Hej på er,
I slutet av förra veckan fick vi en felanmälan om att några inkommande epost-meddelande blivit stoppat som spam av eXpurgate motorn. Vi bad per standard rutin att kunden skulle rapportera in det som en Falsk Positiv via kontrollpanelen.
Inrapporterade FPs processas i regel väldigt snabbt av Halon/eXpurgate, och det kan röra sig om minuter innan ändringen slår igenom.
Tips: Ha det som rutin att rapportera in Falska Positiver direkt så undviker ni förhoppningsvis att fler epost felaktigt stoppas. Och misstänker ni att nått är fel med Halon/eXpurgates klassificering, hör av er till oss noc(a)sunet.se. (Uppgifterna för felrapportering står även på förstasidan i kontrollpanelen)
Vi öppnade även ett ärende mot Halon/eXpurgate och efterfrågade om något skett på deras sida. Men vi fick aldrig något svar innan helgen inföll.
Igår såg vi att en annan användare ställt en fråga på SUNET Forum gällande just detta i fredags, så då förstod vi att det var fler svenska domäner/URL:er som drabbats av samma problem. Halon/eXpurgate hade fortfarande inte svarat så jag påminde dem om en förklaring. Och igår kväll kom följande svar från "classify-support”
"
The classification was caused by human error. During a manual review of a suspected spam e-mail on the 14th April at 14:23 CEST an analyst misjudged the email content and classified the domain, that was not known to them, as spam.
We discussed the issue with the analyst responsible and are also working to improve training for our analysts to prevent similar issues in the future.
We are also working to provide better tools for our analysts to increase awareness and prevent misclassifications of well known clean domains like this, especially when the full context is not clear for the analyst in question.
"
Halon/eXpurgate efterfrågar några exempel på de epost-meddelanden som blivit stoppade.
Kontakta gärna oss via noc(a)sunet.se om ni har kvar några kopior på de epost meddelandena som felaktigt klassificerats som spam.
Mvh,
/P
Hej på er,
Om ca en månad så är det SUNET-dagarna i Norrköping
(https://www.sunet.se/om-sunet/aktuellt/evenemang/sunetdagarna-2026)
Jag kommer åka dit och tar gärna en kort avstämning med er som är där kring Mailfilter-ng
Det är bara fånga mig om ni har några idéer, funderingar, ris&ros osv.
Trevlig helg!
/P
Hej alla
Sedan någon vecka tillbaka så har jag avslutat mitt uppdrag som produktägare för Sunetmailfilter.
Jag vill tacka alla för det trevliga och givande samarbete vi alla haft under de många år som jag haft detta uppdrag.
Tillsvidare så tar Fredrik Petai över uppdraget medans man ser över utformningen.
Hoppas vi ses på framtida Sunetdagar men då kommer jag som representant för Örebro Universitet.
Tack för denna tid och med förhoppning och en glad påsk
Tomas Liljebergh före detta Sunet numera Örebro Universitet
Hej,
Vi fick en fråga (från SU) om lite olika funktioner, främst för att underlätta för alla användare att identifiera phishing e-post lite enklare.
Bl.a. att kunna markera ämnesraden med ett prefix (“tagg", t.ex. “[EXTERNAL]”).
Nu finns den funktionen i MSUI-QA (https://msui-qa.sunet.se/) för den som vill testa och ev återkomma med synpunkter.
(Inställningen ligger längst ner under “Inbound protection”)
SUNET Forum: https://forum.sunet.se/content/perma?id=65085
Trevlig Helg!
/P
Hej,
Vi har uppdaterat Mailfilter-ng:s MTA-infra till senaste versionen. Ingen ny funktion har tillkommit, det är bara uppdateringar av olika komponenter och ett gäng fixar.
Vi har även lyckats behålla ClamAV (som vi tidigare sa kommer försvinna för att Halon släpper supporten av den). Halon har inte kvar ClamAV längre, så våra backend-system kör numer clamav-backend som Halon-MTA:erna skickar jobb till.
Trevlig helg!
Hej,
Vi har i dagarna skapat en ny användar-grupp i kontrollpanelen (MSUI) för epost-kunniga & pålitliga användare, sk. “Power-users”.
De användare som blir medlemmar av den här nya gruppen, har möjligheten att hjälpa till och rösta felklassifiserade epost-meddelanden som de mottagit. Dvs. i Kontrollpanelen (MSUI) kan de skicka in:
FPs/Falska Positiver = epost meddelanden som blivit felmakerade som spam
samt
FNs/Falska Negativer = epostspam som passerade mailfilter utan att eXpurgate klassade de som spam
För att de ska kunna använda funktionerna är kravet för rapportera en FP att man klarar att hämta ut MIME-headern eXpurgate-ID, samt för FN (spam) att man klarar av att exportera ut hela epost-meddelandet i .eml-format (för att kunna ladda upp det för analys).
https://forum.sunet.se/content/perma?id=61528
Mvh,
/P
Hej,
Kontrollpanelen har uppgraderats och med det kommer ett förbättrat flöde för att rapportera FN/FP.
Läs mer om det på SUNET Forum:
https://forum.sunet.se/content/perma?id=60407
Mvh,
/P
Hej,
Lite mer loggmeddelanden från kö-hanteraren är nu tillagda till Transaktionsloggen.
Mer info och exempel finns på SUNET Forum:
https://forum.sunet.se/content/perma?id=58887
Mvh,
/P
Hej,
I går em gjorde NOCen en rullning av certifikaten för Mailfilter (STARTTLS)
Tyvärr missades signaturen för TLSA fingerprint att uppdateras i DNS.
NOCen fick dock ett larm om det, men av någon anledning missades det att tas om hand om.
Imorse när jag kontaktades av NOC så deaktiverade vi TLSA och uppdaterade sedan till korrekta fingerprint ca. 9-tiden.
Detta har gjort att epost från M365 har fördröjts, då M365 validerar DNSSEC/TLSA.
gmail.com <http://gmail.com/> & andra epost-leverantörer ser inte ut att ha påverkats (dvs. de validerar inte DNSSEC/TLSA).
NOC:en håller på att utreder varför larmet missats, samt har ökat larmnivån på TLSA-checken till högsta prioritet, så det inte ska kunna missas i framtiden.
Mvh,
/P
