Sender in Welcomelist ?

M

Moulay

Member
Proxmox Subscriber
Jan 1, 2022
8
5
8
50
Germany
Hallo zusammen,

ich habe ein kleines verständnis Problem und hoffe mir kann jemand helfen.
Und zwar geht es um eine Phishingmail die vom PMG am Mailserver weitergeleitet worden ist.
Ich hatte mich nämlich gewundert weshalb die Mail überhaupt weitergeleitet worden ist, obwohl sie ein Spamwert von 12 hat.
In meiner Konfiguration werden normnalerweise alle Mails ab einen Spamwert von 6 in Quarantäne verschoben und ab einen Spamwert von 8 abgewiesen.

(Mail ServerLog)
######################################################################
Message-ID: <JjDSCJF.97636.132.Emo@waipu.tv>
From: ADAC Pannenhilfe-Service <JjDSCJF@waipu.tv>
Subject: ?? {BELOHNEN} KOSTENLOSES AUTO-NOTFALLSET ??
To: <info@*****.de>
Content-Transfer-Encoding: 7bit
Content-Type: text/html; charset="UTF-8"
Date: Fri, 8 Nov 2024 13:23:51 +0100
X-SPAM-LEVEL: Spam detection results: 12
BAYES_50 0.8 Bayes spam probability is 40 to 60%
DMARC_MISSING 0.1 Missing DMARC policy
FROM_LOCAL_NOVOWEL 0.5 From: localpart has series of non-vowel letters
HTML_MESSAGE 0.001 HTML included in message
KAM_DMARC_STATUS 0.01 Test Rule for DKIM or SPF Failure with Strict Alignment
KAM_SHORT 0.001 Use of a URL Shortener for very short URL
MIME_HTML_ONLY 0.1 Message only has text/html MIME parts
RCVD_IN_BL_SPAMCOP_NET 1.347 Received via a relay in bl.spamcop.net
RCVD_IN_SBL_CSS 3.335 Received via a relay in Spamhaus SBL-CSS
RDNS_NONE 0.793 Delivered to internal network by a host with no rDNS
SPF_HELO_NEUTRAL 0.112 SPF: HELO does not match SPF record (neutral)
SUBJ_ALL_CAPS 0.5 Subject is all capitals
TO_NO_BRKTS_NORDNS_HTML 0.913 To: lacks brackets and no rDNS and HTML only
URIBL_BLACK 4 Contains an URL listed in the URIBL blacklist [buff.ly]
Return-Path: <>
#################################################################

Als ich mir dann die Mail im PMG angeschaut habe wurde ich erstmal stutzig, da ich die Mail im Tracking Center nicht finden konnte.
Erst nachdem ich explizit nach Leere Absender gesucht habe, habe ich die Mail gefunden. Laut PMG wurde die Mail trotz Spam Wert von 12 weitergeleitet da sich der Absender angeblich in der Welcomlist befindet.

(PMG Log)
################################################################################

2024-11-08T13:31:55.001282+01:00 mail postfix/smtpd[474878]: connect from unknown[23.228.89.69]
2024-11-08T13:31:55.404517+01:00 mail postfix/smtpd[474878]: 62AF2241605: client=unknown[23.228.89.69]
2024-11-08T13:31:57.331396+01:00 mail postfix/cleanup[474823]: 62AF2241605: message-id=<JjDSCJF.97636.132.Emo@waipu.tv>
2024-11-08T13:31:57.362899+01:00 mail postfix/qmgr[70462]: 62AF2241605: from=<>, size=4475, nrcpt=1 (queue active)
2024-11-08T13:31:57.416015+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: new mail message-id=<JjDSCJF.97636.132.Emo@waipu.tv>#012
2024-11-08T13:31:57.563028+01:00 mail postfix/smtpd[474878]: disconnect from unknown[23.228.89.69] ehlo=1 mail=1 rcpt=1 bdat=1 quit=1 commands=5
2024-11-08T13:32:03.235733+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: SA score=12/5 time=5.752 bayes=0.50 autolearn=no autolearn_force=no hits=BAYES_50(0.8),DMARC_MISSING(0.1),FROM_LOCAL_NOVOWEL(0.5),HTML_MESSAGE(0.001),KAM_DMARC_STATUS(0.01),KAM_SHORT(0.001),MIME_HTML_ONLY(0.1),RCVD_IN_BL_SPAMCOP_NET(1.347),RCVD_IN_SBL_CSS(3.335),RDNS_NONE(0.793),SPF_HELO_NEUTRAL(0.112),SUBJ_ALL_CAPS(0.5),TO_NO_BRKTS_NORDNS_HTML(0.913),URIBL_BLACK(4)
2024-11-08T13:32:03.241119+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: sender in user (info@*****.de) welcomelist
2024-11-08T13:32:03.245669+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: sender in user (info@*****.de) welcomelist
2024-11-08T13:32:03.248173+01:00 mail postfix/smtpd[474831]: connect from localhost.localdomain[127.0.0.1]
2024-11-08T13:32:03.250196+01:00 mail postfix/smtpd[474831]: 3D08B241738: client=localhost.localdomain[127.0.0.1], orig_client=unknown[23.228.89.69]
2024-11-08T13:32:03.292250+01:00 mail postfix/cleanup[474823]: 3D08B241738: message-id=<JjDSCJF.97636.132.Emo@waipu.tv>
#####################################################################

Der Absender befindet sich aber nicht in der Whitelist und auch nicht in der Benutzer Whitelist.
Kann mir nun jemand erklären warum diese Mail nicht geblockt wurde ?
Liegt es eventuell daran dass der PMG keine Absenderadresse erkannt hat? kann ich etwas machen ob diese Lücke zu schliessen, so das z.B. alle Mails ohne Absender automatisch in Quarantäne landen.

Vielen Dank für eure Hilfe.
 
Last edited:
Moulay said:
Der Absender befindet sich aber nicht in der Whitelist und auch nicht in der Benutzer Whitelist.
Click to expand...
Die logzeile:
Moulay said:
2024-11-08T13:32:03.241119+01:00 mail pmg-smtp-filter[474464]: 24172E672E04BD63450: sender in user (info@*****.de) welcomelist
Click to expand...
besagt, dass die addresse in der user-whitelist steht - bitte mal einen screenshot der user-list von info@*****.de teilen
 
Hm - der screenshot sieht ein wenig seltsam aus - (das Menü links wird mehrmals dargestellt)

* wie sieht die gesamte spam-mail aus - kann es sein, dass es mehrere From header darin gibt, bzw. kommt irgendetwas von der user-welcome list in den headern der mail vor?

Ich habe es nochmal getestet, und auch beim klicken auf 'Whitelist' im Spamreport, wird die leere Adresse nicht zur user-liste hinzugefügt (über die GUI geht das ebensowenig)

vl. sicherheitshalber dennoch mal die user-liste auf der cli ansehen:
* pmgsh get /quarantine/whitelist -pmail 'info@*****.de'

P.S. der Screenshot kann wieder gelöscht werden.
 
Ja das Screenshot sieht so aus weil ich es zusammengeschnitten habe, so dass alle eingetragen Adressen in einem Bild sichtbar sind.
Danke für die Info, habe es wieder gelöscht.

Ich konnte leider keine anderen Mailadressen im Header finden.
Ich habe mir die Whitelist (mit dem Befehl von Ihnen) auch nochmal in der Console angeschaut, doch es sind die selben einträge wie auch in der Gui.
 

Attachments

  • spammail.jpg
    spammail.jpg
    475.2 KB · Views: 3
Moulay said:
Soll ich einfach die komplette Whitelist von Info löschen und gut ist?
Click to expand...

Wenn das eine Option ist - dann wäre das sicher eine der saubersten Möglichkeiten.

Ansonsten - kann im pmgproxy.log noch nachgeschaut werden, ob sich bei den Listen noch etwas getan hat:
`grep '\/quarantine\/whitelist' /var/log/pmgproxy/pmgproxy.log /var/log/pmgproxy/pmgproxy.log.1`

Ich hoffe das hilft
 
Guten Morgen Stoiko,
Ja das ist eine Option für mich, denn wenn ich die Whitelist lösche landen die Mails ggf. wieder in Quarantäne und ich setze sie dann einfach wieder in die Whitelist. Ist vieleicht sogar besser mal die Whitelist neu zu erstellen, denn da die Spam Erkennung über die Jahre besser geworden ist,
kann es sogar sein dass nicht mehr so viele Adressen in die Whitelist müssen.

Vielen Dank für die Hilfe und viele Grüße :)
 
  • Like
Reactions: Stoiko Ivanov
Moulay said:
Ist vieleicht sogar besser mal die Whitelist neu zu erstellen, denn da die Spam Erkennung über die Jahre besser geworden ist,
kann es sogar sein dass nicht mehr so viele Adressen in die Whitelist müssen.
Click to expand...
Genau - deswegen die Empfehlung, mal frisch anzufangen!

Moulay said:
Vielen Dank für die Hilfe und viele Grüße :)
Click to expand...
Sehr gerne - danke für das nette Feedback!
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back