[SOLVED] Eingehende Mail Filterregeln greifen nicht

[submissionsanzeiger]

Moin aus Hamburg,
wir nutzen Proxmox Mail Gateway und wollen Filterregeln für eingehende Mails weiter verfeinern, jedoch scheinen die Regeln nicht zu greifen. Egal was wir versuchen.
Ich Speziellen wollen wir grade Absendern, die eine .DOC Datei als Anhang verschicken, eine automatische Antwort senden.
Was haben wir bisher gemacht:
eine WHAT-Regel erstellt: match filename: (?i).*\.doc$
eine ACTION-Regel erstellt: notify _SENDER_ (Empfänger _SENDER_) mit eigenem Text
eine Filterregel erstellt: In, Prio 97, active, unser WHAT Objekt, Unser ACTION Objekt, From/TO ALLE

Die Mails kommen trotzdem normal an, aber der Absender erhält keine Nachricht,
Was machen wir falsch?

VG

 

[itNGO]

Was steht denn im Postfix-Log und im TrackingCenter was mit solch einer Mail so alles passiert ist?

 

[submissionsanzeiger]

Tracingcenter sagt:
pmg-smtp-filter[137820]: C147F6671861800458: accept mail to <xxx@submission.de> (161D7C1483) (rule: xxx)
Diese Regel ist aber mit Prio 48 die Vorletze in der Liste.

Postfix sagt:
2024-06-18T15:05:21.951598+02:00 mail postfix/postscreen[139019]: CONNECT from [40.107.127.108]:31072 to [159.69.3.182]:25
2024-06-18T15:05:27.108345+02:00 mail postfix/postscreen[139019]: PASS NEW [40.107.127.108]:31072
2024-06-18T15:05:27.303750+02:00 mail postfix/smtpd[139022]: connect from mail-be0deu01on2108.outbound.protection.outlook.com[40.107.127.108]
2024-06-18T15:05:27.440632+02:00 mail pmgpolicy[137983]: reloading configuration Proxmox_ruledb
2024-06-18T15:05:27.743509+02:00 mail pmgpolicy[137983]: SPF says pass
2024-06-18T15:05:27.796789+02:00 mail postfix/cleanup[139028]: C23DFBFEDC: message-id=<20240618130527.C23DFBFEDC@mail.submission.de>
2024-06-18T15:05:27.800939+02:00 mail postfix/smtpd[139022]: C36B2C1106: client=mail-be0deu01on2108.outbound.protection.outlook.com[40.107.127.108]
2024-06-18T15:05:27.804115+02:00 mail postfix/qmgr[3971923]: C23DFBFEDC: from=<double-bounce@mail.submission.de>, size=245, nrcpt=1 (queue active)
2024-06-18T15:05:27.834544+02:00 mail postfix/cleanup[139028]: C36B2C1106: message-id=<BEXP281MB0038867AB2C03C9EBCF9E5CE9ECE2@BEXP281MB0038.DEUP281.PROD.OUTLOOK.COM>
2024-06-18T15:05:27.853104+02:00 mail postfix/qmgr[3971923]: C36B2C1106: from=<xxx>, size=79565, nrcpt=1 (queue active)
2024-06-18T15:05:27.900673+02:00 mail postfix/smtpd[139022]: disconnect from mail-be0deu01on2108.outbound.protection.outlook.com[40.107.127.108] ehlo=2 starttls=1 mail=1 rcpt=1 bdat=1 quit=1 commands=7
2024-06-18T15:05:27.956277+02:00 mail pmg-smtp-filter[137820]: 2024/06/18-15:05:27 CONNECT TCP Peer: "[127.0.0.1]:33412" Local: "[127.0.0.1]:10024"
2024-06-18T15:05:28.031930+02:00 mail pmg-smtp-filter[137820]: C147F6671861800458: new mail message-id=<BEXP281MB0038867AB2C03C9EBCF9E5CE9ECE2@BEXP281MB0038.DEUP281.PROD.OUTLOOK.COM>#012
2024-06-18T15:05:29.062501+02:00 mail pmg-smtp-filter[137820]: C147F6671861800458: SA score=0/5 time=0.736 bayes=undefined autolearn=disabled hits=ARC_INVALID(0.1),ARC_SIGNED(0.001),DMARC_MISSING(0.1),KAM_DMARC_STATUS(0.01),RCVD_IN_DNSWL_HI(-5),SPF_HELO_NONE(0.001),SPF_PASS(-0.001),T_SCC_BODY_TEXT_LINE(-0.01)
2024-06-18T15:05:29.087910+02:00 mail postfix/smtpd[139036]: connect from localhost.localdomain[127.0.0.1]
2024-06-18T15:05:29.090870+02:00 mail postfix/smtpd[139036]: 161D7C1483: client=localhost.localdomain[127.0.0.1], orig_client=mail-be0deu01on2108.outbound.protection.outlook.com[40.107.127.108]
2024-06-18T15:05:29.093439+02:00 mail postfix/cleanup[139029]: 161D7C1483: message-id=<BEXP281MB0038867AB2C03C9EBCF9E5CE9ECE2@BEXP281MB0038.DEUP281.PROD.OUTLOOK.COM>
2024-06-18T15:05:29.147498+02:00 mail postfix/smtpd[139036]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
2024-06-18T15:05:29.148361+02:00 mail pmg-smtp-filter[137820]: C147F6671861800458: accept mail to <xxx@submission.de> (161D7C1483) (rule: xxx)
2024-06-18T15:05:29.149762+02:00 mail postfix/qmgr[3971923]: 161D7C1483: from=<xxx>, size=80337, nrcpt=1 (queue active)
2024-06-18T15:05:29.160748+02:00 mail pmg-smtp-filter[137820]: C147F6671861800458: processing time: 1.149 seconds (0.736, 0.279, 0)
2024-06-18T15:05:29.162157+02:00 mail postfix/lmtp[139031]: C36B2C1106: to=<xxx@submission.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.7, delays=0.42/0.1/0.05/1.2, dsn=2.5.0, status=sent (250 2.5.0 OK (C147F6671861800458))
2024-06-18T15:05:29.168254+02:00 mail postfix/qmgr[3971923]: C36B2C1106: removed
2024-06-18T15:05:29.622355+02:00 mail postfix/smtp[139037]: 161D7C1483: to=<xxx@submission.de>, relay=192.168.100.26[192.168.100.26]:25, delay=0.53, delays=0.06/0.1/0.09/0.28, dsn=2.6.0, status=sent (250 2.6.0 <BEXP281MB0038867AB2C03C9EBCF9E5CE9ECE2@BEXP281MB0038.DEUP281.PROD.OUTLOOK.COM> [InternalId=34454227648521, Hostname=MAIL1.sub.intern] 81564 bytes in 0.140, 568,178 KB/sec Queued mail for delivery)
2024-06-18T15:05:29.624807+02:00 mail postfix/qmgr[3971923]: 161D7C1483: removed
2024-06-18T15:05:33.340125+02:00 mail postfix/smtp[139030]: C23DFBFEDC: to=<xxx@submission.de>, relay=192.168.100.26[192.168.100.26]:25, delay=5.5, delays=0/0.12/0.29/5.1, dsn=2.1.5, status=deliverable (250 2.1.5 Recipient OK)
2024-06-18T15:05:33.341213+02:00 mail postfix/qmgr[3971923]: C23DFBFEDC: removed
2024-06-18T15:05:33.907461+02:00 mail postfix/anvil[137030]: statistics: max connection rate 3/60s for (smtpd:85.13.145.234) at Jun 18 15:00:52
2024-06-18T15:05:33.907804+02:00 mail postfix/anvil[137030]: statistics: max connection count 1 for (smtpd:91.102.136.172) at Jun 18 14:55:33
2024-06-18T15:05:33.907923+02:00 mail postfix/anvil[137030]: statistics: max message rate 3/60s for (smtpd:85.13.145.234) at Jun 18 15:00:52
2024-06-18T15:05:33.908019+02:00 mail postfix/anvil[137030]: statistics: max cache size 3 at Jun 18 15:00:15


Für mich sieht es so aus, als würde die neue Regel einfach nicht greifen.

 

[submissionsanzeiger]

So, ich konnte jetzt einen Teil des Problems lösen. Offenbar war der Regex nicht gut genug. Die Regel wird nun angewendet.
ABER: Ich hab in der Regel ein Notify Sender drin. Das wird im Tracingcenter auch angezeigt, allerding kommt diese Benachrichting nicht an. Wenn ich Nofify ADMIN nutze, dann bekommt der interne Admin eine Mitteilung, aber nicht der Absender.
2024-06-20T01:52:37.427174+02:00 mail pmg-smtp-filter[15173]: C10E166736F44712AB: notify <xxx@xxx.de> (rule: reply doc, 59BFBC1130)
2024-06-20T01:52:37.432383+02:00 mail postfix/smtpd[18752]: connect from localhost.localdomain[127.0.0.1]
2024-06-20T01:52:37.436536+02:00 mail postfix/smtpd[18752]: 6A7ECC1131: client=localhost.localdomain[127.0.0.1], orig_client=mail-be0deu01on2094.outbound.protection.outlook.com[40.107.127.94]
2024-06-20T01:52:37.439169+02:00 mail postfix/cleanup[18518]: 6A7ECC1131: message-id=<BEXP281MB00386094C5A634F0A127E3849ECF2@BEXP281MB0038.DEUP281.PROD.OUTLOOK.COM>

Ich habe ja die Vermutung, dass es was mit dem Punkt client=localhost.localdomain[127.0.0.1] zu tun hat.
Ich bin allerdings ein absoluter Anfänger mit dem System.

 

[submissionsanzeiger]

OK, ich habe das Problem gelöst.
Dass kein Reply kam lag daran, dass Outlook/Exchange Online (auf Empfängerseite) die Mails als SPAM einfach kommentarlos gelöscht hat.

Das Originalproblem scheint tatsächlich gewesen zu sein, dass der RegEx nicht funktionierte.
Ursprünglich hatte ich: filename: (?i).*\.doc$ - damit ist die Regel immer übergangen worden
Jetzt habe ich : filename: (?i)^[^.]+$|\.(?!(doc)$)([^.]+$)$ - damit greift die Regel wie gewünscht