[SOLVED] Eigene Regel für Body-Scan

AKrainer

New Member
Feb 22, 2019
13
0
1
53
Hallo zusammen,
ich suche ein Möglichkeit den Mailbody nach Stichwörtern zu scannen, damit ich eine Regel erstellen kann, welche z.B. Verlinkungen aus der Mail entfernt.
Gibt's da etwas oder ist da etwas geplant, den Mailbody zu scannen?


Das habe ich schon mal probiert, hat aber nicht funktioniert:

WAS-Objekt Match Field
body=(B|b)itcoin

Damit wollte ich eine Regel erstellen, wenn Bitcoin in der Mail steht, dass diese ausgefiltert wird. Die Abfrage auf Feld Body hat aber nicht funktioniert.


Viele Grüße
AKrainer
 
Hm? nein custom spamassassin config wird in der GUI nicht dargestellt.
aber mit spamassassin können punkte für die die rule vergeben werden, und diese werden zum spamscore der mail gezählt - darauf kann im rule-System reagiert werden.

Hoffe das hilft!
 
Eine GUI-Integration wäre schon praktisch, da bei uns verschiedene Mitarbeiter (auch kommandozeileninkompatible) mit dem PROXMOX arbeiten :)

Ich versuche mal, ob ich da ein eigenes Body-Regelwerk hinbekomme...
 
Ich habe in der custom.cf folgendes eingetragen, funktioniert aber nicht:

#STV-Check
body STV_Check1 (O|o)rgasmus

meta STV_Check (STV_Check1 >=1)
describe STV_Check Eigener Body-Check
score STV_Check 10


Die Mail soll eine Score von +10 bekommen, wenn im Mailbody das Wort Orgasmus oder orgasmus vorkommt.
 
Irgendwie funktioniert das alles nicht... :-(

Hat jemand schon mal eigene Body-Checks konfiguriert?
 
Die Dienste von pmg (insbesondere pmg-smtp-filter) muessen nach config-aenderungen neu gestartet werden - vielleicht liegt es ja daran
 
Wie in dem thread (der urspruenglich schon eine Zeit lang her ist) beschrieben - werden in den Logs die Rules angezeigt, welche bei einer Mail matchen - kommt Ihre custom rule dort vor?
falls ja bitte kurz das log, die Regel, und die Testmail posten

Danke!
 
Bin jetzt ein Stück weiter. Fehler in der Syntax!

custom.cf:
#STV-Check
body STV_Check1 /(O|o)rgasmus/i
body STV_Check2 /($|B|b)itcoin/i

meta STV_Check (STV_Check1 + STV_Check2) >=1
describe STV_Check Eigener Body-Check
score STV_Check 10

Mail1 mit Orgasmus im Body:
X-SPAM-LEVEL: Spam detection results: 4
AWL -5.124 Adjusted score from AWL reputation of From: address
BAYES_00 -1.9 Bayes spam probability is 0 to 1%
KAM_LAZY_DOMAIN_SECURITY 1 Sending domain does not have any anti-forgery methods
STV_Check 10 Eigener Body-Check
STV_Check1 1 -
URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information.


Mail2 mit Bitcoin im Body:
X-SPAM-LEVEL: Spam detection results: 5
AWL -5.093 Adjusted score from AWL reputation of From: address
BAYES_00 -1.9 Bayes spam probability is 0 to 1%
KAM_LAZY_DOMAIN_SECURITY 1 Sending domain does not have any anti-forgery methods
STV_Check 10 Eigener Body-Check
STV_Check2 1 -
URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information.




Wo kann ich gute Doku finden, damit ich auch die richtige Syntax für meine Checks benutze?
 
Wo kann ich gute Doku finden, damit ich auch die richtige Syntax für meine Checks benutze?
Der PMG Admin guide hat den Hinweis auf die custom config und den spamassassin linter `spamassassin -D --lint`
Die Referenzdoku von Spamassassin selbst ist auch recht gut https://wiki.apache.org/spamassassin/CustomRulesets

...leider sind die Tabs beim Posten verlorengegangen
da wuerden sich (auch wegen der besseren Lesbarkeit CODE tags im Forum anbieten).

Aber wie @tom schon geschrieben hat - unserer Erfahrung nach helfen gut eingestellte DNS-Blocklists und ein sauberes DNS Setup weit mehr bei der Spamabwehr, als Keywords, welche auch in legitimen Mails vorkommen
 
Namensauflösung geht:
root@proxmox2018:~# ping spamhaus.org
PING spamhaus.org (192.42.118.104) 56(84) bytes of data.
64 bytes from spamhaus.org (192.42.118.104): icmp_seq=1 ttl=57 time=11.3 ms
64 bytes from spamhaus.org (192.42.118.104): icmp_seq=2 ttl=57 time=10.5 ms
^C
--- spamhaus.org ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 10.588/10.957/11.326/0.369 MS


Wenn ich etwas bei DNSBL Seiten eintrage, dann bekomme ich diesen Fehler: URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked.
Im Forum hatte einen Threat entdeckt, in dem eine Aufzählung von DNSBL Servern stand. Fehler kam mit jedem Eintrag.


spamassassin -D --lint: kein Fehler
 
Ich habe hier die Ausgabedatei von spamassassin -D --lint im Anhang
 

Attachments

  • proxmox_STV.txt
    174.7 KB · Views: 5
Namensauflösung geht:
root@proxmox2018:~# ping spamhaus.org
PING spamhaus.org (192.42.118.104) 56(84) bytes of data.
64 bytes from spamhaus.org (192.42.118.104): icmp_seq=1 ttl=57 time=11.3 ms
64 bytes from spamhaus.org (192.42.118.104): icmp_seq=2 ttl=57 time=10.5 ms
^C
--- spamhaus.org ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 10.588/10.957/11.326/0.369 MS


Wenn ich etwas bei DNSBL Seiten eintrage, dann bekomme ich diesen Fehler: URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked.
Im Forum hatte einen Threat entdeckt, in dem eine Aufzählung von DNSBL Servern stand. Fehler kam mit jedem Eintrag.


spamassassin -D --lint: kein Fehler

Die Meldung liegt daran, dass kein eigener DNS-Server genutzt wird sondern einer vom Provider, Google, CloudFlare o. Ä., diese haben meist bereits das Abfragelimit erreicht. Es müsste entweder auf der Maschine selbst ein DNS-Server (bspw. unbound) aufgesetzt werden oder zentral einen DNS-Server geben, der nicht forwarded sondern selbst auflöst.
 
Die Meldung liegt daran, dass kein eigener DNS-Server genutzt wird sondern einer vom Provider, Google, CloudFlare o. Ä., diese haben meist bereits das Abfragelimit erreicht. Es müsste entweder auf der Maschine selbst ein DNS-Server (bspw. unbound) aufgesetzt werden oder zentral einen DNS-Server geben, der nicht forwarded sondern selbst auflöst.

Also braucht mein interner DNS-Server ein Zonenkopie von z.B. spamhaus.org, weil mein Forwarder (9.9.9.9) schon das Abfragelimit bei spamhaus.org erreicht hat?
 
Also braucht mein interner DNS-Server ein Zonenkopie von z.B. spamhaus.org, weil mein Forwarder (9.9.9.9) schon das Abfragelimit bei spamhaus.org erreicht hat?

Das ist auch eine Möglichkeit, aber das wäre dann halt nur für eine Blacklist und die Zonenkopien lassen sich die Anbieter i.d.R. bezahlen. Einfacher ist es, einen eigenen Resolver aufzusetzen, auch ist man damit unabhängiger und datenschutzrechtlich sicherer als auf Quad9 zu vertrauen.
 
  • Like
Reactions: heutger

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!