-Organization-SCL: 5
    X-MS-Exchange-Organization-PCL: 2
    X-MS-Exchange-Organization-Antispam-Report: DV:3.3.5705.600;SID:SenderIDStatus Pass;OrigIP:XXX.XXX.XXX.XXX
    X-TM-AS-Product-Ver: SMEX-10.5.0.1061-7.500.1017-20774.005
    X-TM-AS-Result: Yes-6.870800-5.000000-31
    X-TM-AS-User-Approved-Sender: No
    X-TM-AS-User-Blocked-Sender: No
    X-MS-Exchange-Organization-AVStamp-Mailbox: SMEXtG}w;1087950;0;This mail has been scanned by Trend Micro Messaging Security Agent;
  4. mh ok Exchange war es dann auch nicht – hier zum nachlesen http://technet.microsoft.com/de-de/library/aa996878%28v=exchg.150%29.aspx wichtig hier:Ergebnis für X-MS-Exchange-Oganization-Antispam-Report:
    DV=Version der Spamdefinitionsdatei 3.3.5705.600
    SID=Sender ID-Stempel basierend auf dem SPF (Sender Policy Framework) und der Info PAS = Sender hat bestanden, alle möglichen Werte:

    Pass Die IP-Adresse und die PRA (Purported Responsible Address) haben die Sender ID-Überprüfung bestanden.
    Neutral Die veröffentlichten Sender ID-Daten sind explizit nicht eindeutig.
    Soft fail Die IP-Adresse für die PRA ist möglicherweise im Nicht-Berechtigungssatz enthalten.
    Fail Die IP-Adresse ist nicht zulässig; die eingehende E-Mail enthält keine PRA, oder die sendende Domäne ist nicht vorhanden.
    None Es sind keine veröffentlichten SPF-Daten (Sender Policy Framework) im DNS des Absenders vorhanden.
    TempError Es liegt ein vorübergehender DNS-Fehler vor, z. B. ein nicht verfügbarer DNS-Server.
    PermError Der DNS-Datensatz ist ungültig, z. B. ein Fehler im Datensatzformat.

  5. bleibt nur noch der Trend Micro Worry-Free Business Advanced der auch zur Spamkontrolle konfiguriert ist, hier ohne zusätzliche externe Quellen oder Filter, also Default von TM zum nachlesen: http://esupport.trendmicro.com/solution/en-us/1056082.aspx
    Ergebnis für X-TM-AS-Result: YES-6.870800-5.000000-31:
    YES = Mail als Spam erkannt
    Score liegt zwischen 6.870800 und des maximal eingestellten Wertes von 5.0, also oberhalb der Schwell, somit gleich SPAM
    Somit hat der TM über die eigenen Richtlinien die Mail als Junkmail erkannt

Da dies der erste Fall von diesem Absender war, wird dies beobachtet, falls es nun häufiger auftritt, könnte der Absender in die Whitelist aufgenommen werden.

Hier noch eine Info wie die Mails auf dem Exchange 2010 nach Spam und Viren durchsucht werden und die Regeln intern abgearbeitet werden: http://technet.microsoft.com/en-us/library/aa997242.aspx

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.