Globale Backlist

S

SvG

New Member
Jul 27, 2021
11
0
1
Frankfurt am Main
blog.goelles.it
Hallo,

habe seit letzter Woche das Mail Gateway 7.0-7 am laufen und bin mit der Spam-Erkennung noch nicht so richtig zufrieden - vielleicht liegt es aber auch nur am fine tuning. Hier meine Frage - ich verwende mehrerer Domains mit unterschiedlichen Email-Adressen.

Bis jetzt habe ich nur die User Blacklist verwendet - sehe ich das richtig, dass man SPAM-Versender nur für einzelen Email-Adressen sperren kann? Es würde doch mehr Sinn machen einen SPAM-Versender gleich für eine gesamte Domain oder noch besser für alle Domains im PMG zu sperren. Das gleiche wäre ebenso hilfreich bei Word Lists mit gesperrten Wörten oder Satzteilen - gibt es dafür schon eine Funktion?

Vielen Dank
Sven
 
Vielen Dank - dort habe ich schon einmal geschaut, bin aber nicht zum gewünschten Ergebnis gekommen. Aber dann schaue ich mir das Wiki noch einmal genauer an. Ganz so trivial sind die Einstellungen dort leider nicht.

Sven
 
Sehr viel weiter bin ich leider noch nicht gekommen - im Wiki fehlen meiner Ansicht nach die passenden Beispiele. Was ich nicht gefunden habe ist die Möglichkeit alle eingehenden Mails an sales@ oder info@ für alle hinterlegten Domains zu sperren. Wo wäre hier der richtige Ansatz?

Vielen Dank
Sven
 
SvG said:
Sehr viel weiter bin ich leider noch nicht gekommen - im Wiki fehlen meiner Ansicht nach die passenden Beispiele. Was ich nicht gefunden habe ist die Möglichkeit alle eingehenden Mails an sales@ oder info@ für alle hinterlegten Domains zu sperren. Wo wäre hier der richtige Ansatz?
Click to expand...
im regelsystem gibt es eine default regel namens 'blacklist' die alle dinge blockier die im default 'who' object 'blacklist' definiert sind. am besten dort die relevanten matches hinterlegen (in dem genannten beispiel eine regex für 'sales@.*' zb)
 
  • Like
Reactions: ukro
Nach ein paar Tagen muss ich doch noch einmal nachfragen.

Folgendes Szenario:
ich verwende PMG nur um eingehende Mails zu scannen und an einen Exchange weiterzugeben. Alle ausgehenden Mails schickt dieser direkt raus.

Ich hatte wie oben beschrieben unter Mail Filter / Who Objects / BlackList sowohl die interne Email-Adr: sales@.* wie auch den Absender .*.co durch eine Regular Expression gesperrt - also dachte ich.

Trotzdem wurde eine Mail von .......@mail.dollarfreedom.co auf sales@.... greylisted anstatt diese sofort zu rejecten:

PMG.JPG

Code: 
Aug 9 11:30:42 mail postfix/smtpd[839010]: connect from unknown[163.123.143.149]
Aug 9 11:30:44 mail postfix/smtpd[839010]: NOQUEUE: reject: RCPT from unknown[163.123.143.149]: 450 4.7.1 <sales@tetsoft.com>: Recipient address rejected: Service is unavailable (try later); from=<4168-1963-8334-998-sales=tetsoft.com@mail.dollarfreedom.co> to=<sales@tetsoft.com> proto=ESMTP helo=<miami.dollarfreedom.co>
Aug 9 11:30:44 mail postfix/smtpd[839010]: disconnect from unknown[163.123.143.149] ehlo=1 mail=1 rcpt=0/1 quit=1 commands=3/4

Warum wird diese Mail nicht gleich abgelehnt und kommt erst einmal auf die greylist?

Danke
Sven
 
Das Greylisting geschieht bevor die Mail den Filter erreicht, somit kann die Filter-Blacklist auch nicht greifen.
 
Vielen Dank - verstanden.

Wie schaut es mit dem Status "quarantine" aus? Hier sollte doch auf jeden Fall die Blacklist zuerst greifen.

mariet@tetsoft.com steht auf der Who Objects / BackList / Email - ein Mail an diese Adr. wandert trotzdem erst in die Quarantäne.

2.JPG

Code: 
Aug 9 11:51:27 mail postfix/smtpd[840921]: connect from especiallysent.com[199.217.117.132]
Aug 9 11:51:27 mail postfix/smtpd[840921]: Anonymous TLS connection established from especiallysent.com[199.217.117.132]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Aug 9 11:51:28 mail postfix/smtpd[840921]: 1BDE13009BD: client=especiallysent.com[199.217.117.132]
Aug 9 11:51:28 mail postfix/cleanup[840926]: 1BDE13009BD: message-id=<e4f05fcce7a2b6f3fb06cd13cbdecd82@especiallysent.com>
Aug 9 11:51:28 mail postfix/qmgr[841]: 1BDE13009BD: from=<return_path@especiallysent.com>, size=65267, nrcpt=1 (queue active)
Aug 9 11:51:28 mail postfix/smtpd[840921]: disconnect from especiallysent.com[199.217.117.132] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Aug 9 11:51:28 mail pmg-smtp-filter[815272]: 300A256110FAA083C8C: new mail message-id=<e4f05fcce7a2b6f3fb06cd13cbdecd82@especiallysent.com>#012
Aug 9 11:51:33 mail pmg-smtp-filter[815272]: 300A256110FAA083C8C: SA score=6/5 time=4.550 bayes=undefined autolearn=disabled hits=BANG_GUAR(1),DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),HTML_FONT_LOW_CONTRAST(0.001),HTML_MESSAGE(0.001),KAM_LOTSOFHASH(0.25),MAILING_LIST_MULTI(-1),RAND_MKTG_HEADER(1.998),RAZOR2_CF_RANGE_51_100(2.43),RAZOR2_CHECK(1.729),SPF_HELO_PASS(-0.001),SPF_PASS(-0.001)
Aug 9 11:51:33 mail pmg-smtp-filter[815272]: 300A256110FAA083C8C: moved mail for <mariet@tetsoft.com> to spam quarantine - 300AF16110FAA547975 (rule: Quarantine/Mark Spam (Level 3))
Aug 9 11:51:33 mail pmg-smtp-filter[815272]: 300A256110FAA083C8C: processing time: 4.823 seconds (4.55, 0.154, 0)
Aug 9 11:51:33 mail postfix/lmtp[840927]: 1BDE13009BD: to=<mariet@tetsoft.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=5.5, delays=0.56/0.05/0/4.8, dsn=2.5.0, status=sent (250 2.5.0 OK (300A256110FAA083C8C))
Aug 9 11:51:33 mail postfix/qmgr[841]: 1BDE13009BD: removed
 
Häng bitte die komplette Regel an, inklusive dem Inhalt des WHO-Objekts.
Und einen Überblick über alle vorhandenen Regeln.

Die einfachste Variante hierfür wäre der folgende Befehl:
pmgdb dump
 
Kein Problem - hier die Daten

Code: 
Found RULE 4 (prio: 98, in, active): Blacklist
  FOUND FROM GROUP 2: Blacklist
    OBJECT 234: .*@maxx-hotels.eu
    OBJECT 228: .*@novinrooz.com
    OBJECT 233: .*@ranihazarika.com
    OBJECT 238: .*\.click
    OBJECT 226: .*\.co
    OBJECT 237: .*\.guru
    OBJECT 236: .*\.rodeo
    OBJECT 227: .*\.us
    OBJECT 214: administrator@.*
    OBJECT 183: contact@*.
    OBJECT 239: getinform@.*
    OBJECT 235: petgod34tuew@.*
    OBJECT 155: sales@.*
    OBJECT 164: 0abenutzerdaten@tetcon.de
    OBJECT 224: 1234567@timobeil.de
    OBJECT 168: 45354bdb.5080500@goelles.de
    OBJECT 169: 4x4@goelles.de
    OBJECT 174: a1aaa1azzzz1zaaaaa@tetcon.de
    OBJECT 171: ace-server@tetcon.de
    OBJECT 57: admin@tet-online.de
    OBJECT 59: adobe@goelles.de
    OBJECT 173: afkyx@goelles.de
    OBJECT 172: ainius580@tetcon.de
    OBJECT 243: bayram901@sidb.de
    OBJECT 87: befelpwvu70pd@sidb.de
    OBJECT 194: benutzerdaten@tetcon.de
    OBJECT 182: burra1aaa1azzzz1zaaaaa@tetcon.de
    OBJECT 210: catchthismail@tetcon.de
    OBJECT 177: ceprima@tetsoft.de
    OBJECT 245: contact@tetsoft.de
    OBJECT 219: cristopherchilcote@sidb.de
    OBJECT 178: dainius580@tetcon.de
    OBJECT 184: datenrettung@tetcon.de
    OBJECT 216: ditportal@tetsoft.de
    OBJECT 213: durieuzcj@tet-consulting.de
    OBJECT 181: each@tetsoft.de
    OBJECT 139: florenzobellerin@gmail.com
    OBJECT 179: fridolfmahon@tet-online.de
    OBJECT 187: ge@goelles.de
    OBJECT 246: geo@goelles.de
    OBJECT 88: greggo-pich@sidb.de
    OBJECT 185: habv@tet-online.de
    OBJECT 193: hai@goelles.com
    OBJECT 89: hg@sidb.de
    OBJECT 186: huiware@tetsoft.de
    OBJECT 247: ilift@goelles.de
    OBJECT 248: info@070913.de
    OBJECT 250: info@frankfurt-zahnarzt.com
    OBJECT 251: info@stinkebuebchen.de
    OBJECT 252: info@timobeil.de
    OBJECT 188: iwljph@goelles.de
    OBJECT 223: john@sidb.de
    OBJECT 253: john@sidb.de
    OBJECT 190: kdhsq@goelles.com
    OBJECT 189: kxm@goelles.de
    OBJECT 215: lanchow@timobeil.de
    OBJECT 191: leprince@goelles.de
    OBJECT 220: locman@tetsoft.de
    OBJECT 254: macromedia@sidb.de
    OBJECT 255: mariet@tetsoft.com
    OBJECT 199: metrosneak@tetsoft.de
    OBJECT 256: mhotze@tetcon.de
    OBJECT 148: mts-seach@tetsoft.de
    OBJECT 217: muk@tetsoft.de
    OBJECT 156: netzwerk@tetcon.de
    OBJECT 197: ngoelles@tetcon.de
    OBJECT 232: ohn.i_c_q@sidb.de
    OBJECT 157: ohn.icq@sidb.de
    OBJECT 195: ontakt@tetcon.de
    OBJECT 196: pelletier@tet-consulting.de
    OBJECT 158: pixmania@goelles.de
    OBJECT 56: postmaster@tetsoft.de
    OBJECT 221: renick-nijia@abi2000-6.de
    OBJECT 222: rhys@tet-consulting.de
    OBJECT 200: rsaaceserver@tetcon.de
    OBJECT 203: rstein@tetcon.de
    OBJECT 160: search@tetsoft.de
    OBJECT 259: sergejm@tet-online.de
    OBJECT 258: sergejm@tet-online.de
    OBJECT 92: sg@tetcon.de
    OBJECT 165: sp-@tet-online.de
    OBJECT 159: sp@tet-online.de
    OBJECT 162: stletter@goelles.de
    OBJECT 63: support@tetsoft.de
    OBJECT 267: sven_goelles@tetcon.de
    OBJECT 202: svengoellesnn@tetcon.de
    OBJECT 211: sxncbo@goelles.com
    OBJECT 206: tel@tetsoft.de
    OBJECT 204: test@abi2000-6.de
    OBJECT 151: tetportal@tetsoft.de
    OBJECT 176: thisisjusttestletter@tetsoft.de
    OBJECT 147: travelmole@tetcon.de
    OBJECT 163: tsp-@tet-online.de
    OBJECT 207: ukkt@goelles.de
    OBJECT 166: uucp@abi2000-6.de
    OBJECT 205: vzugni@goelles.com
    OBJECT 208: webform@tetcon.de
    OBJECT 167: website@tetcon.de
    OBJECT 175: xyaktcdpwlxngm@tetcon.de
    OBJECT 209: zambia@goelles.de
    OBJECT 161: zar@goelles.de
    OBJECT 249: accounts-datalyticsbase.com
    OBJECT 263: accounts-datalyticsbase.com
    OBJECT 115: arty-hotel.uk
    OBJECT 48: b2b-utc.ru
    OBJECT 102: bazionerts.ru
    OBJECT 261: beliyuksis.com
    OBJECT 73: cobra-bonus.ru
    OBJECT 125: defendersing.ru
    OBJECT 138: eunet.rs
    OBJECT 132: fastfreedom.us
    OBJECT 101: fernando-hotel.ch
    OBJECT 116: gerilonse-hopeu.com.de
    OBJECT 145: gerilonse-hopeu.com.se
    OBJECT 264: getminesdaily.com
    OBJECT 106: gotorinshotel.nrw
    OBJECT 107: hot-hotels.fr
    OBJECT 124: hot-hotels.photos
    OBJECT 137: juvenilis.de
    OBJECT 69: kerkwinkel.nl
    OBJECT 78: mail.dizzinesspro.us
    OBJECT 99: mail.edpilot.co
    OBJECT 141: mail.fastfreedom.us
    OBJECT 128: mail.gerilonse-hopeu.com.se
    OBJECT 97: mail.homedepotes.co
    OBJECT 77: mail.ideator.us
    OBJECT 98: mail.incomstate.co
    OBJECT 80: mail.prayrmiracle.us
    OBJECT 76: mail.progrows.us
    OBJECT 96: mail.uvenergy.link
    OBJECT 133: maxdention.mobi
    OBJECT 117: maxx-hotels.eu
    OBJECT 135: maxx-hotels.eu
    OBJECT 67: mirengo.ru
    OBJECT 100: monjasdominicas.com
    OBJECT 136: narme.fr
    OBJECT 265: newsterling.com.de
    OBJECT 103: newsyour.info
    OBJECT 260: novinrooz.com
    OBJECT 119: novinrooz.com
    OBJECT 104: photoworld.co.uk
    OBJECT 113: pimaawards.com
    OBJECT 112: pinqkerton.com
    OBJECT 93: provaccine.us
    OBJECT 53: s1.b2b-utc.ru
    OBJECT 74: s1.moving-office.ru
    OBJECT 71: s2.moving-office.ru
    OBJECT 45: s3.moving-office.ru
    OBJECT 109: s4.b2b-utc.ru
    OBJECT 54: s4.cobra-bonus.ru
    OBJECT 75: s4.mirengo.ru
    OBJECT 65: s4.moving-office.ru
    OBJECT 262: s5.ajne.ru
    OBJECT 68: s5.b2b-utc.ru
    OBJECT 55: s5.mirengo.ru
    OBJECT 47: s6.moving-office.ru
    OBJECT 46: s7.mirengo.ru
    OBJECT 43: s7.moving-office.ru
    OBJECT 72: s9.b2b-utc.ru
    OBJECT 51: s9.cobra-bonus.ru
    OBJECT 66: s9.mirengo.ru
    OBJECT 146: screenweave.org
    OBJECT 143: tiscali.it
    OBJECT 121: tiscali.it
    OBJECT 105: tuttinellostessocampo.it
    OBJECT 144: usmailinglist.online
    OBJECT 240: 87.251.86.74
  FOUND ACTION GROUP 18: Block
    OBJECT 31: block message
Found RULE 2 (prio: 96, in, active): Block Viruses
  FOUND WHAT GROUP 9: Virus
    OBJECT 22: active
  FOUND ACTION GROUP 19: Quarantine
    OBJECT 32: Move to quarantine.
  FOUND ACTION GROUP 20: Notify Admin
    OBJECT 33: notify __ADMIN__
Found RULE 3 (prio: 96, out, active): Virus Alert
  FOUND WHAT GROUP 9: Virus
    OBJECT 22: active
  FOUND ACTION GROUP 18: Block
    OBJECT 31: block message
  FOUND ACTION GROUP 20: Notify Admin
    OBJECT 33: notify __ADMIN__
  FOUND ACTION GROUP 21: Notify Sender
    OBJECT 34: notify __SENDER__
Found RULE 1 (prio: 93, in, active): Block Dangerous Files
  FOUND WHAT GROUP 8: Dangerous Content
    OBJECT 16: content-type=application/javascript
    OBJECT 17: content-type=application/x-executable
    OBJECT 15: content-type=application/x-java
    OBJECT 14: content-type=application/x-ms-dos-executable
    OBJECT 18: content-type=application/x-ms-dos-executable
    OBJECT 266: content-type=message/Dispokredit
    OBJECT 19: content-type=message/partial
    OBJECT 84: content-type=message/sex
    OBJECT 20: filename=.*\.(vbs|pif|lnk|shs|shb)
    OBJECT 21: filename=.*\.\{.+\}
  FOUND ACTION GROUP 15: Remove attachments
    OBJECT 28: remove matching attachments
Found RULE 5 (prio: 90, in, active): Modify Header
  FOUND ACTION GROUP 13: Modify Spam Level
    OBJECT 26: modify field: X-SPAM-LEVEL:__SPAM_INFO__
Found RULE 13 (prio: 89, in, inactive): Quarantine Office Files
  FOUND WHAT GROUP 7: Office Files
    OBJECT 9: content-type=application/msword
    OBJECT 7: content-type=application/vnd\.ms-excel
    OBJECT 8: content-type=application/vnd\.ms-powerpoint
    OBJECT 11: content-type=application/vnd\.oasis\.opendocument\..*
    OBJECT 10: content-type=application/vnd\.openxmlformats-officedocument\..*
    OBJECT 12: content-type=application/vnd\.stardivision\..*
    OBJECT 13: content-type=application/vnd\.sun\.xml\..*
  FOUND ACTION GROUP 23: Attachment Quarantine (remove matching)
    OBJECT 36: remove matching attachments
Found RULE 12 (prio: 87, in+out, inactive): Block Multimedia Files
  FOUND WHAT GROUP 6: Multimedia
    OBJECT 5: content-type=audio/.*
    OBJECT 6: content-type=video/.*
  FOUND ACTION GROUP 15: Remove attachments
    OBJECT 28: remove matching attachments
Found RULE 6 (prio: 85, in, active): Whitelist
  FOUND FROM GROUP 3: Whitelist
    OBJECT 153: dropbox@goelles.it
    OBJECT 64: jabba@goelles.it
    OBJECT 154: mr-sys@goelles.it
    OBJECT 241: sven@goelles.com
  FOUND ACTION GROUP 17: Accept
    OBJECT 30: accept message
Found RULE 9 (prio: 82, in, inactive): Block Spam (Level 10)
  FOUND WHAT GROUP 12: Spam (Level 10)
    OBJECT 25: Level 10
  FOUND ACTION GROUP 18: Block
    OBJECT 31: block message
Found RULE 8 (prio: 81, in, inactive): Quarantine/Mark Spam (Level 5)
  FOUND WHAT GROUP 11: Spam (Level 5)
    OBJECT 24: Level 5
  FOUND ACTION GROUP 14: Modify Spam Subject
    OBJECT 27: modify field: subject:SPAM: __SUBJECT__
  FOUND ACTION GROUP 19: Quarantine
    OBJECT 32: Move to quarantine.
Found RULE 7 (prio: 80, in, active): Quarantine/Mark Spam (Level 3)
  FOUND WHAT GROUP 10: Spam (Level 3)
    OBJECT 23: Level 3
  FOUND ACTION GROUP 14: Modify Spam Subject
    OBJECT 27: modify field: subject:SPAM: __SUBJECT__
  FOUND ACTION GROUP 19: Quarantine
    OBJECT 32: Move to quarantine.
Found RULE 10 (prio: 70, out, inactive): Block outgoing Spam
  FOUND WHAT GROUP 10: Spam (Level 3)
    OBJECT 23: Level 3
  FOUND ACTION GROUP 18: Block
    OBJECT 31: block message
  FOUND ACTION GROUP 20: Notify Admin
    OBJECT 33: notify __ADMIN__
  FOUND ACTION GROUP 21: Notify Sender
    OBJECT 34: notify __SENDER__
Found RULE 11 (prio: 60, out, inactive): Add Disclaimer
  FOUND ACTION GROUP 22: Disclaimer
    OBJECT 35: disclaimer
 
Anhand der Blacklist Regel werden aber Mails von mariet@tetsoft.com geblockt. Nicht zu dieser Adresse, siehe das
Code: 
Found RULE 4 (prio: 98, in, active): Blacklist
  FOUND FROM GROUP 2: Blacklist
Und die Mails von Adressen in der Blacklist werden geblockt, nicht in die Quarantäne verschoben, siehe:
Code: 
FOUND ACTION GROUP 18: Block
    OBJECT 31: block message
 
Vielen Dank Mira,

habe gehofft, dass die BlackList in beide Richtungen funktioniert.
dcsapak said:
im regelsystem gibt es eine default regel namens 'blacklist' die alle dinge blockier die im default 'who' object 'blacklist' definiert sind. am besten dort die relevanten matches hinterlegen (in dem genannten beispiel eine regex für 'sales@.*' zb)
Click to expand...
Dann habe ich Dominik hier falsch verstanden - ich war auch der Suche nach internen Email Adr also Empfänger sales@ die geblockt werden sollen.

Viele Grüße
Sven
 
Am Besten zusätzlich zur default Blacklist Regel noch eine weitere hinzufügen die ähnlich aufgebaut ist, aber mit einem `TO` Who Objekt.
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom