Erkennung Spammails

[Patrick_KR]

Hallo,

So wie es aussieht, erkennt das Gateway keine Spam Mails mehr. In der Gui selbst sehe ich nur, das Mails blockiert werden, die über einen
der DNS Blacklist erkannt werden. Außerdem habe ich in jedem Mail die Info "Accepted/Delivered" drinnen stehen. Auch bei Spam Mails steht
das drinnen. Wir haben uns mittlerweile mit dem Spam Scores gespielt, es ist eigentlich egal was ich hier eintrage.

Bei jedem Mail steht in der Log beim SA Score 0/5 dabei. Meines Verständnisses wird also das Mail nicht als Spam klassifiziert.

Ich vermute das der Spamassassin keine Mails erkennt, bzw. irgendwo ein Problem hat. Die Dienste laufen alle, auch der Patchstand ist aktuell..

Wo könnte ich nach dem Fehler suchen ?

Bitte um Hilfe, vielen Dank.

mfg
Patrick

 

[Stoiko Ivanov]

ch vermute das der Spamassassin keine Mails erkennt, bzw. irgendwo ein Problem hat. Die Dienste laufen alle, auch der Patchstand ist aktuell

bitte mal die logs zu ein paar dieser mails posten - vielleicht sehen wir dann wo da problem ist ...

 

[Patrick_KR]

Das wären ein paar Maillogs zb.

Aug 24 22:16:27 mailgw postfix/smtpd[74969]: connect from mail2.greenmedialive.ie[85.93.28.236]
Aug 24 22:16:27 mailgw postfix/smtpd[74969]: Anonymous TLS connection established from mail2.greenmedialive.ie[85.93.28.236]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256
Aug 24 22:16:27 mailgw postfix/smtpd[74969]: A5CB040275: client=mail2.greenmedialive.ie[85.93.28.236]
Aug 24 22:16:27 mailgw postfix/cleanup[74973]: A5CB040275: message-id=<3yk53yk53yk5@greenmedialive.ie>
Aug 24 22:16:27 mailgw postfix/qmgr[854]: A5CB040275: from=<Javarest@greenmedialive.ie>, size=2315, nrcpt=1 (queue active)
Aug 24 22:16:27 mailgw postfix/smtpd[74969]: disconnect from mail2.greenmedialive.ie[85.93.28.236] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Aug 24 22:16:27 mailgw pmg-smtp-filter[74669]: 410EE6306871BB55DA: new mail message-id=<3yk53yk53yk5@greenmedialive.ie>#012
Aug 24 22:16:28 mailgw pmg-smtp-filter[74669]: 410EE6306871BB55DA: SA score=0/5 time=0.740 bayes=undefined autolearn=ham autolearn_force=no hits=DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),HTML_MESSAGE(0.001),MIME_HTML_ONLY(0.1),PDS_NO_FULL_NAME_SPOOFED_URL(0.748),PDS_SHORT_SPOOFED_URL(1.997),RCVD_IN_DNSWL_HI(-5),SPF_HELO_NONE(0.001),SPF_PASS(-0.001),T_SCC_BODY_TEXT_LINE(-0.01),URIBL_BLOCKED(0.001)
Aug 24 22:16:28 mailgw postfix/smtpd[74978]: connect from localhost.localdomain[127.0.0.1]
Aug 24 22:16:28 mailgw postfix/smtpd[74978]: 845234144E: client=localhost.localdomain[127.0.0.1], orig_client=mail2.greenmedialive.ie[85.93.28.236]
Aug 24 22:16:28 mailgw postfix/cleanup[74973]: 845234144E: message-id=<3yk53yk53yk5@greenmedialive.ie>
Aug 24 22:16:28 mailgw postfix/qmgr[854]: 845234144E: from=<Javarest@greenmedialive.ie>, size=3702, nrcpt=1 (queue active)
Aug 24 22:16:28 mailgw pmg-smtp-filter[74669]: 410EE6306871BB55DA: accept mail to <kunde@domain.at> (845234144E) (rule: default-accept)
Aug 24 22:16:28 mailgw postfix/smtpd[74978]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
Aug 24 22:16:28 mailgw pmg-smtp-filter[74669]: 410EE6306871BB55DA: processing time: 0.802 seconds (0.74, 0.032, 0)
Aug 24 22:16:28 mailgw postfix/lmtp[74974]: A5CB040275: to=<kunde@domain.at>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.1, delays=0.27/0.02/0/0.81, dsn=2.5.0, status=sent (250 2.5.0 OK (410EE6306871BB55DA))
Aug 24 22:16:28 mailgw postfix/qmgr[854]: A5CB040275: removed
Aug 24 22:16:28 mailgw postfix/smtp[74979]: Untrusted TLS connection established to DestinationIP[DestinationIP]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Aug 24 22:16:28 mailgw postfix/smtp[74979]: 845234144E: to=<kunde@domain.at>, relay=DestinationIP[DestinationIP]:25, delay=0.27, delays=0/0.03/0.09/0.16, dsn=2.6.0, status=sent (250 2.6.0 <3yk53yk53yk5@greenmedialive.ie> [InternalId=201927887421442, Hostname=ExchangeLocal.local] 5071 bytes in 0.127, 38,905 KB/sec Queued mail for delivery)
Aug 24 22:16:28 mailgw postfix/qmgr[854]: 845234144E: removed



Aug 24 15:40:48 mailgw postfix/smtpd[70227]: connect from mail14.investinafrica.nl[212.192.216.247]
Aug 24 15:40:48 mailgw postfix/smtpd[70227]: Anonymous TLS connection established from mail14.investinafrica.nl[212.192.216.247]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256
Aug 24 15:40:48 mailgw postfix/smtpd[70227]: 82D1F41322: client=mail14.investinafrica.nl[212.192.216.247]
Aug 24 15:40:48 mailgw postfix/cleanup[70163]: 82D1F41322: message-id=<l4ekECO3UQQIzG1yl4ekECO3UQQIzG1yl4ekECO3UQQIzG1y@investinafrica.nl>
Aug 24 15:40:48 mailgw postfix/qmgr[854]: 82D1F41322: from=<Mariselvm@investinafrica.nl>, size=2396, nrcpt=1 (queue active)
Aug 24 15:40:48 mailgw pmg-smtp-filter[69959]: 414F863062A608DF23: new mail message-id=<l4ekECO3UQQIzG1yl4ekECO3UQQIzG1yl4ekECO3UQQIzG1y@investinafrica.nl>#012
Aug 24 15:40:49 mailgw postfix/smtpd[70227]: disconnect from mail14.investinafrica.nl[212.192.216.247] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Aug 24 15:40:49 mailgw pmg-smtp-filter[69959]: 414F863062A608DF23: SA score=1/5 time=1.106 bayes=undefined autolearn=no autolearn_force=no hits=DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),HTML_MESSAGE(0.001),MIME_HTML_ONLY(0.1),PDS_SHORT_SPOOFED_URL(1.997),RAZOR2_CF_RANGE_51_100(2.43),RAZOR2_CHECK(1.729),RCVD_IN_DNSWL_HI(-5),SPF_HELO_NONE(0.001),SPF_PASS(-0.001),T_SCC_BODY_TEXT_LINE(-0.01),URIBL_BLOCKED(0.001)
Aug 24 15:40:49 mailgw postfix/smtpd[70169]: connect from localhost.localdomain[127.0.0.1]
Aug 24 15:40:49 mailgw postfix/smtpd[70169]: B141441516: client=localhost.localdomain[127.0.0.1], orig_client=mail14.investinafrica.nl[212.192.216.247]
Aug 24 15:40:49 mailgw postfix/cleanup[70163]: B141441516: message-id=<l4ekECO3UQQIzG1yl4ekECO3UQQIzG1yl4ekECO3UQQIzG1y@investinafrica.nl>
Aug 24 15:40:49 mailgw postfix/qmgr[854]: B141441516: from=<Mariselvm@investinafrica.nl>, size=3829, nrcpt=1 (queue active)
Aug 24 15:40:49 mailgw postfix/smtpd[70169]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
Aug 24 15:40:49 mailgw pmg-smtp-filter[69959]: 414F863062A608DF23: accept mail to <Kunde@domain.at> (B141441516) (rule: default-accept)
Aug 24 15:40:49 mailgw pmg-smtp-filter[69959]: 414F863062A608DF23: processing time: 1.148 seconds (1.106, 0.024, 0)
Aug 24 15:40:49 mailgw postfix/lmtp[70165]: 82D1F41322: to=<Kunde@domain.at>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.3, delays=0.11/0/0/1.2, dsn=2.5.0, status=sent (250 2.5.0 OK (414F863062A608DF23))
Aug 24 15:40:49 mailgw postfix/qmgr[854]: 82D1F41322: removed
Aug 24 15:40:49 mailgw postfix/smtp[70170]: Untrusted TLS connection established to DestinationIP[DestinationIP]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Aug 24 15:40:50 mailgw postfix/smtp[70170]: B141441516: to=<Kunde@domain.at>, relay=DestinationIP[DestinationIP]:25, delay=0.28, delays=0/0/0.08/0.19, dsn=2.6.0, status=sent (250 2.6.0 <l4ekECO3UQQIzG1yl4ekECO3UQQIzG1yl4ekECO3UQQIzG1y@investinafrica.nl> [InternalId=201897822650378, Hostname=ExchangeLocal.local] 5199 bytes in 0.154, 32,916 KB/sec Queued mail for delivery)
Aug 24 15:40:50 mailgw postfix/qmgr[854]: B141441516: removed

 

[Patrick_KR]

Sollte eigentlich in der GUI das Mail als Spam erkannt werden oder ist die Info mit Delivered normal ?
Den in der Gui im Trackingcenter habe ich eigentlich nur solche Infos drinnen. Es werden Mails erkannt, die dann in Quarantäne sind (die haben einen Score von über 18) allerdings sind das extrem wenige.

 

[Stoiko Ivanov]

hits=DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),HTML_MESSAGE(0.001),MIME_HTML_ONLY(0.1),PDS_NO_FULL_NAME_SPOOFED_URL(0.748),PDS_SHORT_SPOOFED_URL(1.997),RCVD_IN_DNSWL_HI(-5),SPF_HELO_NONE(0.001),SPF_PASS(-0.001),T_SCC_BODY_TEXT_LINE(-0.01),URIBL_BLOCKED(0.001)

primäres Thema hier ist meiner Meinung nach das URIBL_BLOCKED (dns-server der von PMG verwendet wird ist über dem request limit bei URIBL) - siehe hierzu die Getting Started page im pmg-wiki - die Tipps würde ich mal umsetzen:
https://pmg.proxmox.com/wiki/index.php/Getting_started_with_Proxmox_Mail_Gateway

Sonst ist an den Spamscores auffällig, dass RCVD_IN_DNSWL_HI(-5) sehr viel abzieht - hier vielleicht den score um ein paar punkte runter setzen - ist in der Referenzdoku beschriben:
section 4.8.3 bei: https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmgconfig_spamdetector

Den in der Gui im Trackingcenter habe ich eigentlich nur solche Infos drinnen.

was die unterschiedlichen Status Einträge sind ist in der Referenzdoku beschrieben:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmg_tracking_center

Ich hoffe das hilft!

 

[Patrick_KR]

Danke für den Hinweis mit URIBL_BLOCKED.. genau das war das Problem.
Wurde mittlerweile gelöst und es werden nun wieder alle Filter akzeptiert und auch angewendet.

vielen Dank