Anpassung der Spamerkennung aufgrund vieler Posteingänge

Dec 17, 2025
10
2
3
seit kurzem erhalten wir vermehrt E-Mails dieser Art - wie kann ich dahingehend die Erkennung solcher E-Mails als Spam anpassen?


--------------------------------------
Von: "Führungsperson"
Gesendet: Mittwoch, 24. Juni 2026 11:35
An: xxx.xxx@xxx.xxx
Betreff: "Mitarbeiterin"


Hallo "Mitarbeiterin"
Kannst du mir deine WhatsApp-Nummer geben? Ich muss dich kurz kontaktieren. Ich melde mich so schnell wie möglich.
Danke!
------------------------------------


2026-06-24T11:35:21.016021+02:00 xxx1 postfix/smtpd[3435681]: connect from mail-lj1-f171.google.com[209.85.208.171]
2026-06-24T11:35:21.160630+02:00 xxx1 postfix/smtpd[3435681]: Anonymous TLS connection established from mail-lj1-f171.google.com[209.85.208.171]: TLSv1.3 with cipher TLS_AES_128_GCM_SHA256 (128/128 bits) key-exchange x25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
2026-06-24T11:35:21.245332+02:00 xxx1 postfix/smtpd[3435681]: 3BDA614004F: client=mail-lj1-f171.google.com[209.85.208.171]
2026-06-24T11:35:21.245589+02:00 xxx1 postfix/cleanup[3433606]: 3BDA614004F: message-id=<CAOgJ2FWktt3kgHjOLQKayOkkcnDwoELtuV7nZWENutOLGejUVw@mail.gmail.com>
2026-06-24T11:35:21.248726+02:00 xxx1 postfix/qmgr[1044]: 3BDA614004F: from=<work.sender.4f@gmail.com>, size=5723, nrcpt=1 (queue active)
2026-06-24T11:35:21.288973+02:00 xxx1 postfix/smtpd[3435681]: disconnect from mail-lj1-f171.google.com[209.85.208.171] ehlo=2 starttls=1 mail=1 rcpt=1 bdat=1 quit=1 commands=7
2026-06-24T11:35:21.298128+02:00 xxx1 pmg-smtp-filter[3437317]: 1412436A3BA4D94709D: new mail message-id=<CAOgJ2FWktt3kgHjOLQKayOkkcnDwoELtuV7nZWENutOLGejUVw@mail.gmail.com>
2026-06-24T11:35:21.707831+02:00 xxx1 pmg-smtp-filter[3437317]: 1412436A3BA4D94709D: SA score=1/5 time=0.383 bayes=undefined autolearn=disabled hits=DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),DMARC_PASS(-0.1),FORGED_GMAIL_RCVD(1),FREEMAIL_FROM(0.001),HTML_MESSAGE(0.001),KAM_MXINFO(1),RCVD_IN_DNSWL_BLOCKED(0.001),RCVD_IN_MSPIKE_H2(0.001),SPF_HELO_NONE(0.001),SPF_PASS(-0.001)
2026-06-24T11:35:21.709330+02:00 xxx1 pmg-smtp-filter[3437317]: 1412436A3BA4D94709D: modified header 'X-SPAM-LEVEL' for <xxx.xxx@xxx.xxx> (rule: Modify Header)
2026-06-24T11:35:21.710208+02:00 xxx1 postfix/smtpd[3434835]: connect from localhost.localdomain[127.0.0.1]
2026-06-24T11:35:21.710928+02:00 xxx1 postfix/smtpd[3434835]: AD8BC141248: client=localhost.localdomain[127.0.0.1], orig_client=mail-lj1-f171.google.com[209.85.208.171]
2026-06-24T11:35:21.751953+02:00 xxx1 postfix/cleanup[3431643]: AD8BC141248: message-id=<CAOgJ2FWktt3kgHjOLQKayOkkcnDwoELtuV7nZWENutOLGejUVw@mail.gmail.com>
2026-06-24T11:35:21.755612+02:00 xxx1 postfix/qmgr[1044]: AD8BC141248: from=<work.sender.4f@gmail.com>, size=7081, nrcpt=1 (queue active)
2026-06-24T11:35:21.756298+02:00 xxx1 postfix/smtpd[3434835]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
2026-06-24T11:35:21.756355+02:00 xxx1 pmg-smtp-filter[3437317]: 1412436A3BA4D94709D: accept mail to <xxx.xxx@xxx.xxx> (AD8BC141248) (rule: default-accept)
2026-06-24T11:35:21.760056+02:00 xxx1 postfix/smtp[3435691]: Untrusted TLS connection established to xxxxxxxx.xx.xx.xxx[192.168.xxx.xxx]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange x25519
2026-06-24T11:35:21.761146+02:00 xxx1 pmg-smtp-filter[3437317]: 1412436A3BA4D94709D: processing time: 0.464 seconds (0.383, 0.024, 0)
2026-06-24T11:35:21.761362+02:00 xxx1 postfix/lmtp[3434687]: 3BDA614004F: to=<xxx.xxx@xxx.xxx>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.53, delays=0.02/0/0.04/0.47, dsn=2.5.0, status=sent (250 2.5.0 OK (1412436A3BA4D94709D))
2026-06-24T11:35:21.761709+02:00 xxx1 postfix/qmgr[1044]: 3BDA614004F: removed
2026-06-24T11:35:22.106307+02:00 xxx1 postfix/smtp[3435691]: AD8BC141248: to=<xxx.xx@xxx.xxx>, relay=xxxx.xx.xxx.xxx[192.168.xxx.xxx]:25, delay=0.4, delays=0.04/0/0.2/0.15, dsn=2.0.0, status=sent (250 ok, queued as 3009360 4glcHG0jKvz2KsV)
2026-06-24T11:35:22.106507+02:00 xxx1 postfix/qmgr[1044]: AD8BC141248: removed
 
  • Like
Reactions: Jeffthomson890
hmm - basierend auf den logs - sieht es so aus, als würden die mails von (potentiell übernommenen/gehackten) gmail accounts verschickt werden - nachdem in den allermeisten Situationen das blocken von gmail nicht möglich ist/keinen Sinn macht - und mails von gmail bei sonstigen Parametern sauber sind fallen mir folgende optionen ein:

* Wenn das Subject immer recht gleich ist (sich mit einer Regex matchen lässt) - eine Regel mit einem 'Match Field' What object (Field: Subject, und dann eben die regex die auf das problematische Subject matched 'Mitarbeiterin' - und Action Block) - falls 'Mitarbeiterin' durch den tatsächlichen Namen ersetzt ist - geht das nicht.
* bei den SpamAssassin hits fällt mir: FORGED_GMAIL_RCVD auf - wenn das nicht bei legitimen Mails matched (dass musst du in deinen Logs überprüfen) - kann der score dafür erhöht werden, damit die mails als Spam erkannt werden (und geblockt oder in die Quarantäne verschoben):
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmgconfig_spamdetector_customscores

Ich hoffe das hilft!
 
  • Like
Reactions: Jeffthomson890
...
* bei den SpamAssassin hits fällt mir: FORGED_GMAIL_RCVD auf - wenn das nicht bei legitimen Mails matched (dass musst du in deinen Logs überprüfen) - kann der score dafür erhöht werden, damit die mails als Spam erkannt werden (und geblockt oder in die Quarantäne verschoben):
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmgconfig_spamdetector_customscores

FORGED_GMAIL_RCVD matched bei uns auch in einigen legitimen Mails.

Wir verwenden rspamd (PMG CustomCheck) in Kombination mit Spamassassin. In rspamd könnte man den Text der Mail trainieren.
Spamassassin alleine ist einfach nicht ausreichend genug in der Spam-Erkennung.

Siehe: https://forum.proxmox.com/threads/integrate-rspamd-as-custom-script.159110/
 
  • Like
Reactions: Jeffthomson890
Hier wäre es gut, wenn Du die Spamassassin-Treffer dieser Mails mal hier anzeigst.

Sorry. Zu spät gesehen:

Code:
DKIM_SIGNED(0.1),
DKIM_VALID(-0.1),
DKIM_VALID_AU(-0.1),
DKIM_VALID_EF(-0.1),
DMARC_PASS(-0.1),
FORGED_GMAIL_RCVD(1),
FREEMAIL_FROM(0.001),
HTML_MESSAGE(0.001),
KAM_MXINFO(1),
RCVD_IN_DNSWL_BLOCKED(0.001),
RCVD_IN_MSPIKE_H2(0.001),
SPF_HELO_NONE(0.001),
SPF_PASS(-0.001)

Ich mache sowas mit dem Bayes-Filter. Hat sich bewährt. Dazu leite ich, wenn solche Wellen kommen, die jeweiligen Sender prophylaktisch in die Quarantäne um per Regelwerk und fische diese Art Mails über die WebGui raus als EML-File und trainiere mit sa-learn den Bayes-Filter.

Die SA-Treffer Bayes_50 und höher habe ich entsprechend stärker gewichtet. Bayes_999 z.B. bekommt 20 Punkte, wird also geblockt.

Du hast Bayes gar nicht im Einsatz. Razor-2 wahrscheinlich auch nicht, oder?

Du kannst im Prinzip den FORGED_GMAIL_RCVD(1) höher gewichten und den KAM_MXINFO (1.0), so dass solche Mails sich im Spam verfangen (also nicht 1, sondern mind. 3).
 
Last edited:
  • Like
Reactions: Jeffthomson890
Ich mache sowas mit dem Bayes-Filter. Hat sich bewährt. Dazu leite ich, wenn solche Wellen kommen, die jeweiligen Sender prophylaktisch in die Quarantäne um per Regelwerk und fische diese Art Mails über die WebGui raus als EML-File und trainiere mit sa-learn den Bayes-Filter.

Bei der Spam-Bekämpfung hat jeder seine eigene Erfolgsformel.

Aber das sind meine Bedenken: die offizielle Empfehlung von Proxmox ist es Bayes-Regeln nicht zu nutzen, da es zu vielen Problemen mit false-positives führt. Aus der Praxis heraus mit vielen hunderten Domains kann ich das ebenfalls bestätigen.

rspamd nutzt fuzzy statt bayes. Wir haben damit deutlich bessere Ergebnisse.
 
  • Like
Reactions: Jeffthomson890
Bei der Spam-Bekämpfung hat jeder seine eigene Erfolgsformel.

Aber das sind meine Bedenken: die offizielle Empfehlung von Proxmox ist es Bayes-Regeln nicht zu nutzen, da es zu vielen Problemen mit false-positives führt. Aus der Praxis heraus mit vielen hunderten Domains kann ich das ebenfalls bestätigen.

rspamd nutzt fuzzy statt bayes. Wir haben damit deutlich bessere Ergebnisse.
Nicht von der Hand zu weisen.
Ich kann bei mir keinen rspamd davor setzen und meines Wissens nach ist rspamd auf der gleichen Maschine wie PMG seitens Proxmox nicht unterstützt. Ich mag mich aber auch irren.

Falsch-Positive haben wir auch. Das kommt aber nicht vom Bayes, sondern durch andere SA-Treffer. Eine Bayes-Vergiftung kann ich aktuell bei uns ausschließen. Er macht, was er soll.

Für Falsch-Positive nutzen wir die Welcome-Listen. Damit werden gewisse Regeln umgangen.

Vielleicht komme ich beim nächsten Arbeitgeber in den Genuss, PMG und rspamd aufbauen zu können.
 
  • Like
Reactions: Jeffthomson890
Du
...
Ich kann bei mir keinen rspamd davor setzen und meines Wissens nach ist rspamd auf der gleichen Maschine wie PMG seitens Proxmox nicht unterstützt. Ich mag mich aber auch irren.
...

Gundsätzlich würde es bestimmt auch funktionieren, rspamd auf dem gleichen System zu installieren, aber wir haben es einfach in einem separaten Proxmox LXC-Container installiert und das ganze wird dann über die rspamd-API angesteuert. Das ist auch ausführlich im Foren-Link oben beschrieben.

Die Arbeit um das so aufzusetzen waren ca. 1 Stunde. Man sollte nur beachten: rspamd nutzt ein anderes Punkte-System. Daher muss man die Punktevergabe an seine individuellen Bedürfnisse anpassen. Das nimmt etwas mehr Zeit in Anspruch.

Ich will das aber auch niemanden aufdrängen, denn wie bereits gesagt, hat jeder seine eigene Erfolgsformel.
 
  • Like
Reactions: Jeffthomson890
Thanks for sharing the different approaches. One thing that stood out to me is that these messages appear to pass SPF, DKIM, and DMARC because they're being sent from legitimate Gmail accounts, which makes them much harder to detect using authentication checks alone.


In that situation, it seems that relying on a single indicator like FORGED_GMAIL_RCVD could increase false positives, especially if legitimate Gmail messages also trigger it.


For anyone who has dealt with similar campaigns, have you found that combining multiple rules (for example, message content, subject patterns, sender reputation, and rate-based filtering) works better than simply increasing the score of one SpamAssassin rule? I'm interested in learning which approach has produced the fewest false positives in production environments.