Best Practice um auf bestimmte Wörter zu filtern

Janko

Renowned Member
May 15, 2011
72
7
73
Hallo liebe Kollegen,

wie wäre wohl "Best Practice" wenn ich die Emails auf bestimmte Wörter filtern möchte.
Die Filterung selbst funktioniert recht gut aber ich habe hier einen Spammer der extrem gut gemachte Spam Mail schickt.
Leider gehen diese Mails auch durch and den Empfänger.

In den Mails steht aber z.B. immer der gleiche Name....

Ich danke euch vielmals!
 
Welche Scores werden denn errreicht, bitte die Testergebnisse vom Email Header posten.

Hier ein Beispiel:

Code:
X-SPAM-LEVEL: Spam detection results:  0
    HTML_FONT_LOW_CONTRAST  0.001 HTML font color similar or identical to background
    HTML_MESSAGE            0.001 HTML included in message
    KAM_DMARC_STATUS         0.01 Test Rule for DKIM or SPF Failure with Strict Alignment
    KAM_LAZY_DOMAIN_SECURITY      1 Sending domain does not have any anti-forgery methods
    RCVD_IN_DNSWL_MED        -2.3 Sender listed at https://www.dnswl.org/, medium trust
    SPF_HELO_NONE           0.001 SPF: HELO does not publish an SPF Record
    SPF_NONE                0.001 SPF: sender does not publish an SPF Record
 
Welche Scores werden denn errreicht, bitte die Testergebnisse vom Email Header posten.

Hier ein Beispiel:

Code:
X-SPAM-LEVEL: Spam detection results:  0
    HTML_FONT_LOW_CONTRAST  0.001 HTML font color similar or identical to background
    HTML_MESSAGE            0.001 HTML included in message
    KAM_DMARC_STATUS         0.01 Test Rule for DKIM or SPF Failure with Strict Alignment
    KAM_LAZY_DOMAIN_SECURITY      1 Sending domain does not have any anti-forgery methods
    RCVD_IN_DNSWL_MED        -2.3 Sender listed at https://www.dnswl.org/, medium trust
    SPF_HELO_NONE           0.001 SPF: HELO does not publish an SPF Record
    SPF_NONE                0.001 SPF: sender does not publish an SPF Record
Code:
No, score=4.1 required=7.0 tests=BAYES_99,BAYES_999, HEADER_FROM_DIFFERENT_DOMAINS,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE, MIME_HTML_ONLY,SPF_HELO_NONE,SPF_PASS,URIBL_BLOCKED autolearn=no autolearn_force=no version=3.4.2

DKIM hat er leider auch noch aktiv.
Die Emails wurden auch mit sa-learn bereits mehrfach "gelernt".
 
Zur Analyse bitte die jeweiligen Scores pro Test posten, genau so wie mein Beispiel.

(aus dem Email Header rauskopieren, über den Mail Client)
 
Hi Tom,

bitte entschuldige meine späte Antwort.
Ich hoffe, dass die Formatierung so ist wie du es brauchst.


Email1:
Code:
Nov 23 12:12:54 gw01 pmg-smtp-filter[4683]: A4388C5FBB992878F69:
SA score=1/5 time=13.521bayes=0.00 autolearn=no autolearn_force=no
- hits=AWL(0.140),BAYES_00(-1.9)
- DKIM_SIGNED(0.1)
- DKIM_VALID(-0.1)
- DKIM_VALID_AU(-0.1)
- HTML_MESSAGE(0.001)
- HTML_TAG_BALANCE_BODY(0.1)
- MIME_HTML_ONLY(0.1)
- RAZOR2_CF_RANGE_51_100(1.886)
- RAZOR2_CHECK(0.922)
- SPF_PASS(-0.001)
- T_SPF_HELO_TEMPERROR(0.01)
- URIBL_BLOCKED(0.001)

Email2:

Code:
Nov 22 11:36:43 gw02 pmg-smtp-filter[10643]: 342E995FBA3F2DA2D76:
SA score=0/5 time=13.539 bayes=0.00 autolearn=no autolearn_force=no
- hits=AWL(-0.496)
- BAYES_00(-1.9)
- DKIM_INVALID(0.1)
- DKIM_SIGNED(0.1)
- HTML_FONT_LOW_CONTRAST(0.001)
- HTML_MESSAGE(0.001)
- KAM_DMARC_STATUS(0.01)
- MIME_HTML_ONLY(0.1)
- RAZOR2_CF_RANGE_51_100(1.886)
- RAZOR2_CHECK(0.922)
- SPF_HELO_NONE(0.001)
- SPF_PASS(-0.001)
- URIBL_BLOCKED(0.001)
 
Hi Tom,

ich hab bereits einen eigenen DNS aber der hat wohl auch schon das Limit erreicht.
Habe nun entsprechend umgebaut. Bayes hab ich noch nicht deaktiviert.
Bei Email2 hab ich dann noch mal AutoWhiteList abgeschaltet.
Zum ersten mal ist die Mail nun in der Quarantäne gelandet.

Anbei die Ergebnisse:
Email1
Code:
bayes=undefined autolearn=no autolearn_force=no hits=AWL(-1.845)
DKIM_SIGNED(0.1)
DKIM_VALID(-0.1)
DKIM_VALID_AU(-0.1)
HTML_FONT_LOW_CONTRAST(0.001)
HTML_MESSAGE(0.001)
MIME_HTML_ONLY(0.1)
RAZOR2_CF_RANGE_51_100(2.43)
RAZOR2_CHECK(1.729)
RCVD_IN_DNSWL_BLOCKED(0.001)
SPF_HELO_NONE(0.001)
SPF_PASS(-0.001)


Code:
bayes=undefined autolearn=no autolearn_force=no
hits=DKIM_SIGNED(0.1)
DKIM_VALID(-0.1)
DKIM_VALID_AU(-0.1)
HTML_FONT_LOW_CONTRAST(0.001)
HTML_MESSAGE(0.001)
HTML_TAG_BALANCE_BODY(0.1)
MIME_HTML_ONLY(0.1)
RAZOR2_CF_RANGE_51_100(2.43)
RAZOR2_CHECK(1.729)
SPF_HELO_NONE(0.001)
SPF_PASS(-0.001)
URIBL_BLACK(1.7)
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!