Schlechte Spamerkennung

Kevin Weise

Member
Aug 10, 2016
12
1
23
35
Seit dem letzten Update (4.1-7) ist die Spamerkennungrate sehr schlecht.
Ich habe das Update installiert und auch DNSBL Sites eingegeben.
Folgende Einträge habe ich: bb.barracudacentral.org,db.wpbl.info,drone.abuse.ch,zen.spamhaus.org,ix.dnsbl.manitu.net,bl.spamcop.net,dul.dnsbl.sorbs.net,combined.njabl.org,dnsbl.inps.de

Spam der durchkommt:
Code:
v  2 03:25:40    smtpd    connect from mail.winnermag.eu[85.25.160.185]
Nov  2 03:25:40    smtpd    B23558108D52: client=mail.winnermag.eu[85.25.160.185]
Nov  2 03:25:40    cleanup    B23558108D52: message-id=<ezqirls37302515.67737354@mail.winnermag.eu>
Nov  2 03:25:44    smtpd    disconnect from mail.winnermag.eu[85.25.160.185]
Nov  2 03:25:44    proxprox    80C97D659FA822842828: new mail
message-id=<ezqirls37302515.67737354@mail.winnermag.eu>#012
Nov  2 03:25:44    qmgr    B23558108D52: from=<ezqirls@winnermag.eu>, size=595135, nrcpt=1 (queue active)
Nov  2 03:25:45    proxprox    80C97D659FA822842828: SA score=1/5 time=1.112 bayes=undefined autolearn=no
autolearn_force=no hits=HTML_IMAGE_ONLY_04,HTML_MESSAGE,HTML_SHORT_LINK_IMG_1
MPART_ALT_DIFF,RP_MATCHES_RCVD,SPF_PASS,URIBL_BLOCKED

Das ist z.B. Werbung für Potenzmittel. Vor dem Update konnte ich auch anhand der grafischen Auswertung sehen das die Spamerkennung relativ hoch war, jetzt ist die gelbe Linie immer im unteren Bereich.

Gibt es vielleicht eine Schraube an der ich drehen kann um die Erkennung zu verbessern? Haben andere auch dieses Problem?

Vielen Dank!
 
Ich hänge mich hier mal ran. Auch wir konnten das beobachten. Wir sind bisher sogar ohne DNSBL Seiten ausgekommen. Seit der 4.1-7 hatten wir plötzlich sehr viel SPAM im Mail. Daraufhin haben wir DNSBL auch noch aktiviert. Leider hilft das wie oben beschrieben nur sehr begrenzt.
 
Ich glaube bei Proxmox hat sich durch das Update viel geändert.
Früher hatte ich eingestellt das ab einem Score vom 5 in die Quarantäne geschoben werden soll.
Dieses habe ich jetzt auch schon auf 3 herabgesetzt.

Code:
X-SPAM-LEVEL: Spam detection results:  1
        HTML_IMAGE_ONLY_04      0.342 HTML: images with 0-400 bytes of words
        HTML_MESSAGE            0.001 HTML included in message
        HTML_SHORT_LINK_IMG_1   0.139 HTML is very short with a linked image
        MPART_ALT_DIFF          0.724 HTML and text parts are different
        RP_MATCHES_RCVD        -0.001 Envelope sender domain matches handover relay domain
        SPF_PASS               -0.001 SPF: sender matches SPF record
Haben sich einfach die Scorewerte deutlich herabgesetzt(also Score/10 )?

Code:
80D75D159FC15674B4D4: SA score=2/5 time=1.242 bayes=undefined autolearn=no
autolearn_force=no hits=HTML_MESSAGE,LONG_HEX_URI,RP_MATCHES_RCVD,SPF_PASS
URIBL_BLOCKED
Score=2/5. soll das heißen 5 ist jetzt die Obergrenze? Das war doch früher anders, oder?
 
Hallo ihr lieben.
Wir haben auch massive Probleme damit - wie oben beschrieben, zahlreiche Mails kommen durch mit Potenzmitteln, etc.
Ist hier eine Behebung des Fehlers angedacht oder nicht so sehr?
Bitte um Antwort seitens des Herstellers...
 
Vor dem Update konnte ich auch anhand der grafischen Auswertung sehen das die Spamerkennung relativ hoch war, jetzt ist die gelbe Linie immer im unteren Bereich.
..

Die Statistik ist seit 4.1.7 leider nicht ganz korrekt.

Die EMails die mit Cyren DNS RBL geblock wurden, gingen in diese Statistik. Die neuen DNS RBL leider nicht - da RBL je nach Domain sehr grosse Auswirkungen haben, schaut es schlechter aus als wie es tatsächlich ist.

Grundsätzlich war die Erkennungsrate tatsächlich vor 4.1.7 etwas besser. Wir arbeiten derzeit an der neuen V 5 und ich erwarte hier auch eine Verbesserung. (v5 beta kommt noch dieses Jahr).
 
Hallo Alle,
Wäre es besser eine alte Gateway Version wieder zu verwenden bis es ein Update gibt?
Liebe Grüße
Florian
 
Hallo Alle,
Wäre es besser eine alte Gateway Version wieder zu verwenden bis es ein Update gibt?
Liebe Grüße
Florian

Das bringt nichts, da die cloudbasierten Services von CYREN Ende August deaktiviert wurden und Anfragen ins Leere laufen.
 
Guten Abend.
Gibt es da schon Neuigkeiten wann die Beta relased wir dund ggf. dann das mit der schlechten Spamerkennung löst?
Danke lG
 
Ein funktionierender DNS ist sehr wichtig, das ist sehr oft die Ursache des Problems.
__

And you need to make sure that your DNS is working probably, e.g. you should NOT use forwarders or 8.8.8.8 or similar DNS providers.
The Google DNS servers are blocked on most RBL sites, so you get timeouts and no filtering - check the syslog (var/log/syslog)
 
Da ja nun die Beta 5 raus ist, ein paar grundsätzliche fragen. Ist es der Beta geschuldet, das sich kein zusätzlicher SPAM oder Virus Dedector einrichten lässt? Gerade der wegfall von CYREN und nun AVIRA würde ja eine API für einen externen Vierenscanner sehr wichtig machen. Genauso wie zusätzliche RBL Sites.
 
Man kann beliebige RBL einrichten, und wenn der DNS die richtig abfragen kann, ist die Erkennung sehr gut und nicht mehr abhängig von kommerziellen Cloudservices.

Avira SAV ist nicht für Debian 9 verfügbar, dafür gibts aber ClamAV und Google Safe Browsing (https://en.wikipedia.org/wiki/Google_Safe_Browsing).

Grundsätzlich ist die Einbindung von weiteren Virenscanner möglich, jedoch ist dies aus Erfahrung der letzten 12 Jahre von 99 % der User nicht gewünscht.
 
Danke für die Antwort. Ok. Ich habe die RBL unter Mail Prox Optionen wieder gefunden. Also wie bei der 4 er Version. Hatte davor der Logik folgend unter SPAM Detector gesucht. Wenn weitere Vierenscanner nicht gewünscht waren, kann das ja auch an dem guten Service von Cyren und AVIRA liegen.Im Gespann waren die echt nicht schlecht. (Vergessen wir mal ClamAV...) Ich für meinen Teil wünsche mir dringend ,nach dem Wegfall der beiden Vierenscanner, eine API schnittstelle zu externen Vierenscannern . Alternativ eine Anleitung wie ich zusätzliche Vierenscanner einbauen kann. Ganz ehrlich,ansonsten muss ich ja doch wieder zu vorgeschaltetetn Systemen greifen.
 
Last edited:
Danke für die Antwort. Ok. Ich habe die RBL unter Mail Prox Optionen wieder gefunden. Also wie bei der 4 er Version. Hatte davor der Logik folgend unter SPAM Detector gesucht. Ok

Wichtig bei RBL ist, das der DNS auch funktioniert. Zb. 8.8.8.8 wird geblockt.

wenn weitere Vierenscanner nicht gewünscht waren, kann das ja auch an dem guten Service von Cyren und AVIRA gelegen haben.

Nein. Avira wurde von über 99 % NICHT lizenziert. Der Cyren Virenscanner war aktiv, aber maximal auf Augenhöhe von ClamAV.[/QUOTE]

Ich für meinen Teil wünsche mir das dringend nach dem Wegfall der beiden. Alternativ eine Anleitung wie ich Zusätzliche Vierenscanner einbauen kann. Ganz ehrlich,ansonsten muss ich ja doch wieder zu vorgeschaltetetn Systemen greifen.

Wenn die Enduser noch immer auf unsicheren Endgeräte arbeiten (z.b. Windows), ist der Einsatz eines Scanners am Client das beste, da ja sehr viel Malware über die Browser oder Netzwerkfreigaben, USB, usw. kommt.
 
Das ist richtig. EIn lokaler Scanner ist auf jeden Fall Pflicht, genauso wie Snort etc.. Das ersetzt aber nicht die Vorsorge am "Eingang" schon möglichst viel abzufangen. Ich habe hier 400 Terminalarbeitsplätze mit viel EMail Verkehr. Da ist es aus meiner Sicht fahrlässig auf eine, mindestens doppelte, EMailprüfung von verschiedenen Vierenscannern zu verzichten. Ist es so kompliziert die API zu externen Scannern mit zu intigrieren?

Und ja. wir benutzen nicht den 8.8.8.8 ;-) Es war auch mehr der Hinweis, das ich es von der logischen Zuordnung woanders gesucht hatte.
 
Ist es so kompliziert die API zu externen Scannern mit zu intigrieren?

Nein, aber der Mehrwert ist für über 99 % der Kunden nicht vorhanden. Welchen Scanner möchtest du denn benutzen? Wie bereits gesagt, Avira bietet hier leider nichts an.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!