This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Quarantäne - Info eigenhender externe Mails

Hallo zusammen,

nur mal ne generelle Frage… bei uns wurde nach zwei Crypto-Angriffen auch das SOPHOS eingeführt. Generell ist es bei uns so, dass jegliche von extern eingehenden Mails mit Anhang, oder auch schon mit Bilddatei, in der Quarantäne landen. Der Quarantänereport an den Enduser erfolgt zweimal täglich.

Lt. IT ist dies nur zweimal täglich möglich. Stimmt das?

In der Praxis ist so ne Einstellung nicht gerade optimal bzw. da kommt man sich ja selber schon doof vor, wenn man ne Mail erst Stunden später bemerkt. An den Vertrieb will ich erst gar nicht denkn, Kundenservice stellt sich in meinen Augen auf jeden Fall anders dar. Zusätzlich funktioniert ja auch kein Abwesendheitsassistent.

Mich würd jetzt einfach mal interessieren, ob es wirklich nicht möglich ist, diese Quarantäneinfo mehr als zweimal täglich zu verschicken? Oder gibt’s da vielleicht die Möglichkeit einer Infomail?

Schon vorab vielen Dank für Eure Erfahrungen.

Gruß Bernd



This thread was automatically locked due to age.
Parents
  • Moin,

    die Frage ist schon etwas älter - aber als kurze Erwähnung meine Lösung:

    Ich überwache per cronjob den Quarantäne-Ordner auf der UTM. Für jede Mail die da reinläuft werden exakt zwei Objekte angelegt.

    Befinden sich in dem Ordner (inkl. der Unterordner) also 2 oder mehr Dateien bekomme ich (nicht der echte Empfänger) eine E-Mail. Je nachdem wie viele Dateien sagt es mir auch wie viele E-Mals aktuell drin liegen (denn die Anzahl der Dateien ändert sich ja schematisch).

    Der Cron läuft alle 30 Minuten, und damit bekomme ich was ich brauche - eine sehr zeitnahe Meldung.

    Einziger Nachteil: Wenn spät abends/nachts eine Mail einläuft habe ich am nächsten Morgen eben 6-20 Mails mit dem gleichen Betreff "x Mails in der Quarantäne, bitte prüfen...", aber damit kann ich besser leben als mit einem "oh ich hab vergessen nachzusehen, sorry".

    Denn der originäre Quarantäne-Bericht ist meiner Meinung nach eher unsinnig.

    Das Script ließe sich sicher auch "aufwerten", denn die Empfänger E-Mail Adresse kann aus den Dateien ausgelesen werden. Leider geht es nicht ohne direkte Konfiguration auf der UTM - Void Warranty...

  • Hallo zusammen,

    wollte mich auch noch einmal melden und vorallem für die vielen hilfreichen Antworten bedanken. Seit gestern gibt's jetzt da auch bei uns eine Lösung.

    Generell ist ja noch immer der Stand, das jegliche Mail mit Dateianhang bei uns erstmal in der Quarantäne landet. Warum ist mir noch immer ein Rätsel, aber die Kollegen der IT sind der Meinung, dass dann besser darauf geachtet wird, was wirklich danach übers Portal freigegeben wird. Das wiederrum kann ja bei uns jeder selbst.

    Alter Stand war ja, dass die Quarantänebenachrichtigung nur zweimal am Tag möglich sei. Dieses Intervall wurde jetzt bei uns auf stündlich angepaßt, mit Ausnahme vom Wochenende. Angeblich kann man das dann einstellen wie man mag, bei uns halt das stündliche Intervall.

    Seitens der IT hieß es nur... war wohl endlich der richtige SOPHOS-Mitarbeiter dran, die Funktion sei zwar nicht offiziell supportet und beschrieben, aber dennoch im Programm vorhanden und einstellbar. Sollten hier Details interessieren muss ich mich da selber erst schlau machen.

    Schöne Grüße Bernd

  • Hallo Bernd,

    an den Details wäre ich sehr interessiert... würde meinen Usern auch gerne stündlich die Quarantäne-Mail liefern..

    ggf. frag mal eure IT die wissen sicher noch den Workaround den sie eingestellt haben... (Schätze per SSH und nicht über die GUI).

     

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

Reply
  • Hallo Bernd,

    an den Details wäre ich sehr interessiert... würde meinen Usern auch gerne stündlich die Quarantäne-Mail liefern..

    ggf. frag mal eure IT die wissen sicher noch den Workaround den sie eingestellt haben... (Schätze per SSH und nicht über die GUI).

     

    greets

    zaphod
    ___________________________________________

    Home: Zotac CI321 (8GB RAM / 120GB SSD)  with latest Sophos UTM
    Work: 2 SG430 Cluster / many other models like SG105/SG115/SG135/SG135w/...

Children
  • Hallo nochmal,

    habe mal eben den IT-Kollegen gefragt... hier der relevante Teil für das Einrichten eines anderen Intervalls der Quaratänereports. Ich hoffe kommt damit klar.

    Grüße Bernd

     

    wie eben besprochen. Ist aber von Sophos nicht supported!!!

    […]
    Mehr als 2 Quarantäneberichte versenden

    Es gibt im confd zwar nur zwei Werte dazu (digest send_time_one und send_time_two), aber man kann mithilfe eines cronjobs diese Werte regelmäßig verändern und so das gewünschte Ergebnis erreichen.

    Man erstellt beispielsweise die Datei /etc/crontab.mehrspamreports und fügt folgende Zeile ein:
    05 18 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 19:00:00
    Es wird hier jeden Tag um 18:05 Uhr die Uhrzeit zum Versand des Reports auf 19:00 Uhr gesetzt.
    Nach dem Erstellen der Datei muss die Middleware mit /etc/init.d/mdw restart neu gestartet werden, um den Job auch zu übernehmen. Bitte dran denken, dass dabei alle Verbindungen wegfliegen. :)
    Sollte update sicher sein!?!

    Ein Beispiel:

    alle 2 Stunden zwischen 07:00 und 17:00

    Im Webadmin einstellen auf 07:00 und 09:00

    30 09 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 11:00:00
    30 09 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 13:00:00
    30 13 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 15:00:00
    30 13 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 17:00:00
    30 17 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 07:00:00
    30 17 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 09:00:00

    ---------------------------

    Digest stündlich:

    59 23 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 00:00:00
    59 23 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 01:00:00
    59 01 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 02:00:00
    59 01 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 03:00:00
    59 03 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 04:00:00
    59 03 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 05:00:00
    59 05 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 06:00:00
    59 05 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 07:00:00
    59 07 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 08:00:00
    59 07 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 09:00:00
    59 09 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 10:00:00
    59 09 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 11:00:00
    59 11 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 12:00:00
    59 11 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 13:00:00
    59 13 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 14:00:00
    59 13 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 15:00:00
    59 15 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 16:00:00
    59 15 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 17:00:00
    59 17 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 18:00:00
    59 17 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 19:00:00
    59 19 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 20:00:00
    59 19 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 21:00:00
    59 21 * * * root /usr/local/bin/confd-client.plx set digest send_time_one 22:00:00
    59 21 * * * root /usr/local/bin/confd-client.plx set digest send_time_two 23:00:00
    […]

  • Brilliant!  Simply Brilliant!

    Rather than create multiple extra crontab* files, I prefer to keep all additional cron jobs in /etc/crontab-static .  Then, in WebAdmin, in 'Management >> Up2Date' change 'Firmware Download Interval' to "Manual," [Apply], change it back to its original value and [Apply] again. This step incorporates crontab-static into crontab without the potential disruption caused by restarting middleware.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo zusammen,

    für alle, die am Wochenende keine Mails haben wollen, hier ein kleiner "Trick":

    Wir haben intern beschlossen, Mails nur von Montag bis Freitag zwischen 7 Uhr und 18 Uhr versenden zu lassen. 

    59 00 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_one 07:00:00
    59 00 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_two 08:00:00
    59 08 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_one 09:00:00
    59 08 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_two 10:00:00
    59 10 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_one 11:00:00
    59 10 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_two 12:00:00
    59 12 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_one 13:00:00
    59 12 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_two 14:00:00
    59 14 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_one 15:00:00
    59 14 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_two 16:00:00
    59 16 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_one 17:00:00
    59 16 * * 1-5 root /usr/local/bin/confd-client.plx set digest send_time_two 18:00:00
     
    59 04 * * 6 root /usr/local/bin/confd-client.plx set digest send_time_one 03:00:00
    59 04 * * 6 root /usr/local/bin/confd-client.plx set digest send_time_two 04:00:00
     
    59 02 * * 0 root /usr/local/bin/confd-client.plx set digest send_time_one 01:00:00
    59 02 * * 0 root /usr/local/bin/confd-client.plx set digest send_time_two 02:00:00
     
    Der "Trick" dabei ist, dass am Wochenende die Uhrzeiten für den Mail-Versand auf eine Uhrzeit in der Vergangenheit eingestellt werden. Am Montag um 0:59 Uhr werden dann die ersten Zeiten für 7 und 8 Uhr eingestellt.

    Viele Grüße / Best Regards,
    Manu

    - CISO -
    - Sophos SCA & Partner-