[SOLVED] Mail werden trotz Blacklist Eintrag akzeptiert

[Marco PRE]

Habe in der "Wer Objekte" unter Blacklist (Global blacklist) viele Einträge hinzugefügt. Teils Domänen, IP Adressen, E-Mail oder Regulärer Ausdruck.
Jedoch schaffen es einige Spam Sender trotz aller Einträge durch die Proxmox.
Ein besonders hartnäckiger Fall ist z.B. connect from mail47.sea21.rsgsv.net[148.105.12.47]
Die IP ändert immer, so habe ich die Domäne rsgsv.net aufgenommen. Das hatte nichts bewirkt. So habe ich "Regulärer Ausdruck" rsgsv.net hinzugefügt.
Bewirkt auch nichts.
Auf dem Exchangeserver habe ich zusätzlich eset Mailsecurity mit Spamfilter. Dort geht das auch durch.
Das ankommende Mail war in diesem Fall reply@thetrustedinsight.com, was jedoch jedesmal ändert.
Im Betreff steht: "The University Of Minnesota Seeks An Investment Analyst; New LP Jobs Posted" Also meiner Meinung nach wirklich Spam.

Trotz Blacklist Eintrag:
(A1AAB361B3E) (rule: default-accept)
Mar 23 17:07:11 proxmox postfix/qmgr[8616]: A1AAB361B3E: from=<bounce-mc.us2_4994894.1583813-a1b4129cdc@mail47.sea21.rsgsv.net>, size=44117, nrcpt=1 (queue active)

Kann man irgendwo eine totale Sperre für diesen Absender rsgsv.net einstellen?

 

[Stoiko Ivanov]

* Wie sieht die regular expression genau aus, die eingetragen wurde?
* bitte auch ein gesamtes log einer solchen mail, die durchgegangen ist posten.

 

[Marco PRE]

Hallo Stoiko, vielen Dank für deine schnelle Hilfe.

Unter "Domain" habe ich eingetragen: rsgsv.net
Unter "Regulärer Ausdruck" habe ich eingetragen: rsgsv.net
Im File habe ich ein Log diverser rsgsv.net Mails.

rsgsv.net ist nicht der einzige Hartnäckige Fall, da gibt es z.B noch connect from ccm167.constantcontact.com[208.75.123.167] Der ist genau so agressiv.

 

[Stoiko Ivanov]

die regular expression matches werden geanchored (soll heißen es wird auf '^<REGEX>$' gematched:
* versuch mal '.*rsgsv\.net' als regular expression in der Blacklist (ohne die einfachen Anführungszeichen ')
Ich hoffe das hilft!

 

[Marco PRE]

Proxmox will das nicht akzeptieren: The Regular Expression '^.*rsgsv\.net$' did not match the text '.*rsgsv\.net' (elapsed time: 0.266 ms) (500)

Ich habe eingetragen: .*rsgsv\.net

 

[Stoiko Ivanov]

hm? - das funktioniert hier:

.*rsgv\.net

eintragen und das matched dann auf 'foo.rsgv.net'

 

[Marco PRE]

Eintragen kann ich das schon, jedoch wenn ich "Test" anklicke kommt die Fehlermeldung. Oder kann ich diese ignorieren?

 

[Marco PRE]

Gilt dieser Eintrag auch für z.B. diesen Absender?
Mar 25 08:00:25 proxmox postfix/smtpd[20970]: connect from mail192.atl61.mcsv.net[205.201.135.192]
Mar 25 08:00:30 proxmox postfix/smtpd[20976]: connect from mail47.atl91.mcsv.net[198.2.130.47]

.*mcsv\.net

Gehört auch zu den Agressiven spamern.

 

[Marco PRE]

Hier noch das Logfile vn mcsv.net

 

[Stoiko Ivanov]

Eintragen kann ich das schon, jedoch wenn ich "Test" anklicke kommt die Fehlermeldung. Oder kann ich diese ignorieren?

womit wird getestet?
Wie geschrieben, mit der regex matched bei mir 'foo.rsgv.net'

Gilt dieser Eintrag auch für z.B. diesen Absender?

wenn .*mcsv\.net eingetragen wird, sollte das matchen - einfach mal einstellen und das log beobachten

Ich hoffe das hilft!

 

[Marco PRE]

Test beim erstellen des Eintrages, siehe PDF

 

[Stoiko Ivanov]

Wie geschrieben - mal mit dem was auch tatsächlich in der adresse steht testen - sprich mit 'test.mcsv.net' (ohne '*' und '\')
und auch einfach mal eintragen und im log schauen.

 

[Marco PRE]

Ok, werde das weiter verfolgen und morgen Bescheid geben ob das gewirkt hat.

 

[Marco PRE]

Stoiko, es hat geklappt. Besten Dank für deine Hilfe

 

[Stoiko Ivanov]

Freut zu hören

bitte den Thread als 'SOLVED' markieren - das hilft anderen usern mit ähnlichen Fragen.

Danke!