[SOLVED] Eigene Regel für Body-Scan

[AKrainer]

Hallo zusammen,
ich suche ein Möglichkeit den Mailbody nach Stichwörtern zu scannen, damit ich eine Regel erstellen kann, welche z.B. Verlinkungen aus der Mail entfernt.
Gibt's da etwas oder ist da etwas geplant, den Mailbody zu scannen?


Das habe ich schon mal probiert, hat aber nicht funktioniert:

WAS-Objekt Match Field
body=(B|b)itcoin

Damit wollte ich eine Regel erstellen, wenn Bitcoin in der Mail steht, dass diese ausgefiltert wird. Die Abfrage auf Feld Body hat aber nicht funktioniert.


Viele Grüße
AKrainer

 

[Stoiko Ivanov]

Hallo,

In diesem thread: https://forum.proxmox.com/threads/objet-blackliste.51855/
wird diese frage (hoffentlich) beantwortet.

Field ist beim PMG regelsystem ein mail-header - der body ist kein header.

Hoffe das hilft!

 

[AKrainer]

Wenn ich Body Rules erstelle, erscheinen die dann im PMG in der Auswahl?

 

[Stoiko Ivanov]

Hm? nein custom spamassassin config wird in der GUI nicht dargestellt.
aber mit spamassassin können punkte für die die rule vergeben werden, und diese werden zum spamscore der mail gezählt - darauf kann im rule-System reagiert werden.

Hoffe das hilft!

 

[AKrainer]

Eine GUI-Integration wäre schon praktisch, da bei uns verschiedene Mitarbeiter (auch kommandozeileninkompatible) mit dem PROXMOX arbeiten

Ich versuche mal, ob ich da ein eigenes Body-Regelwerk hinbekomme...

 

[AKrainer]

Ich habe in der custom.cf folgendes eingetragen, funktioniert aber nicht:

#STV-Check
body STV_Check1 (O|o)rgasmus

meta STV_Check (STV_Check1 >=1)
describe STV_Check Eigener Body-Check
score STV_Check 10

Die Mail soll eine Score von +10 bekommen, wenn im Mailbody das Wort Orgasmus oder orgasmus vorkommt.

 

[AKrainer]

Irgendwie funktioniert das alles nicht... :-(

Hat jemand schon mal eigene Body-Checks konfiguriert?

 

[Stoiko Ivanov]

Die Dienste von pmg (insbesondere pmg-smtp-filter) muessen nach config-aenderungen neu gestartet werden - vielleicht liegt es ja daran

 

[AKrainer]

Dienste-Neustart hab ich gemacht. PMG-Neustart auch. Aber alles ohne Erfolg.

Es gibt hier noch weitere mit "meinem" Problem:
https://forum.proxmox.com/threads/custom-cf-file.1864/

 

[Stoiko Ivanov]

Wie in dem thread (der urspruenglich schon eine Zeit lang her ist) beschrieben - werden in den Logs die Rules angezeigt, welche bei einer Mail matchen - kommt Ihre custom rule dort vor?
falls ja bitte kurz das log, die Regel, und die Testmail posten

Danke!

 

[AKrainer]

Bin jetzt ein Stück weiter. Fehler in der Syntax!

custom.cf:
#STV-Check
body STV_Check1 /(O|o)rgasmus/i
body STV_Check2 /($|B|b)itcoin/i

meta STV_Check (STV_Check1 + STV_Check2) >=1
describe STV_Check Eigener Body-Check
score STV_Check 10

Mail1 mit Orgasmus im Body:
X-SPAM-LEVEL: Spam detection results: 4
AWL -5.124 Adjusted score from AWL reputation of From: address
BAYES_00 -1.9 Bayes spam probability is 0 to 1%
KAM_LAZY_DOMAIN_SECURITY 1 Sending domain does not have any anti-forgery methods
STV_Check 10 Eigener Body-Check
STV_Check1 1 -
URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information.

Mail2 mit Bitcoin im Body:
X-SPAM-LEVEL: Spam detection results: 5
AWL -5.093 Adjusted score from AWL reputation of From: address
BAYES_00 -1.9 Bayes spam probability is 0 to 1%
KAM_LAZY_DOMAIN_SECURITY 1 Sending domain does not have any anti-forgery methods
STV_Check 10 Eigener Body-Check
STV_Check2 1 -
URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information.



Wo kann ich gute Doku finden, damit ich auch die richtige Syntax für meine Checks benutze?

 

[AKrainer]

...leider sind die Tabs beim Posten verlorengegangen

 

[tom]

URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information.

Bevor selbst Regeln gebaut werden, sollte das Default Setup passen damit die Default Regeln funktionieren können. Hier passt der DNS nicht.

 

[Stoiko Ivanov]

Wo kann ich gute Doku finden, damit ich auch die richtige Syntax für meine Checks benutze?

Der PMG Admin guide hat den Hinweis auf die custom config und den spamassassin linter `spamassassin -D --lint`
Die Referenzdoku von Spamassassin selbst ist auch recht gut https://wiki.apache.org/spamassassin/CustomRulesets

...leider sind die Tabs beim Posten verlorengegangen

da wuerden sich (auch wegen der besseren Lesbarkeit CODE tags im Forum anbieten).

Aber wie @tom schon geschrieben hat - unserer Erfahrung nach helfen gut eingestellte DNS-Blocklists und ein sauberes DNS Setup weit mehr bei der Spamabwehr, als Keywords, welche auch in legitimen Mails vorkommen

 

[AKrainer]

Namensauflösung geht:
root@proxmox2018:~# ping spamhaus.org
PING spamhaus.org (192.42.118.104) 56(84) bytes of data.
64 bytes from spamhaus.org (192.42.118.104): icmp_seq=1 ttl=57 time=11.3 ms
64 bytes from spamhaus.org (192.42.118.104): icmp_seq=2 ttl=57 time=10.5 ms
^C
--- spamhaus.org ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 10.588/10.957/11.326/0.369 MS

Wenn ich etwas bei DNSBL Seiten eintrage, dann bekomme ich diesen Fehler: URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked.
Im Forum hatte einen Threat entdeckt, in dem eine Aufzählung von DNSBL Servern stand. Fehler kam mit jedem Eintrag.


spamassassin -D --lint: kein Fehler

 

[AKrainer]

Ich habe hier die Ausgabedatei von spamassassin -D --lint im Anhang

 

[heutger]

Namensauflösung geht:
root@proxmox2018:~# ping spamhaus.org
PING spamhaus.org (192.42.118.104) 56(84) bytes of data.
64 bytes from spamhaus.org (192.42.118.104): icmp_seq=1 ttl=57 time=11.3 ms
64 bytes from spamhaus.org (192.42.118.104): icmp_seq=2 ttl=57 time=10.5 ms
^C
--- spamhaus.org ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 10.588/10.957/11.326/0.369 MS

Wenn ich etwas bei DNSBL Seiten eintrage, dann bekomme ich diesen Fehler: URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked.
Im Forum hatte einen Threat entdeckt, in dem eine Aufzählung von DNSBL Servern stand. Fehler kam mit jedem Eintrag.


spamassassin -D --lint: kein Fehler

Die Meldung liegt daran, dass kein eigener DNS-Server genutzt wird sondern einer vom Provider, Google, CloudFlare o. Ä., diese haben meist bereits das Abfragelimit erreicht. Es müsste entweder auf der Maschine selbst ein DNS-Server (bspw. unbound) aufgesetzt werden oder zentral einen DNS-Server geben, der nicht forwarded sondern selbst auflöst.

 

[AKrainer]

Die Meldung liegt daran, dass kein eigener DNS-Server genutzt wird sondern einer vom Provider, Google, CloudFlare o. Ä., diese haben meist bereits das Abfragelimit erreicht. Es müsste entweder auf der Maschine selbst ein DNS-Server (bspw. unbound) aufgesetzt werden oder zentral einen DNS-Server geben, der nicht forwarded sondern selbst auflöst.

Also braucht mein interner DNS-Server ein Zonenkopie von z.B. spamhaus.org, weil mein Forwarder (9.9.9.9) schon das Abfragelimit bei spamhaus.org erreicht hat?

 

[heutger]

Also braucht mein interner DNS-Server ein Zonenkopie von z.B. spamhaus.org, weil mein Forwarder (9.9.9.9) schon das Abfragelimit bei spamhaus.org erreicht hat?

Das ist auch eine Möglichkeit, aber das wäre dann halt nur für eine Blacklist und die Zonenkopien lassen sich die Anbieter i.d.R. bezahlen. Einfacher ist es, einen eigenen Resolver aufzusetzen, auch ist man damit unabhängiger und datenschutzrechtlich sicherer als auf Quad9 zu vertrauen.

 

[Stoiko Ivanov]

das ist in der Spamassassin doku relativ gut beschrieben:
https://wiki.apache.org/spamassassin/DnsBlocklists (Questions and Answers - erste Frage).

Wie @heutger schon beschrieben hat - duerfte ein eigener rekursiver DNS-Server hier der erste Schritt sein.