Vor etwa einem Jahr wurde die >> neue spamBlocker Engine von WatchGuard vorgestellt, welche seit der Fireware v12.5.4 verwendet wird. Die Resonanz war sehr positiv und viele Kunden berichten von deutlich verbesserten Erkennungsraten und weniger Fehlalarmen nach dem Upgrade auf Fireware v12.5.4 oder höher. Aus diesem Grund wird die alte spamBlocker Engine von Cyren am 31. Juli 2021 End-of-Life gehen.
Vor einigen Monaten wurde die >> neue spamBlocker Engine von WatchGuard vorgestellt, welche seit der Fireware v12.5.4 verwendet wird. Die Resonanz war sehr positiv und viele Kunden berichten von deutlich verbesserten Erkennungsraten und weniger Fehlalarmen nach dem Upgrade auf Fireware v12.5.4 oder höher. Aus diesem Grund hat WatchGuard ein End-of-Life Datum für die alte spamBlocker Engine von Cyren bekannt gegeben: 31. Juli 2021
Mit der neuen Fireware v12.5.4 verwendet der spamBlocker jetzt Cloudmark, einen cloud-basierten Dienst von Proofpoint, um die Spam-Erkennung zu verbessern. Aus DSGVO-Sicht ist es wichtig zu wissen, dass der spamBlocker mit diesem Update jetzt die gesamte E-Mail zur Bewertung über TLS an die Cloud sendet und nicht nur einen E-Mail-Hash. Ältere Fireware-Versionen verwenden weiterhin die bisherige Engine.
WatchGuard erläutert in diesem Webinar, wie Sie mit einer WatchGuard Firebox Ihren ein- und ausgehenden E-Mail Traffic besser schützen können. Insbesondere die Funktion SMTP-Proxy mit TLS Deep Inspection wird näher betrachtet, um die WatchGuard Security Services wie Gateway Antivirus und spamBlocker auch bei TLS verschlüsselten Übertragungen nutzen zu können.
Der spamBlocker erzeugt bei Fireware XTM 11.2.x derzeit einen nicht RFC-konformen SMTP-Fehler “571 Delivery not authorized, message refused”, wenn eine E-Mail vom SMTP-Proxy in die Quarantäne Station verschoben wird. Korrekt wäre ein “200 OK”, da die Mail ja in Wahrheit angenommen worden ist. Dieser Fall wird jedoch in der Praxis nur selten auftreten, da legitime E-Mails in der Regel nicht als “Bulk” oder “Confirmed Spam” eingestuft und daher ggfs. in die Quarantäne Station verschoben werden. Dieses Verhalten wurde von WatchGuard als Bug bestätigt. Mit einer Korrektur ist in einer der nächsten Releases zu rechnen.
Einen kuriosen Support-Fall durfte ich gestern lösen: seit dem Update auf WatchGuard Fireware XTM 11.2.3 lief der spamBlocker in einem X1250e Active/Passive HA Cluster nicht mehr. Alle Spams kamen ungefiltert durch, im Traffic Monitor stand jedes Mal ProxyAllow: SMTP Message classification is unknown because an error occurred while classifying.
Die Analyse brachte jedoch ein ganz anderes Problem ans Tageslicht: der Status Report des Firebox System Manager vermeldete, dass das externe Interface (eth0) des zweiten Cluster-Knotens keinen Ethernet-Link hatte. Nach Austausch des Patchkabels war der Link wieder da. Nach einem darauf folgenden Failover auf den zweiten Cluster-Knoten lief der spamBlocker wieder.Nach einem erneuten Failover/Failback auf den zuvor “alleine” aktiven Clusterknoten lief spamBlocker wieder nicht. Erst nach einem Reboot des ersten Clusterknoten arbeitete spamBlocker wieder korrekt auf beiden Cluster-Knoten.
Mir ist in zwei Cluster-Installationen ein merkwürdiges Verhalten bei den Updates der GAV Signaturen aufgefallen. Verbindet man sich über den Firebox System Manager mit der Cluster-IP, wird bei Subscription Services > Gateway Antivirus als Installed version eine kleinere Zahl angezeigt als bei Version available – es steht also eine aktuellere Version bereit. Wenn man über Klick auf Update ein manuelles Update auslöst, läuft dies auch erfolgreich durch und bei Installed version taucht KURZZEITIG die gleiche Zahl auf wie bei Version available. Nach einigen Sekunden bzw. nach dem nächsten Refresh steht dort jedoch wieder die ursprüngliche, niedrigere Zahl. Ein Klick auf History zeigt jedoch, dass das Update korrekt durchgelaufen ist.
Verbindet man sich nun mit der Management IP der aktiven Box (master), wird dort auch korrekt die höhere Versionsnummer angezeigt. Verbindet man sich mit der Management-IP der Standby-Box (backup master), wird die niedrigere Versionsnummer angezeigt. Offenbar scheitert also der automatische Abgleich zwischen den beiden Boxen, der eigentlich im Hintergrund stattfinden sollte.
Die Lizensierung der UTM-Services beim Active/Passive HA Betrieb erfordert ja, dass NUR auf der Primary Box die UTM Services lizensiert sind, für die Secondary Box reicht die normale Live Security aus. Im Praxisbetrieb gibt es aber offenbar derzeit Schwierigkeiten bei der Synchronisierung der Lizenzen, so dass es wohl vorkommt, dass die UTM-Services nicht korrekt laufen, wenn gerade einmal die Secondary Box die aktive Box (master) ist.
USA Support stellt in diesem Fall neue Feature Keys bereit, wenn im Rahmen eines Support Incidents die betroffenen Seriennummern der Cluster Member angegeben werden. Das Lizenzproblem soll im kommenden Software-Release behoben sein.
Bei Nutzung der Spam Quarantine in Verbindung mit spamBlocker, einem der UTM Service, kommt es nach dem Update von WSM 11.2 auf WSM 11.2.1 zu folgendem Verhalten: Ein User, der sich über den Link “Go to Quarantine Server” in seiner Benachrichtigungs-E-Mail an der Weboberfläche der Spam Quarantine angemeldet hat, kann dort nichts löschen oder weiterleiten. Die PopUp-Fehlermeldung lautet: “Enter a numeric value for page number”.
Das Problem wird im nächsten Release behoben sein. Es handelt sich um einen Bug in zwei Steuerdateien für das Apache Frontend: user_messages.tmpl und webui.mo. Ich habe bereits korrigierte Versionen von USA Support bekommen. Bei kurzfristigem Bedarf bitte ein Support Incident öffnen.
Nach dem Update auf Version 10.2.12 war die User Spam Quarantäne, die im Rahmen von spamBlocker konfiguriert werden kann, über https nicht mehr ansprechbar. Port 4119 hat zwar noch Verbindungen angenommen, aber immer diese Fehlermeldung ausgegeben:
Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request. Please contact the server administrator, [no address given] and inform them of the time the error occurred, and anything you might have done that may have caused the error. More information about this error may be available in the server error log.
Das Problem wird von einer veralteten Datei mod_python.so verursacht, die beim Update auf 10.2.12 nicht korrekt erneuert wird.
Lösung: Quarantine Server Dienst anhalten, C:ProgrammeWatchGuardwsm10.2apachebinmod_python.so durch die neuere Version ersetzen (erhältlich im Rahmen eines Support Incidents), Dienst wieder starten…
In ein paar Fireware XTM 11.1-Installationen habe ich aktuell das Problem, dass Traffic durch eine HTTP-Proxy Regel gar nicht oder nicht zu allen Zielen funktioniert, während ein HTTP-Paketfilter und andere paketfilter-basierte Services (z.B. ping/ICMP) einwandfrei funktionieren. Für alle proxy-basierten Services ist der Prozess wkrcfm-1 zuständig. Prüfen Sie über den Status Report, ob dieser Prozess korrekt läuft. Sollten Sie in Ihrer Konfiguration einen POP3-Proxy verwenden, sollten Sie diesen vorübergehend durch ein POP3-Paketfilter ersetzen, sofern Ihre Sicherheitsrichtlinie bezüglich E-Mail Sicherheit dies zulässt (in Verbindung mit einem POP3-Paketfilter kann kein Gateway Antivirus/IPS und Tagging durch spamBlocker verwendet werden). Wenn Sie auf den POP3-Proxy angewiesen sind, öffnen Sie ein Support Incident auf der WatchGuard Website.
[12.02.2010]: Dieser Bug steht in der Version 11.2 auf fixed!
