SSK löscht auch nicht als SPAM identifizierte Mails weg

Probleme, Tipps & Tricks zum SuperSpamKiller Professional

Moderatoren: Ralf, mirko

Benutzeravatar
bertschulze
Beiträge: 104
Registriert: 26.03.2003, 21:34
Kontaktdaten:

Beitrag von bertschulze »

Hallo stvis,

bin gerade eben zur Tür rein, war auf etwas größerer Reise quer durch Deutschland. Tod müde wie ich jetzt bin, aber Mails checken am Abend, das gehört zum Pflichtprogramm.

Ja, ich habe mein Bestes versucht, aber das Problem lag wo anders. Mirko hat\'s Problem entdeckt und dafür ein großes Lob an Mirko. Schön daß es jetzt wieder geht, da freut man sich bestimmt. Wieder ein Sieg über den PC. Viele Grüße
stvis
Beiträge: 36
Registriert: 16.10.2003, 12:30

Beitrag von stvis »

@ Bert

Vielen Dank natürlich auch Dir, dass Du Dir viel Zeit genommen und ne Menge Gedanken um mein Problem gemacht hast!

:)
stvis
Beiträge: 36
Registriert: 16.10.2003, 12:30

Beitrag von stvis »

:dance1: Heul doch, Eierloch!

Nee, habe wohl tatsächlich die Updates verbaselt...
Ist mir eine Lehre!

Na, wenn SSK jetzt wieder \"gesund ist\", kann ich Dir ja endlich etwas mehr :bounce: mit meinen AmP-Problemchen in den Ohren liegen...
:p
Benutzeravatar
mirko
Beiträge: 22970
Registriert: 25.11.2001, 15:14
Wohnort: Leipzig
Kontaktdaten:

Beitrag von mirko »

Naja die DNSBL.ini gibt es über das Online-Update, wenn man das Update nicht annimmt oder gar das Online-Update abgeschaltet hat, dann kann ich leider nichts machen.;(



--
mirko
Benutzeravatar
bertschulze
Beiträge: 104
Registriert: 26.03.2003, 21:34
Kontaktdaten:

Beitrag von bertschulze »

Hallo stvis, freue mich für Dich, daß es jetzt doch nur ein \"kleines\" aber auch sehr feines Problem war. :)
stvis
Beiträge: 36
Registriert: 16.10.2003, 12:30

Beitrag von stvis »

AAAAAAAAHHHHHHH! :itchy:
Ich werd\' wahnsinnig! :roll:

DANKE! DAS WAR DER TIP AUF DEN ICH GEWARTET HATTE!

Dachte ich mir\'s doch, dass da was bei den DNSBL-Abfragen faul ist. Konnte doch wohl nicht wahr sein, dass das alles hervorragend klappt für Monate und auf einmal gehts in die Hose...

Werde mir morgen auf alle Fälle gehörig einen auf dein Wohl :drink: !!!

Gruß
Thomas
Benutzeravatar
mirko
Beiträge: 22970
Registriert: 25.11.2001, 15:14
Wohnort: Leipzig
Kontaktdaten:

Beitrag von mirko »

Hallo stvis,

hast du mal die DNSBL.ini gegen die neue getauscht? Da war nämlich ein Server drin, der nicht mehr existiert aber bei jedem Zugriff \"Ist Spam\" zurückgibt.


--
mirko
stvis
Beiträge: 36
Registriert: 16.10.2003, 12:30

Beitrag von stvis »

Hi Bert, habe ähnliches Zeitproblem, werde aber heute abend gerne nochmal mit Dir ausführlicher \"sprechen\".
In aller Kürze nur so viel:

\"Du schreibst, es läuft über den SSK-Proxy, wobei ich das nicht ganz verstehe, weil SSK doch meines Wissens kein Proxy ist. SSK fungiert doch höchstens als POP3-Server.\"

- Nö. SSK beinhaltet keinen eigenen POP3 Server (das wäre schön), sondern fungiert als Proxy, d.h. SSK \"filtert\" während Du die Mails beim Provider abholst (z.B. in OE) nach SPAM.
Bei der Standardanwendung von SSK hängt SSK eigentlich nur im Datenstrom zwischen Webserver des Providers und Deinem Emailclienten. (netterweise speichert SSK ganz nebenbei den Inhalt der abgerufenen (respektive durchgeleiteten) Nachrichten im Journal, was aber nichts mit einem POP3-Server gemein hat).

Richtig, das eigentliche löschen der Mails erledigt natürlich nicht der Proxy, sondern die SSK-Software bei Ãœberwachung eines dafür ausgewählten Postfach.

Liegt dieses ausgewählte Postfach \"vor\" dem Proxy, (wie bei Standardanwendung) bekommt der Proxy (und somit das Journal) hieraus gelöschte Mails erst gar nicht zu Gesicht, kann sie also auch nicht protokollieren.
Liegt dieses Postfach \"hinter\" dem Proxy, protokolliert der Proxy erst alle Mails, bevor irgendetwas aus dem (hinter ihm liegendem) Postfach gelöscht wird.

Die Mails wandern also vom 1&1 POP3-Postfach über den Proxy komplett ins POP3-Postfach vom Hamster. Dieses Postfach wird dann von SSK überwacht (mit löschen etc.), dann holt Jana (als vollwertiger IMAP-Server, nicht als Gateway oder so...) die Mails aus dem Hamster-Postfach (welches ja jetzt um SPAM&Co. erleichtert sein sollte) ab und stellt sie den Clienten zur Verfügung.

Ist eigentlich nicht wirklich kompliziert, nur auf den ersten Blick...
Im Grunde (das ist ja auch ein halbes Jahr im Praxistest ausreichend getestet) funktioniert das auch ohne Probleme.
Mein Problem ist also weniger die Konfiguration, als vielmehr die Tatsache, dass seit etwa 14 Tagen der \"Wurm\" drin ist...

Gruß
Thomas
Benutzeravatar
bertschulze
Beiträge: 104
Registriert: 26.03.2003, 21:34
Kontaktdaten:

Beitrag von bertschulze »

so langsam wird\'s, obwohl wir scheinbar immer noch nicht 100prozentig auf der gleichen Welle funken. Leider muß ich jetzt gleich los, und kann erst heute Abend weiter tippen. Aber nichts desto trotz hier noch ein paar Sätze.

OK, Hamster holt die Mails von 1und1, wobei dieses Abholen über den SSK läuft. Du schreibst, es läuft über den SSK-Proxy, wobei ich das nicht ganz verstehe, weil SSK doch meines Wissens kein Proxy ist. SSK fungiert doch höchstens als POP3-Server. Aber vieleicht habe ich das was falsch verstanden oder weiß doch nicht so viel wie ich glaube zu wissen. Wenn Du, was ich vermute, die Mails durch Hamster über den SSK holst, dann greift der SSK auf die Mailbox bei 1und1 zu und gibt per POP3 die Mails an Hamster weiter. Dabei werden die Mails, egal ob Spam oder nicht, im Journal der kürzlich empfangenen Mails bei Dir bis zu 500 Aufrufe mal 15 Minuten zwischengespeichert. Hier ist der erste Wurm drin, da Du von Löschen sprichst. Aber beim Abruf über den SSK-POP3-Server werden die Mails doch eigentlich nicht gelöscht, sondern nur als Spam markiert. Egal. Irgendwie scheint hier der Knackpunkt zu sein, weswegen ich noch nicht ganz hinter die Materie gestiegen bin.

Dann holt Jana die Mails beim Hamster ab, um diese dann selbst über einen IMAP-Gateway an die Clienten zu verteilen, wenn ich das so richtig verstanden habe. Somit kommt alles nach Hamster für eine Diskussion nicht mehr in Frage, da hier SSK seine Arbeit bereits erledigt hat.

Daher denke ich, daß Du den SSK entweder als reinen POP3-Server nutzt, der die Mails als Spam markiert und diese dann im Journal der kürzlich empfangenen Mails zwischenspeichert, oder aber auch nach der Abholung nochmals in Hamster lokal die Mails filter. Zweites glaube ich aber nicht, da Du richtigerweise die Mails von SSK nicht löschen läßt, sondern das Löschen lieber selber anhand der erkannten Mails vornehmen läßt. Oder aber Du machst es so, daß Du die Mail über den SSK abrufst, damit diese im Journal gesichert sind, und dann nochmals bei Hamster die Spammails lokal löschen läßt. Dann wären die Spammails für ein und alle mal weg (außer im Journal noch als \"Backup\" vorhanden) und keiner müßter mehr manuell aktiv werden.

Dann vermute ich aber, daß hier irgendwo das Problem liegt, daß SSK dann zweimal über die gleichen Mails filtert. Der Gedanke leuchtet mir ein, was man dadurch erreicht, nämlich, daß der Anwender Spam nicht erhält, und Du im Journal der kürzlich empfangenen Mails fälschlicher Weise gelöschte Mails wiederherstellen kannst.

Tja, keine schlechte Idee, wobei ich die Doppelprüfung hier als Problem betrachte. Ich lasse eben die Mails durch SSK nur markieren und den Anwender entscheiden. Aber hier hast Du ja nun das Problem, das ein Entscheiden des Anwenders durch Regeln nicht möglich ist, da die IMAP-Funktion des OE beschränkt ist. Klingt recht kompliziert, aber eine Lösung dafür gibt es bestimmt. Was wäre z. B. machbar, wenn man alle Spammails an ein zweites Mailkonto weiterleitet und diese über einen zweiten Account abrufen läßt. Wäre eine simulierte Regel. So, jetzt muß ich aber dringend weg, aber ich schau heute abend nochmal rein. Viele Grüße
stvis
Beiträge: 36
Registriert: 16.10.2003, 12:30

Beitrag von stvis »

... ja Bert, wo isser denn, der Proxy? 8o Du hast recht, das mutet auf den ersten Blick schon an wie ein Hütchenspiel... ;D

Stimmt! Der Hamster holt über den SSK-Proxy alle Mails bei 1und1 ab. Dann chekt SSK das lokale (Hamster-) Postfach und dann holt Jana beim Hamster ab.
Ein nochmaliges checken über den Proxy zwischen Hamster und Jana wäre dann wirklich \"dreifach-gemoppelt\", daher verzichte ich darauf.
Natürlich könnte ich auch theoretisch auf den Hamster verzichten, aber wenn ich nicht zuerst mal alles durch den Proxy laufen lasse (damit es in diesem Zuge im \"Journal der kürzlich empfangenen Mails\" gespeichert wird), dann tauchen zwar von SSK auf dem Server gelöschte Mails im \"Journal der gelöschten Mails\" auf, sind dann aber unwiederuflich weg.

Meine Anwendungsweise lässt es also zu, von SSK gelöschte Mails trotzdem aus dem \"Journal der kürzlich empfangenen Mails\" wieder zu \"retten\", wenn mal was schief läüft. Dies kann aber nur funktionieren, wenn der Proxy vor der SSK-Postfachüberwachung zum Zuge kommt. Daher der \"Zwischenserver\".

Im Grunde hätte Mirko die gesammte Software auch so konzipieren können (Vielleicht tut er das ja irgendwann auch?), dass die Sache im Grunde so läüft.
Das würde heissen, dass man die MAils über den SSK-Proxy beim Provider abholt, diese dann auf einem lokalen, (SSK-eigenem Server) ablegt, dort checkt/löscht und dann der weiteren Verarbeitung bereitstellt. (also der Client holt beim SSK-Server ab)So etwas würde jedenfalls die Sicherheit und Möglichkeiten bieten, die ich mir wünsche.

Der Standard (also erst externe Postfachprüfung durch SSK und dann abholung der verbliebenen Mails per Proxy) erspart zwar eine Menge Traffic, ist mir aber zu unsicher. Es reicht mir einfach nicht, später nur sehen zu können, dass da eine Mail weggelöscht wurde und ich kann daran nichts mehr ändern...
Benutzeravatar
bertschulze
Beiträge: 104
Registriert: 26.03.2003, 21:34
Kontaktdaten:

Beitrag von bertschulze »

Ok, dann bin ich fast vollständig informiert. Aber so richtig klar ist mir eines noch nicht.

Wer holt unter 1. die Mails ab, ich denke Hamster? SSK prüft dann die Mails vom Hamster auf Spam. Wenn SSK die Mails vom Hamster prüft, ohne das diese auf diesen Wege vom SSK abgeholt werden, dann bedeutet dies ja, das SSK an dieser Stelle erkannte Mails tatsächlich physisch löscht, oder? Und dann holt Jana die Mails beim Hamster ab. Wenn Jana die Mails beim Hamster holt, aber nicht beim SSK, welcher selbst wiederum auf Hamster zugreifen könnte, dann bleibt SSK ja zwischen Jana und Hamster außen vor, wenn ich das so richtig verstanden habe. Warum läßt Du nicht ganz einfach die Mails von Jana über SSK von Hamster holen und live prüfen. Ja ok, voller Automatismus über SSK, wenn sich SSK selbst um alles kümmert. Aber wenn dann doch mal ne Mail gelöscht wird, welche hätte eigentlich nicht gelöscht werden dürfen, dann.... . Aber ich glaube, daß ich da was noch nicht ganz verstanden habe, da Du sagst, daß Du die Mails über das Journal der kürzlich empfangenen Mails wieder herstellen kannst. Aber das Journal der kürzlich empfangenen Mails wird ja nur angesprochen, wenn SSK als POP3-Server arbeitet. Wo also steckt SSK als POP3-Server.

Viele Grüße
stvis
Beiträge: 36
Registriert: 16.10.2003, 12:30

Beitrag von stvis »

Hi Bert,

nee, da hast Du schon alles richtig verstanden ;-)
Die Problematik auf der einen Seite ist, das Outlook Express ein recht halbherziger IMAP-Client ist. So kann man z.B. nicht (wie beim POP3 Clienten) Regeln erstellen, um die SPAM-Mails in einen anderen Ordner zu schieben.
Auf der anderen Seite kommen wir um IMAP nicht herum, da mehrere Rechner vorhanden sind, von denen aus das gleiche Postfach bedienbar sein muss.
Ein weiteres Problem ist, dass das ganze in einem Betrieb stattfindet, in dem sowohl MAC\'s alsauch PC\'s vorhanden sind, da ist es ohnehin schwer, entsprechende Clienten für beide Systeme zu finden, die dann auch noch anständig mit dem IMAP-Server klarkommen.
Zu guter Letzt sollte nicht unerwähnt bleiben (bitte, das ist jetzt nicht böse gemeint!!!), dass unser Personal zu 95% aus Frauen besteht. Einige davon sind so fit, dass sie gut mit der Technik klarkommen, anderen sollte man aber möglichst immer \"mundgerechte\" und essfertige Häppchen servieren, weil sonst schnell mal eine Welt zusammenbricht.
Daher war die Zielsetzung, dass für den Endanwender so wenig manuelle Aktionen wie möglich zu tätigen sein sollten.

Die Nutzung von Löschfunktion und SSK-Proxy ist ja auch in der Standard-Anwendung durchaus normal (also Ãœberwachung und Löschen von Mails durch SSK auf dem externen Server, und dann Abholung über den Proxy auf den lokalen Rechner, um auf dem Server noch nicht gelöschte SPAMS auf dem Wege noch zu erkennen und markieren...)

Der tiefere Sinn meiner Konfiguration ist:
1. alle Mails werden erst mal abgeholt (wenn auch auf dem Wege schon mal durch den Proxy auf Spam getestet.
Dies geschieht im Abstand von 15 Minuten.
2. Im Postfach des Hamsters hat SSK ausreichend Zeit, DNSBL-Abfragen und die entsprechenden Aktionen auszuführen, da
3. Jana nur alle 15 Minuten (zeitversetzt zum Hamster) die Mails beim Hamster abholt und sie dann den IMAP-Clienten zur Verfügung stellt.

Der Zwischenspeicher in SSK (also das Journal der kürzlich empfangenen Mails, welches ich quasi als Zwischenspeicher nutze, da Vorhaltezeit von 500 Abrufen) gibt mir etwa 5 Tage lang die Möglichkeit, mit recht einfachen Mitteln fälschlicherweise als SPAM erkannte MAils wieder zu extrahieren und in OE einzufügen...
Benutzeravatar
bertschulze
Beiträge: 104
Registriert: 26.03.2003, 21:34
Kontaktdaten:

Beitrag von bertschulze »

Hallo stvis,

ich habe mir dieses Thema mal durchgelesen, da ich es interessant finde. Dabei habe ich festgestellt, daß Deine Variante meiner relativ ähnlich ist. Damit meine ich, daß Du die Mails auch über den Janaserver abholen lässt. Aber beim Lesen habe ich eines nicht verstanden. Ich verstehe daß so, daß Du tatsächlich auf der einen Seite Mails vom SSK löschen läßt, und auf der anderen Seite Mails über den POP3-Server von SSK live prüfen läßt. Das ergibt aber für mich keinen echten Sinn. Denn wenn Du die Funktionalität vom SSK-POP3-Server schon entdeckt hast, dann nutze sie doch zu 100 % und schalte das Löschen irgendwelcher Mails völlig ab. Ich lasse alle Mails vom Janaserver bei 1&1 abholen und auf dem Weg zu Outlook Express von SSK prüfen. Als Spam markierte Mails wandern dann in OE in einen gesonderten Ordner, in welchem ich dann nochmals manuell ca. einmal pro Woche schaue, ob nicht doch Mails als Spam markiert wurden, die kein Spam sind. Bei dieser Methode geht keine Mail verloren. Klar, bei dieser Methode holt man auch alle Mails bei 1&1 ab, auch wenn sie Schrott sind. Aber da 1&1 (auf Wunsch) Viren löscht, holt man sich eigentlich keine Virenmails auf den Rechner. Und größere verseuchte Anhänge gibt es auch nicht mehr.

Aber korrigiere mich ruhig, wenn ich da etwas falsch verstanden habe.

Viele Grüße
stvis
Beiträge: 36
Registriert: 16.10.2003, 12:30

Beitrag von stvis »

Hallo Mirko,
schön mal wieder direkt vom Chef supportet zu werden :D .
Sorry, dass ich erst jetzt antworte, musste das \"Phänomen\" erst mal etwas langfristiger beobachten...


Habe die Funktionsweise schon verstanden, aber habe mein Problem schlecht geschildert.
Im November hatte ich in diesem Thread schon einmal kurz die etwas ungewöhnliche \"Schaltweise\" von SSK geschildert.
(Kurz gesagt: Hamsterserver holt über SSK-Proxy bei 1und1 mails ab, das lokale Hamsterpostfach wird von SSK überwacht (DSNBL-Abfrage), dann holt Jana als weiterer, lokaler IMAP-Server Mails dort ab (alle 15 min) und stellt diese dann für die Clienten zu Verfügung).
Mails die schon vom Proxy als Spam eingestuft wurden, werden sowieso von SSK weggelöscht, und SSK prüft dann per DNSBL-Abfrage nochmals auf \"neue Verdächtige\" und killt diese dann.

Dies hat bis etwa zum 15.3.04 tadellos funktioniert.

Da momentant ohne Ende dieser blöden, verwurmten Mails ins Haus flattern, ist \"meine Unsinnigkeit\" auf die Idee gekommen einen Spamfilter anzulegen, der Multipart-Messages direkt rausschmeisst. (Genau die Variante der von 1und1 gekillten Viren-Anhänge, die hier zur Zeit diskutiert werden...)
Das war natürlich völliger Schwachsinn, zumal schon die meisten eMails, die mit Outlook Express erstellt wurden Multipart-Messages sind. Somit wurde fast alles gelöscht.
Also habe ich diesen Filter wieder entfernt und im Journal der kürzlich empfangenen Mails ging die Zahl der \"fälschlich\" als Spam erkannten Nachrichten wieder auf das normale Maß zurück.

Aber: Selbst wenn eine Mail beim Abholen vom Provider über den SSK POP-(Filter-)Server richtigerweise als \"kein SPAM\" erkannt wurde, scheint SSK dann bei der Postfach-Ãœberprüfung auf dem lokalen Mailserver die meisten Mails als SPAM zu klassifizieren und löscht diese weg.

Ich habe (wie gesagt) die SFilters.dat komplett gegen eine (aus einem Instalationspackage entnommene) neue ausgetauscht, um einem (möglicherweise von mir verbocktem) Filter den Garaus zu machen. (Oder müsste ich da noch andere Dateien austauschen?)

Wenn ich die Funktionsweise von SSK richtig verstanden habe, bedient sich der SSK POP-(Filter-)Server bei seiner Filterung der eMails der Einträge aus der SFilters.dat.
Alles was über ihn abgerufen wird, erscheint dann im \"Journal der kürzlich empfangenen Mails\".

An diesem Punkt ist auch noch alles o.k.

Später erscheinen dann aber im \"Journal der gelöschten Mails\" auf einmal auch viele Mails, die vorher vom Proxy richtigerweise nicht als SPAM eingestuft wurden. Und da ist der Haken:
Vorstellbar wäre für mich, dass irgendetwas bei der DNSBL-Abfrage anders läüft, wie es vor dem 15.3. lief (sprich: dort scheint es neuerdings ein \"Killerkriterium\" zu geben, das fast alle Mails zu SPAM degradiert...
Möglicherweise hat dies auch mit der etwa zu diesem Zeitpunkt begonnenen Welle von Netsky & Co. zu tun???

Die Idee, auch im \"Journal der gelöschten Mails\" den Spamfilter, der für das killen zuständig war ermitteln zu können (wie hier auch schon gefordert), wäre also auch in meinen Augen gut, um solche Fälle in den Griff zu kriegen...

Bis auf weiteres habe ich es SSK komplett verboten, auch nur noch irgendetwas selbstständig wegzulöschen.
Dies ist natürlich schade, da das manuelle Löschen nicht gerade so toll ist. Zumal das bis vor zwei Wochen alles hervorragend geklappt hatte...
Benutzeravatar
mirko
Beiträge: 22970
Registriert: 25.11.2001, 15:14
Wohnort: Leipzig
Kontaktdaten:

Beitrag von mirko »

Hallo,

da hast du irgendwas falsch verstanden.

unter \"Journal der gelöschten E-Mails\" stehen die E-Mails, die das Programm selbst löscht, also ohne Ãœbertragung ins E-Mail-Programm. Unter \"Journal der kürzlich empfangenen Mails\" stehen die E-Mails, die du MIT dem E-Mail-Programm empfangen hast. Die E-Mails unter \"Journal der kürzlich empfangenen Mails\" werden von SSK Pro also nicht gelöscht, sondern das macht die Regel in deinem E-Mail-Programm, falls du eine Regel #SSKPRO_SPAM# erstellt hast.


--
mirko
Antworten