SPAM Filter und Sandstorm

Hallo,

wir haben auch seit längerem ab und zu Emails, die trotz "Release and Report as False Positive" jedes mal aufs neue in der Quarantäne landen.

Als Reason wird: "SPAM" angegeben.

Nach Update auf 9.705-7 ist mir das Verhalten nicht explizit vermehrt aufgefallen.

Du kannst dir aber die Metadaten der in der Quarantäne befindlichen Emails anzeigen lassen.

Evtl. siehst du dort mehr.

--> Dropdownfeld beim betroffenen Mail-Item wählen --> Option: "View"

und dann im sich öffnenden Popupfenster oben: "Raw View" wählen.

Bei mir ist es so das seit dem Update der Firmware, Mails plötzlich in der Quarantäne landen die seit Jahren nie dort gelandet sind. Es kann ja möglich sein das etwas am Algorithmus geändert wurde, das dies passiert. Das an sich wäre ja auch nicht weiter schlimm, aber wenn sie als ok klassiert werden sollte das dann ja auch so bleiben, sonst macht das Ganze ja keinen Sinn.

Danke für den Input, ich werde mir die Metadaten mal anschauen. 

du kannst dir eventuell auch mal das SMTP Logfile von der UTM ansehen (mit dem Datum des Tages, an dem die betroffenen Emails in der Quarantäne gelandet sind). 

/var/log/smtp 

Normal müssten da auch Details erkenntlich sein. (der Reason / Grund sollte da genannt werden)

Oder über Logging & reporting via WebAdmin. --> SMTP Proxy Logs

reason="as"

Aber ich guck mal alles durch, danke für die Hinweise ;-) 

AS = Anti Spam 

Habe das gleiche Problem, die UTM verweist immer auf Cyren als Quelle (ctasd reports 'Confirmed'). Daher wäre interessant zu wissen, ob der Wechsel auf SASI (9.706) dieses Problem behebt?
Ich frage mich auch nach dem Grund des Wechsels, warum nimmt Sophos in der UTM noch solche Änderungen vor? 
Ich kann mir auch nicht vorstellen, dass die Ergebnisse von Cyren derart schlecht sind. Möglich, dass durch das Update die Verarbeitung in der UTM gelitten hat.

Wir hatten das Problem letztes Jahr desöftern. auch mit "CTASD reports 'Confirmed'") 
Dieses Verhalten trat nach einem kleineren Update auf (weiß die Version aber nicht mehr genau).

Damals hat mir folgende Prozedur weitergeholfen:

www.sult.eu/.../

Für UTM:

/var/mdw/scripts/ctasd_inbound stop

/var/mdw/scripts/ctasd_outbound stop

mv /var/cache/ctasd /var/cache/ctasd.old

/var/mdw/scripts/ctasd_inbound start

/var/mdw/scripts/ctasd_outbound start

Danke für den Vorschlag. Hat leider nicht viel gebracht, es werden noch immer relativ viele false positive als confirmed erzeugt. Als nächstes werde ich wohl den Schritt auf 9.706 (SASI) wagen.

Hmm ok... berichte mal deine Erfahrungen nach dem Schritt auf 9.706 :-) 

So, 9.706 läuft seit einigen Tagen produktiv. Bis jetzt alles ok, was man bei Sophos selten sagt ;-).
Der SPAM Filter funktioniert ähnlich dem vorherigen Zustand ganz gut. Wir haben nicht ständig mit false positives wie vorher zu kämpfen. Funktionierte für uns auch Jahre zuverlässig, sogar so gut, dass wir den confirmed SPAM auf dem Transportweg abgewiesen hatten, bis die Probleme zunahmen.
Perspektivisch wäre mir allerdings eine dedizierte Lösung lieber, die Einschränkungen und mangelnde Weiterentwicklung auf der UTM machen (zumindest in dem Bereich) keinen Spaß. Weiterhin wird das Bundle auch preismäßig nicht mehr so attraktiv, wenn ich die neue Lizenzierung (bin nur Endkunde, kein Partner) ab XGS korrekt verstehe. Denn das MailProtection Modul ist damit immer extra zu lizenzieren. Das treibt einen dann sowieso von dem Produkt weg.