Hallo zusammen,
ich habe ein kleines verständnis Problem und hoffe mir kann jemand helfen.
Und zwar geht es um eine Phishingmail die vom PMG am Mailserver weitergeleitet worden ist.
Ich hatte mich nämlich gewundert weshalb die Mail überhaupt weitergeleitet worden ist, obwohl sie ein Spamwert von 12 hat.
In meiner Konfiguration werden normnalerweise alle Mails ab einen Spamwert von 6 in Quarantäne verschoben und ab einen Spamwert von 8 abgewiesen.
(Mail ServerLog)
######################################################################
Message-ID: <JjDSCJF.97636.132.Emo@waipu.tv>
From: ADAC Pannenhilfe-Service <JjDSCJF@waipu.tv>
Subject: ?? {BELOHNEN} KOSTENLOSES AUTO-NOTFALLSET ??
To: <info@*****.de>
Content-Transfer-Encoding: 7bit
Content-Type: text/html; charset="UTF-8"
Date: Fri, 8 Nov 2024 13:23:51 +0100
X-SPAM-LEVEL: Spam detection results: 12
BAYES_50 0.8 Bayes spam probability is 40 to 60%
DMARC_MISSING 0.1 Missing DMARC policy
FROM_LOCAL_NOVOWEL 0.5 From: localpart has series of non-vowel letters
HTML_MESSAGE 0.001 HTML included in message
KAM_DMARC_STATUS 0.01 Test Rule for DKIM or SPF Failure with Strict Alignment
KAM_SHORT 0.001 Use of a URL Shortener for very short URL
MIME_HTML_ONLY 0.1 Message only has text/html MIME parts
RCVD_IN_BL_SPAMCOP_NET 1.347 Received via a relay in bl.spamcop.net
RCVD_IN_SBL_CSS 3.335 Received via a relay in Spamhaus SBL-CSS
RDNS_NONE 0.793 Delivered to internal network by a host with no rDNS
SPF_HELO_NEUTRAL 0.112 SPF: HELO does not match SPF record (neutral)
SUBJ_ALL_CAPS 0.5 Subject is all capitals
TO_NO_BRKTS_NORDNS_HTML 0.913 To: lacks brackets and no rDNS and HTML only
URIBL_BLACK 4 Contains an URL listed in the URIBL blacklist [buff.ly]
Return-Path: <>
#################################################################
Als ich mir dann die Mail im PMG angeschaut habe wurde ich erstmal stutzig, da ich die Mail im Tracking Center nicht finden konnte.
Erst nachdem ich explizit nach Leere Absender gesucht habe, habe ich die Mail gefunden. Laut PMG wurde die Mail trotz Spam Wert von 12 weitergeleitet da sich der Absender angeblich in der Welcomlist befindet.
(PMG Log)
################################################################################
2024-11-08T13:31:55.001282+01:00 mail postfix/smtpd[474878]: connect from unknown[23.228.89.69]
2024-11-08T13:31:55.404517+01:00 mail postfix/smtpd[474878]: 62AF2241605: client=unknown[23.228.89.69]
2024-11-08T13:31:57.331396+01:00 mail postfix/cleanup[474823]: 62AF2241605: message-id=<JjDSCJF.97636.132.Emo@waipu.tv>
2024-11-08T13:31:57.362899+01:00 mail postfix/qmgr[70462]: 62AF2241605: from=<>, size=4475, nrcpt=1 (queue active)
2024-11-08T13:31:57.416015+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: new mail message-id=<JjDSCJF.97636.132.Emo@waipu.tv>#012
2024-11-08T13:31:57.563028+01:00 mail postfix/smtpd[474878]: disconnect from unknown[23.228.89.69] ehlo=1 mail=1 rcpt=1 bdat=1 quit=1 commands=5
2024-11-08T13:32:03.235733+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: SA score=12/5 time=5.752 bayes=0.50 autolearn=no autolearn_force=no hits=BAYES_50(0.8),DMARC_MISSING(0.1),FROM_LOCAL_NOVOWEL(0.5),HTML_MESSAGE(0.001),KAM_DMARC_STATUS(0.01),KAM_SHORT(0.001),MIME_HTML_ONLY(0.1),RCVD_IN_BL_SPAMCOP_NET(1.347),RCVD_IN_SBL_CSS(3.335),RDNS_NONE(0.793),SPF_HELO_NEUTRAL(0.112),SUBJ_ALL_CAPS(0.5),TO_NO_BRKTS_NORDNS_HTML(0.913),URIBL_BLACK(4)
2024-11-08T13:32:03.241119+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: sender in user (info@*****.de) welcomelist
2024-11-08T13:32:03.245669+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: sender in user (info@*****.de) welcomelist
2024-11-08T13:32:03.248173+01:00 mail postfix/smtpd[474831]: connect from localhost.localdomain[127.0.0.1]
2024-11-08T13:32:03.250196+01:00 mail postfix/smtpd[474831]: 3D08B241738: client=localhost.localdomain[127.0.0.1], orig_client=unknown[23.228.89.69]
2024-11-08T13:32:03.292250+01:00 mail postfix/cleanup[474823]: 3D08B241738: message-id=<JjDSCJF.97636.132.Emo@waipu.tv>
#####################################################################
Der Absender befindet sich aber nicht in der Whitelist und auch nicht in der Benutzer Whitelist.
Kann mir nun jemand erklären warum diese Mail nicht geblockt wurde ?
Liegt es eventuell daran dass der PMG keine Absenderadresse erkannt hat? kann ich etwas machen ob diese Lücke zu schliessen, so das z.B. alle Mails ohne Absender automatisch in Quarantäne landen.
Vielen Dank für eure Hilfe.
ich habe ein kleines verständnis Problem und hoffe mir kann jemand helfen.
Und zwar geht es um eine Phishingmail die vom PMG am Mailserver weitergeleitet worden ist.
Ich hatte mich nämlich gewundert weshalb die Mail überhaupt weitergeleitet worden ist, obwohl sie ein Spamwert von 12 hat.
In meiner Konfiguration werden normnalerweise alle Mails ab einen Spamwert von 6 in Quarantäne verschoben und ab einen Spamwert von 8 abgewiesen.
(Mail ServerLog)
######################################################################
Message-ID: <JjDSCJF.97636.132.Emo@waipu.tv>
From: ADAC Pannenhilfe-Service <JjDSCJF@waipu.tv>
Subject: ?? {BELOHNEN} KOSTENLOSES AUTO-NOTFALLSET ??
To: <info@*****.de>
Content-Transfer-Encoding: 7bit
Content-Type: text/html; charset="UTF-8"
Date: Fri, 8 Nov 2024 13:23:51 +0100
X-SPAM-LEVEL: Spam detection results: 12
BAYES_50 0.8 Bayes spam probability is 40 to 60%
DMARC_MISSING 0.1 Missing DMARC policy
FROM_LOCAL_NOVOWEL 0.5 From: localpart has series of non-vowel letters
HTML_MESSAGE 0.001 HTML included in message
KAM_DMARC_STATUS 0.01 Test Rule for DKIM or SPF Failure with Strict Alignment
KAM_SHORT 0.001 Use of a URL Shortener for very short URL
MIME_HTML_ONLY 0.1 Message only has text/html MIME parts
RCVD_IN_BL_SPAMCOP_NET 1.347 Received via a relay in bl.spamcop.net
RCVD_IN_SBL_CSS 3.335 Received via a relay in Spamhaus SBL-CSS
RDNS_NONE 0.793 Delivered to internal network by a host with no rDNS
SPF_HELO_NEUTRAL 0.112 SPF: HELO does not match SPF record (neutral)
SUBJ_ALL_CAPS 0.5 Subject is all capitals
TO_NO_BRKTS_NORDNS_HTML 0.913 To: lacks brackets and no rDNS and HTML only
URIBL_BLACK 4 Contains an URL listed in the URIBL blacklist [buff.ly]
Return-Path: <>
#################################################################
Als ich mir dann die Mail im PMG angeschaut habe wurde ich erstmal stutzig, da ich die Mail im Tracking Center nicht finden konnte.
Erst nachdem ich explizit nach Leere Absender gesucht habe, habe ich die Mail gefunden. Laut PMG wurde die Mail trotz Spam Wert von 12 weitergeleitet da sich der Absender angeblich in der Welcomlist befindet.
(PMG Log)
################################################################################
2024-11-08T13:31:55.001282+01:00 mail postfix/smtpd[474878]: connect from unknown[23.228.89.69]
2024-11-08T13:31:55.404517+01:00 mail postfix/smtpd[474878]: 62AF2241605: client=unknown[23.228.89.69]
2024-11-08T13:31:57.331396+01:00 mail postfix/cleanup[474823]: 62AF2241605: message-id=<JjDSCJF.97636.132.Emo@waipu.tv>
2024-11-08T13:31:57.362899+01:00 mail postfix/qmgr[70462]: 62AF2241605: from=<>, size=4475, nrcpt=1 (queue active)
2024-11-08T13:31:57.416015+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: new mail message-id=<JjDSCJF.97636.132.Emo@waipu.tv>#012
2024-11-08T13:31:57.563028+01:00 mail postfix/smtpd[474878]: disconnect from unknown[23.228.89.69] ehlo=1 mail=1 rcpt=1 bdat=1 quit=1 commands=5
2024-11-08T13:32:03.235733+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: SA score=12/5 time=5.752 bayes=0.50 autolearn=no autolearn_force=no hits=BAYES_50(0.8),DMARC_MISSING(0.1),FROM_LOCAL_NOVOWEL(0.5),HTML_MESSAGE(0.001),KAM_DMARC_STATUS(0.01),KAM_SHORT(0.001),MIME_HTML_ONLY(0.1),RCVD_IN_BL_SPAMCOP_NET(1.347),RCVD_IN_SBL_CSS(3.335),RDNS_NONE(0.793),SPF_HELO_NEUTRAL(0.112),SUBJ_ALL_CAPS(0.5),TO_NO_BRKTS_NORDNS_HTML(0.913),URIBL_BLACK(4)
2024-11-08T13:32:03.241119+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: sender in user (info@*****.de) welcomelist
2024-11-08T13:32:03.245669+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: sender in user (info@*****.de) welcomelist
2024-11-08T13:32:03.248173+01:00 mail postfix/smtpd[474831]: connect from localhost.localdomain[127.0.0.1]
2024-11-08T13:32:03.250196+01:00 mail postfix/smtpd[474831]: 3D08B241738: client=localhost.localdomain[127.0.0.1], orig_client=unknown[23.228.89.69]
2024-11-08T13:32:03.292250+01:00 mail postfix/cleanup[474823]: 3D08B241738: message-id=<JjDSCJF.97636.132.Emo@waipu.tv>
#####################################################################
Der Absender befindet sich aber nicht in der Whitelist und auch nicht in der Benutzer Whitelist.
Kann mir nun jemand erklären warum diese Mail nicht geblockt wurde ?
Liegt es eventuell daran dass der PMG keine Absenderadresse erkannt hat? kann ich etwas machen ob diese Lücke zu schliessen, so das z.B. alle Mails ohne Absender automatisch in Quarantäne landen.
Vielen Dank für eure Hilfe.
Last edited: