co.uk wird als Spam erkannt? - KAM_SOMETLD_ARE_BAD_TLD

L

ldsam

New Member
Feb 15, 2022
5
0
1
45
Bei einer unserer Proxmox Mailgate Instanzen wurden Mails von einem legitimen Absender mit .co.uk TLD mit 5 Punkten von 'KAM_SOMETLD_ARE_BAD_TLD' bewertet.
Es gibt keine Benutzerdefinierten Scores und die SpamAssassin Rule 'KAM_SOMETLD_ARE_BAD_TLD' wurde ebenfalls nicht verändert. Auf der CLI

Die Absenderdomain steht auf keiner mir bekannten Blacklist. (Geprüft mit mxtoolbox.com).
Der Treffer 'rule: REJECT - Block Spam' ist lediglich: Blockiere alles mit 6 oder mehr Punkten.

Auszug:

May 18 09:01:38 proxmox postfix/smtpd[1184]: connect from mail-cwlgbr01on2082.outbound.protection.outlook.com[40.107.11.82]
May 18 09:01:38 proxmox postfix/smtpd[1184]: Anonymous TLS connection established from mail-cwlgbr01on2082.outbound.protection.outlook.com[40.107.11.82]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
May 18 09:01:39 proxmox postfix/smtpd[1184]: 08C0016043A: client=mail-cwlgbr01on2082.outbound.protection.outlook.com[40.107.11.82]
May 18 09:01:39 proxmox postfix/cleanup[1193]: 08C0016043A: message-id=<OF63457945.363345DA-ON80258846.00267CAD-80258846.00267CB1@*****.b*****.co.uk>
May 18 09:01:39 proxmox postfix/qmgr[775]: 08C0016043A: from=<*****@B*****.co.uk>, size=67217, nrcpt=1 (queue active)
May 18 09:01:39 proxmox pmg-smtp-filter[809]: 160445628499D31705B: new mail message-id=<OF63457945.363345DA-ON80258846.00267CAD-80258846.00267CB1@*****.b*****.co.uk>#012
May 18 09:01:39 proxmox postfix/smtpd[1184]: disconnect from mail-cwlgbr01on2082.outbound.protection.outlook.com[40.107.11.82] ehlo=2 starttls=1 mail=1 rcpt=1 bdat=1 rset=1 quit=1 commands=8

May 18 09:01:40 proxmox pmg-smtp-filter[809]: 160445628499D31705B: SA score=6/5
time=1.569 bayes=undefined autolearn=no autolearn_force=no hits=AWL(-1.278),

DKIM_INVALID(0.1),
DKIM_SIGNED(0.1),
HTML_MESSAGE(0.001),
KAM_COUK(0.85),
KAM_DMARC_STATUS(0.01),
KAM_SOMETLD_ARE_BAD_TLD(5),
PDS_OTHER_BAD_TLD(1.999),
RCVD_IN_DNSWL_NONE(-0.0001),
RCVD_IN_MSPIKE_H2(-0.001),
SPF_HELO_PASS(-0.001),
SPF_PASS(-0.001),
TVD_PH_BODY_ACCOUNTS_PRE(0.001),
T_HTML_ATTACH(0.01),
T_SCC_BODY_TEXT_LINE(-0.01)


May 18 09:01:40 proxmox pmg-smtp-filter[809]: 160445628499D31705B: block mail to <a@empfänger.de> (rule: REJECT - Block Spam)
May 18 09:01:40 proxmox pmg-smtp-filter[809]: 160445628499D31705B: processing time: 1.655 seconds (1.569, 0.059, 0)
May 18 09:01:40 proxmox postfix/lmtp[1194]: 08C0016043A: to=<a@empfänger.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.8, delays=0.1/0/0/1.7, dsn=2.7.0, status=sent (250 2.7.0 BLOCKED (160445628499D31705B))
May 18 09:01:40 proxmox postfix/qmgr[775]: 08C0016043A: removed


Könnte es daran liegen das TLD des Absenders (co.uk) und des zuständigen Mailservers (.com) unterschiedlich sind?

Vielen Dank vorab
 
ldsam said:
Könnte es daran liegen das TLD des Absenders (co.uk) und des zuständigen Mailservers (.com) unterschiedlich sind?
Click to expand...
nein - glaube das issue hier hat nichts direkt mit den Absender Adressen (und Hostnames) zu tun sondern mit dem inhalt der mail

ldsam said:
KAM_SOMETLD_ARE_BAD_TLD(5),
Click to expand...
aus KAM.cf:
Code: 
header          __KAM_SOMETLD_ARE_BAD_TLD_FROM          From:addr =~ /\.(bar|buzz|cam|casa|cfd|club|date|guru|live|online|press|pw|quest|rest|sbs|shop|stream|top|trade|work|xyz)$/i
uri             __KAM_SOMETLD_ARE_BAD_TLD_URI           /:\/{2}([a-z0-9-\.]+)\.(bar|buzz|cam|casa|cfd|club|date|guru|live|online|press|pw|quest|rest|sbs|shop|stream|top|trade|work|xyz)($|\/|\:)/i
                                                                                                    
#FPs                                                                                                
uri             __KAM_SOMETLD_ARE_BAD_TLD_URI_NEGATIVE  /(^|\b)td\.date|div\.top($|\/)/i            
body            __KAM_SOMETLD_ARE_BAD_TLD_PROGRAM_REF   /\.date ?\{/i                               
                                                                                                    
meta            KAM_SOMETLD_ARE_BAD_TLD         (__KAM_SOMETLD_ARE_BAD_TLD_FROM) || (__KAM_SOMETLD_ARE_BAD_TLD_URI && !(__KAM_SOMETLD_ARE_BAD_TLD_PROGRAM_REF + __KAM_SOMETLD_ARE_BAD_TLD_URI_NEGATIVE))
describe        KAM_SOMETLD_ARE_BAD_TLD         .bar, .buzz, .cam, .casa, .cfd, .club, .date, .guru, .live, .online, .press, .pw, .quest, .rest, .sbs, .shop, .stream, .top, .trade, .work, .xyz TLD abuse
score           KAM_SOMETLD_ARE_BAD_TLD         5.0

sprich da wird (auch) auf die hostnames in den uri's die in dem mailcontent sind gematched - wuerde mir mal den inhalt der mail etwas genauer anschauen!

ldsam said:
PDS_OTHER_BAD_TLD(1.999),
Click to expand...
ähnlich hier - ein link in der mail schein auf eine 'neue' TLD zu zeigen.

Ich hoffe das hilft!
 
Hi,

was ich gerade nicht verstehe

Code: 
root@q:~# grep __KAM_SOME  /usr/share/spamassassin-extra/kam_sa-channels_mcgrail_com/KAM.cf
header         __KAM_SOMETLD_ARE_BAD_TLD_FROM          From:addr =~ /\.(bar|beauty|buzz|cam|casa|cfd|club|date|guru|link|live|monster|online|press|pw|quest|rest|sbs|shop|stream|top|trade|wiki|workxyz)$/i
uri        __KAM_SOMETLD_ARE_BAD_TLD_URI        /:\/{2}([a-z0-9-\.]+)\.(bar|beauty|buzz|cam|casa|cfd|club|date|guru|link|live|monster|online|press|pw|quest|rest|sbs|shop|stream|top|trade|wiki|work|xyz)($|\/|\:)/i
uri        __KAM_SOMETLD_ARE_BAD_TLD_URI_NEGATIVE    /(^|\b)(input|td|lev)\.date|de[b|l]\.date|div\.top($|\/)|\/smart\.link|\.emailprotection\.link\/|\.goat\.com\/|\/square\.link\//i
body        __KAM_SOMETLD_ARE_BAD_TLD_PROGRAM_REF   /\.date ?\{/i
meta        KAM_SOMETLD_ARE_BAD_TLD        (__KAM_SOMETLD_ARE_BAD_TLD_FROM) || (__KAM_SOMETLD_ARE_BAD_TLD_URI && !(__KAM_SOMETLD_ARE_BAD_TLD_PROGRAM_REF + __KAM_SOMETLD_ARE_BAD_TLD_URI_NEGATIVE >= 1))
#  header     __KAM_SOMETLD_ARE_BAD_TLD_FROM eval:check_from_in_list('BADTLDS')
#  body         __KAM_SOMETLD_ARE_BAD_TLD_URI  eval:check_uri_host_listed('BADTLDS')

was matched denn da auf co.uk?

Ich habe gerade dasselbe Problem, das scheinbar *alle* co.uk E-Mails einen KAM_SOMETLD_ARE_BAD_TLD Score von über 4 bekommen und dann als SPAM aussortiert werden.

Danke für die Aufklärung wie obiges funktioniert.

4920441
 
You must log in or register to reply here.
Top Bottom