SPAM Filter und Sandstorm

Hallo,

wir haben auch seit längerem ab und zu Emails, die trotz "Release and Report as False Positive" jedes mal aufs neue in der Quarantäne landen.

Als Reason wird: "SPAM" angegeben.

Nach Update auf 9.705-7 ist mir das Verhalten nicht explizit vermehrt aufgefallen.

Du kannst dir aber die Metadaten der in der Quarantäne befindlichen Emails anzeigen lassen.

Evtl. siehst du dort mehr.

--> Dropdownfeld beim betroffenen Mail-Item wählen --> Option: "View"

und dann im sich öffnenden Popupfenster oben: "Raw View" wählen.

Habe das gleiche Problem, die UTM verweist immer auf Cyren als Quelle (ctasd reports 'Confirmed'). Daher wäre interessant zu wissen, ob der Wechsel auf SASI (9.706) dieses Problem behebt?
Ich frage mich auch nach dem Grund des Wechsels, warum nimmt Sophos in der UTM noch solche Änderungen vor? 
Ich kann mir auch nicht vorstellen, dass die Ergebnisse von Cyren derart schlecht sind. Möglich, dass durch das Update die Verarbeitung in der UTM gelitten hat.

Wir hatten das Problem letztes Jahr desöftern. auch mit "CTASD reports 'Confirmed'") 
Dieses Verhalten trat nach einem kleineren Update auf (weiß die Version aber nicht mehr genau).

Damals hat mir folgende Prozedur weitergeholfen:

www.sult.eu/.../

Für UTM:

/var/mdw/scripts/ctasd_inbound stop

/var/mdw/scripts/ctasd_outbound stop

mv /var/cache/ctasd /var/cache/ctasd.old

/var/mdw/scripts/ctasd_inbound start

/var/mdw/scripts/ctasd_outbound start

Danke für den Vorschlag. Hat leider nicht viel gebracht, es werden noch immer relativ viele false positive als confirmed erzeugt. Als nächstes werde ich wohl den Schritt auf 9.706 (SASI) wagen.

Danke für den Vorschlag. Hat leider nicht viel gebracht, es werden noch immer relativ viele false positive als confirmed erzeugt. Als nächstes werde ich wohl den Schritt auf 9.706 (SASI) wagen.

Hmm ok... berichte mal deine Erfahrungen nach dem Schritt auf 9.706 :-) 

So, 9.706 läuft seit einigen Tagen produktiv. Bis jetzt alles ok, was man bei Sophos selten sagt ;-).
Der SPAM Filter funktioniert ähnlich dem vorherigen Zustand ganz gut. Wir haben nicht ständig mit false positives wie vorher zu kämpfen. Funktionierte für uns auch Jahre zuverlässig, sogar so gut, dass wir den confirmed SPAM auf dem Transportweg abgewiesen hatten, bis die Probleme zunahmen.
Perspektivisch wäre mir allerdings eine dedizierte Lösung lieber, die Einschränkungen und mangelnde Weiterentwicklung auf der UTM machen (zumindest in dem Bereich) keinen Spaß. Weiterhin wird das Bundle auch preismäßig nicht mehr so attraktiv, wenn ich die neue Lizenzierung (bin nur Endkunde, kein Partner) ab XGS korrekt verstehe. Denn das MailProtection Modul ist damit immer extra zu lizenzieren. Das treibt einen dann sowieso von dem Produkt weg.

Bin mittlerweile auch auf die 9.706 umgestiegen, der Erfolg dieser Massnahme hält sich in Grenzen zumal auch Sandstorm immer noch nicht korrekt funktioniert. Mittlerweile ist diesbezüglich ein Supportfall bei Sophos offen, die Responsezeit ist bei Sophos leider enorm lang. Ich habe bis vor ein paar Monaten meinen SMTP Verkehr immer über einen dedizierten Server in der DMZ abgehandelt und hatte mir von der Sophos Lösung so viel erhofft. Das Geld für die Sandstorm Lizenz hätte man aber sparen können, zumindest nach dem Stand heute. Sollte mich der Support dennoch positiv überraschen, werde ich das natürlich hier kundtun.