Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 9 subscribers
  • Views 585 views
  • Users 0 members are here
Options
Suggested

Quarantine Digest Problem (Sophos XG)

astiadmin

Hallo Community,

ich habe heute ein Problem mit dem Versand von Quarantine Digest E-Mails festgestellt bzw. eigentlich sogar zwei:

1) Ein User bekam heute einen Digest mit dem Hinweis auf eine Mail, die am 05.Oktober 2023 (!) kam und in der Quarantäne gelandet ist. Laut seiner Aussage war das die erste Mail, die er dazu bekam. Das wäre das erste Problem.

2) Offenbar wird nicht für alle Mails in der Quarantäne ein Digest verschickt. Aufgefallen ist mir das, weil für obigen User noch eine zweite Mail in der Quarantäne liegt, die in dem Digest von heute aber nicht erwähnt wird. Gut, dieser könnte auch schon mal zeitnah verschickt worden sein (die Mail ist vom 14.01.24), es wird ja wohl per Mail nur ein Digest verschickt. Aber aufgrund dieser Beobachtung habe ich mal meine Quarantäne angeschaut (seit 01.01.) und verglichen, was ich an Quarantine Digests bekommen habe. Und siehe da für einige der Mails, die sich für mich in der Quarantäne befinden, habe ich keine Benachrichtigung bekomme. Das habe ich zunächst anhand meines E-Mailarchivs verifiziert, danach auch in den Mail Logs auf der XG.

Hat jemand ähnliche Beobachtungen gemacht oder kann eine Erklärung dafür liefern? Für mich hört sich beides nach einem Fehlverhalten, neudeutsch Bug, an.

Danke für jegliche Rückmeldung und schon mal ein schönes Wochenende,
Daniel



Edited TAGs
[edited by: emmosophos at 8:11 PM (GMT -8) on 8 Mar 2024]
  • 0

    Hallo nochmal,

    also es lässt sich offenbar beides (halbwegs) erklären:

    1) Der User wurde offenbar erst gestern als Empfänger von Quarantine Digests freigeschalten -> ok

    2) Dass keine Benachrichtung für manche Mails rausgeschickt wird, liegt wohl am Grund, warum die Mail in der Quarantäne gelandet ist. Bei den von mir beobachteten Mails ist das eigenlich immer "DKIM verification". Diese Mails tauchen übrigens auch nicht auf, wenn der User im User Portal in seine Quarantäne schaut. So, und an der Stelle verstehe ich Sophos nicht mehr: Wie um alles in der Welt soll ein User jetzt wissen, dass er diese Mails bekommen hat? Er bekommt sie nicht in sein Postfach, nicht in seine Quarantäne und er bekommt auch keine Meldung, dass sie in der Quarantäne gelandet ist. Sollen wir jetzt einen Admin hinsetzen, der jeden anruft und ihm sagt: "Hey, da ist die und die E-Mail in der Quarantäne gelandet. Willst Du die haben?" Nein, ich lasse mich jetzt nicht über all die Probleme und Unschönheiten, die der Umstieg von der SG auf die XG mit sich gebracht haben, aus. Das haben andere zur Genüge getan. Aber ein Kopfschütteln kann ich mir nicht verkneifen.

    Schöne Grüße
    Daniel

  • 0

    Moin,

    2) Dieses Problem kenne ich auch. Haben die Benutzer mehr als eine Mailadresse? Die XG schickt Benachrichtigungen nur an die erste Adresse. Auch schickt sie nur Benachrichtigungen nur zu Mails, die auch zu dieser Adresse passen. Auch angezeigt werden nur die zu dieser Adresse passenden Mails.

    Die Lösung war bei uns, im E-Mail Feld der Benutzer alle Adressen kommasepariert zu hinterlegen. Das ist aber nervig und fehlerträchtig. Wir benutzen das AD Feld extensionAttribute.., das als E-Mail-Adress-Merkmal in der AD Anbindung konfiguriert ist. Diese AD Eigenschaft muss dann allerdings irgendwie befüllt werden.

    Wir benutzen bei uns Vorname.Nachname@... und Nachname.Vorname@..., jetzt werden Quarantänemails für beide Adressen angezeigt und auch die Benachrichtigung versendet, dies allerdings nur an die erste Adresse im E-Mail Feld.

    Gruß Rainer...

    -- 

    Gruß Rainer...

  • 0 in reply to astiadmin

    In Central Email wäre das alles möglich (und einiges mehr).

    Warum wurde bei der Migration von UTM zu SFOS aktiv die Email Protection auf der Firewall erworben und nicht eine Promo Migration auf CEMA stattdessen (Die Email Protection ist eine eigenständige Subscription auf der Firewall und nicht Bestandteil vom Firewall Bundle). 

    __________________________________________________________________________________________________________________

Unfiltered HTML