Domain an Filter vorbei

DerDanilo

DerDanilo

Renowned Member
Jan 21, 2017
477
133
83
Ist es möglich eine Domain an Spam und Virusfilter vorbei zu routen? Whitelisten für Empfänger Domains sind hier leider nicht ausreichend.
Manchen Kunden möchten ihre eigene Lösung benutzen. Unsere Mailserver sind von außen aber nicht erreichbar, weshalb wir diese Domains durch die PMGs schieben müssen.

Was evtl fehlt ist eine Option Filter für eine Domain gänzlich zu deaktivieren.

Danke im Vorraus!
 
Die mail wird in jedem Fall durch den Antivirus geschickt - allerdings hängt es vom Regelsystem ab, was mit einem fund passiert (sprich wenn die Action accept ist, dann macht es keinen Unterschied und die mail wird in jedem Fall weitergeleitet), bei SpamAssassin wird die Mail durchgeschickt wenn eine Regel im System Spamchecking beinhaltet - Es sollte möglich sein einfach eine sehr hoch priorisierte Regel zu machen, welche mails an eine bestimmte Domain schlicht akzeptiert.

DerDanilo said:
Was evtl fehlt ist eine Option Filter für eine Domain gänzlich zu deaktivieren.
Click to expand...
In dem Fall würde ich schlicht den MX record/firewall forwarding/... so setzen, dass die mails direkt an den Empfangsserver gehen - wenn kein scanning gewünscht ist macht ein PMG dazwischen wenig Sinn.

EDIT: Korrektur wann Antivirus/SA eine Auswirkung haben
 
Danke für die fixe Antwort.

Klar könnte man die Mails direkt zu den Servern durchrouten. Dann kann man aber an diesen auch alle Mails schicken insofern man dessen Adresse kennt. Dort ist null Spam Filter aktiv, was wiederum dazu führen kann dass bei anderen Kunden ungehindert Spam eindringen kann.

PMG macht schon Sinn, da man so zentrale Relays hat, die zudem noch Mail stats sammeln.

Ich finde die Lösung mit dem Whitelisten irgendwie sinnvoller, es gibt Spam Flutwellen Attacken die wir sonst einfach durchlassen würden, was den Server Widerruf unnötig zumüllt.
Am besten soll der Kunde seine Mails vollständig selbst hosten, ist dich sonst sinnlos irgendwie.
 
Bin mir nicht ganz sicher welches Szenario jetzt gemeint ist:
DerDanilo said:
Manchen Kunden möchten ihre eigene Lösung benutzen.
Click to expand...
oder
DerDanilo said:
Dort ist null Spam Filter aktiv, was wiederum dazu führen kann dass bei anderen Kunden ungehindert Spam eindringen kann.
Click to expand...

wenn mehrere Kunden auf dem selben Mailserver gehostet werden, so unterscheiden sie sich doch zumindest in der domain (einzelne Mailboxen getrennt routen geht natürlich nicht über DNS und IPs) - und für diese können unterschiedliche MX records angelegt werden (einmal eine die aufs PMG zeigt, einmal auf eine, die direkt zum Server geht)
 
Natürlich kann man die MX Records trennen. Aber trotzdem muss der eigentliche Mailserver dann auf den Mail Ports erreichbar sein, was ein offenes Scheunentor für Spam angreifer ist, wenn sie die Serveradresse bzw. IP haben. Diese kann leicht man herausbekommen, wenn ein Gerät vom Kunden infiziert ist und die SMTP/IMAP Server Adresse ausgelesen werden. Zack, schon wird der Server zugespamt. Erwähne dies, da ich Projekte betreue bei denen solche Probleme aufgetreten sind.
Deshalb wäre es schon sinnvoll, wenn die PMGs z.b. keinen Spam Content Filter durchführen, jedoch aber auf Viren prüfen, und DNSBL Listen auf eingehende Mails anwenden. Diese Mails können direkt blockiert werden.
Was durchgehen soll, sind halt Mails die als Spam markiert werden (und nicht schon vorher blockiert), bzw. in dem Fall für diese Domain dann halt nicht. Dafür fehlt meines Verständnisses nach in den PMGs eine Funktion, die es erlaubt diverse Domains von Filtern auszuschließen. Oder habe ich da etwas verpasst?

Generell fehlt soetwas wie "if not" oder "not" als Switch für jede Option bei Filter Objekten, um die Filter zu verfeinern. So könnte man einfach eine Liste erstellen, welche Domains enthält, welche für eingehende Mails nicht gefiltert werden sollen, bzw. diese Domains gezielt von Checks ausschließen.

Habt ihr dafür etwas auf dem Plan?
 
DerDanilo said:
Natürlich kann man die MX Records trennen. Aber trotzdem muss der eigentliche Mailserver dann auf den Mail Ports erreichbar sein, was ein offenes Scheunentor für Spam angreifer ist, wenn sie die Serveradresse bzw. IP haben. Diese kann leicht man herausbekommen, wenn ein Gerät vom Kunden infiziert ist und die SMTP/IMAP Server Adresse ausgelesen werden. Zack, schon wird der Server zugespamt. Erwähne dies, da ich Projekte betreue bei denen solche Probleme aufgetreten sind.
Deshalb wäre es schon sinnvoll, wenn die PMGs z.b. keinen Spam Content Filter durchführen, jedoch aber auf Viren prüfen, und DNSBL Listen auf eingehende Mails anwenden. Diese Mails können direkt blockiert werden.
Was durchgehen soll, sind halt Mails die als Spam markiert werden (und nicht schon vorher blockiert), bzw. in dem Fall für diese Domain dann halt nicht. Dafür fehlt meines Verständnisses nach in den PMGs eine Funktion, die es erlaubt diverse Domains von Filtern auszuschließen. Oder habe ich da etwas verpasst?

Generell fehlt soetwas wie "if not" oder "not" als Switch für jede Option bei Filter Objekten, um die Filter zu verfeinern. So könnte man einfach eine Liste erstellen, welche Domains enthält, welche für eingehende Mails nicht gefiltert werden sollen, bzw. diese Domains gezielt von Checks ausschließen.

Habt ihr dafür etwas auf dem Plan?
Click to expand...

Kann dem nur zustimmen. Selbst wenn der MX Record auf einen PMG zeigt, man aber den Mailserver offen hat und dieser bspw. zufällig (wie bspw. bei Plesk häufig) auch die Domain hostet, kommen ganz schlauer Spammer auf die Idee, einfach mal den MX zu ignorieren und einfach direkt auf den Server der Domain zu gehen. Erst seit dem nur PMG an meinen Plesk Mail Server zustellen darf (auf Port 25, Submission ist natürlich erlaubt, mit SMTP Auth), kommt wirklich nichts durch. Man könnte maximal für nur solche Kunden einen eigenen Mailserver betreiben, der wirklich gesondert ist von jedem anderen Kunden, aber praktikabel ist etwas anderes.
 
heutger said:
Man könnte maximal für nur solche Kunden einen eigenen Mailserver betreiben, der wirklich gesondert ist von jedem anderen Kunden, aber praktikabel ist etwas anderes.
Click to expand...
Es ist absoluter Overkill (finanziell und vom Aufwand her) für jeden Kunden einen extra Server zu betreiben. Dann gehen die einfach zu einem anderen Hoster, da gerade diese Kunden meistens die Kosten für eine Extrawurst nicht tragen wollen.

Egal ob Plesk, cPanel, Froxlor oder ein reiner, dedizierter Mailserver(Cluster), ist immer dasselbe Schema.
 
DerDanilo said:
Es ist absoluter Overkill (finanziell und vom Aufwand her) für jeden Kunden einen extra Server zu betreiben. Dann gehen die einfach zu einem anderen Hoster, da gerade diese Kunden meistens die Kosten für eine Extrawurst nicht tragen wollen.

Egal ob Plesk, cPanel, Froxlor oder ein reiner, dedizierter Mailserver(Cluster), ist immer dasselbe Schema.
Click to expand...

Ich dachte vielmehr an einen Server für "all die anderen".
 
Aber ist das wirklich Sinnvoll? Dann hat man einen oder mehrere Schwachpunkte in der Infra.

Es würde vermutlich schon ausreichend sein wenn man bei dem PMG "If not" bei den Regeln definieren könnte. Mails von diversen Domains, Postfächern, ips, usw. kann man so sehr flexibel für jede Regel selbst ausschließen oder auch nicht.

@Stoiko Ivanov ist das etwas was umsetzbar ist im Code? Das Filter System ist ja da.
 
DerDanilo said:
ist das etwas was umsetzbar ist im Code? Das Filter System ist ja da.
Click to expand...

Das Filtersystem hat keine vollständige boolsche logik - macht das verarbeiten etwas einfacher - und die regeln in den meisten Fällen verständlicher.
Damit geht aber klarerweise etwas an Ausdrucksfähigkeit verloren.
 
Also nicht kurzfristig bzw. aktuell gar nicht umsetzbar?

Vorschläge wie man Domains von Filtern aktuell ausschließen kann?
Extra Filter Regel welche auf "Whitelist_Customer" reagiert und keine weiteren Regeln abarbeitet vielleicht?
 
Wie gesagt - wenn eine domain nicht vom PMG gescanned werden soll, den MX einfach nicht aufs PMG zeigen lassen.

sonst
DerDanilo said:
Extra Filter Regel welche auf "Whitelist_Customer" reagiert und keine weiteren Regeln abarbeitet vielleicht?
Click to expand...
funktioniert auch gut. (Allerdings laufen die domains dann dennoch durch die checks ausserhalb des regelsystems (DNSBL auf postscreen ebene, SMTP proxy whitelist, greylisting)

Ich hoffe das hilt
 
Habe die Test Domain mal eingetragen. Werden weitere Regeln nicht mehr verarbeitet, wenn eine Regel mit "Accept" zutrifft?

Die Mails aus aus der Whitelist sollen halt keine Veränderung im Mail Header erhalten.
Sowohl "Spam Level" als auch "Quarantine/Mark Spam" verändern bei uns den Header.

1593089519091.png
 
sieht soweit mal gut aus - die eine frage die sich stellt sollen nur mails von Whitelist_from an Whitelist_to accepted werden? (sonst 2 regeln machen einmal nur mit dem whitelist_from, einmal nur mit dem Whitelist_to)

und danach testen
 
Habe zwei Regeln erstellt, wir testen nun.

Was ist damit?
> Werden weitere Regeln nicht mehr verarbeitet, wenn eine Regel mit "Accept" zutrifft?
 
DerDanilo said:
Werden weitere Regeln nicht mehr verarbeitet, wenn eine Regel mit "Accept" zutrifft?
Click to expand...
kurz gesagt nein - accept, block, quarantine sind final actions und damit hört das processing danach auf.

etwas länger ausgeführt, muss noch der fall bedacht werden, dass eine mail an 2 Empfänger geht, und eine final action nur für einen der beiden gilt - die mail wird dann (als kopie) für den 2. weiterverarbeitet.

Ich hoffe das erklärt es.
 
Danke, genau so eine Aussage habe ich mir gewünscht. Es wäre super wenn solch eine Erklärung ihren Weg auch in die Admin Anleitung findet. Konnt mir diese Frage nähmlich anhand der Anleitung nicht beantworten.

Wir schauen mal was die Kunden nun sagen.
 
  • Like
Reactions: Stoiko Ivanov
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back