Senderdomäne sperren

thno

New Member
Feb 12, 2021
12
2
3
53
Hallo zusammen,

ich möchte verschiedene Top Level Domain (z.B. .ru, .hr etc ) als Absenderdomain sperren. Mit einem regulären Ausdruck (.*\.ru$) blockt mir die Regel auch Mails welche im Header irgendwo .ru haben. Gibt es eine Möglichkeit das anders zu lösen?

VG thno
 
Last edited:

mira

Proxmox Staff Member
Staff member
Aug 1, 2018
1,699
179
68
Wenn du auf den From Header matchen willst, dann ein WHAT Object erstellen mit `Match Field` und `From`.
Wenn du auf den Absender (Envelope-From) matchen willst -> WHO Object `From`.
 

thno

New Member
Feb 12, 2021
12
2
3
53
Ich möchte auf den Absender Matchen. Mit einem WHO-Objekt hatte ich es versucht. Ich habe dazu einen regulären Ausdruck verwandt: .*\.ru$
Wo bzw. wie setze ich das 'from' ein. Könntest du mir bitte den Ausdruck komplettieren.

VG thno
 

mira

Proxmox Staff Member
Staff member
Aug 1, 2018
1,699
179
68
Der Absender der dir angezeigt wird, ist der im `From` Header enthaltene.
Um auf diesen zu matchen, musst du ein What Objekt erstellen mit `Match Field`. Dort als Field `From` eintragen, und als Wert die Regex.
Du kannst die Regex dann auch entsprechend testen.

Die `Who` Objekte matchen auf den Envelope-From/Return-Path wenn du dir den Source einer Mail ansiehst.
 

thno

New Member
Feb 12, 2021
12
2
3
53
Hallo Mira,

muss mich leider korrigieren. Die Mails mit .ru kommen noch durch. Hier mal der Syntax welchen ich im What Objekt getestet habe:

ausschluss.PNG
Nochmal mein Ziel: Ich möchte alle Mails blocken, welche von der TopLevel-Domän .ru (Beispiel test@xxx.ru) kommen.
Vielleicht kannst du nochmal drüberschauen.

VG thno
 

dcsapak

Proxmox Staff Member
Staff member
Feb 1, 2016
7,892
956
163
33
Vienna
so sollte das schon klappen, kannst du den log von einer mail posten die trotzdem durchgeht?
 

thno

New Member
Feb 12, 2021
12
2
3
53
Wo finde ich das Log für eine einzelne Mail (/var/log/... oder aus dem TrackingCenter) ?

VG tno
 

dcsapak

Proxmox Staff Member
Staff member
Feb 1, 2016
7,892
956
163
33
Vienna
die logs sind in /var/log/mail.log bzw /var/log/syslog

aber ja tracking center ist komfortabler
 

thno

New Member
Feb 12, 2021
12
2
3
53
root@whmailgate02:/var/log# cat /var/log/mail.log | grep -e "A7932C551F" -e "879261151.2933948265.25268"
Nov 11 15:12:32 whmailgate02 postfix/cleanup[45159]: 0ACE0C4DBD: message-id=<879261151.2933948265.25268@chiaw81.cns-hy.int>
Nov 11 15:12:32 whmailgate02 pmg-smtp-filter[44016]: C550B618D24D0319D6: new mail message-id=<879261151.2933948265.25268@chiaw81.cns-hy.int>#012
Nov 11 15:12:52 whmailgate02 postfix/smtpd[45168]: A7932C551F: client=localhost.localdomain[127.0.0.1], orig_client=lx11.cns-hy.de[xxxx]
Nov 11 15:12:52 whmailgate02 postfix/cleanup[45159]: A7932C551F: message-id=<879261151.2933948265.25268@chiaw81.cns-hy.int>
Nov 11 15:12:52 whmailgate02 postfix/qmgr[15330]: A7932C551F: from=<chia@putin.ru>, size=1849, nrcpt=1 (queue active)
Nov 11 15:12:52 whmailgate02 pmg-smtp-filter[44016]: C550B618D24D0319D6: bcc to <SpamSammler@wh-hy.de> (rule: Quarantine/Mark Spam (Level 3), A7932C551F)
Nov 11 15:12:52 mailgate02 postfix/smtp[45169]: A7932C551F: to=<SpamSammler@xx.de>, relay=x.x.x.x[]:25, delay=0.16, delays=0.01/0.04/0/0.11, dsn=2.6.0, status=sent (250 2.6.0 <879261151.2933948265.25268@chiaw81.cns-hy.int> [InternalId=58252641435716, Hostname=xx.xx.int] 2685 bytes in 0.105, 24,790 KB/sec Queued mail for delivery)
Nov 11 15:12:52 whmailgate02 postfix/qmgr[15330]: A7932C551F: removed
 

dcsapak

Proxmox Staff Member
Staff member
Feb 1, 2016
7,892
956
163
33
Vienna
kannst du auch die header von der mail + die ganze regel posten?
 

thno

New Member
Feb 12, 2021
12
2
3
53
Sind natürlich erstmal Testmails:

Delivered-To: t.xxx@xxxx.de
Return-Path: chia@putin.ru
Received-SPF: none (putin.ru: No applicable sender policy available) receiver=mailgate.xxx.int; identity=mailfrom; envelope-from="chia@putin.ru"; helo=chiaw81.cns-hy.int; client-ip=xx.xx.xx.xx
Received: from chiaw81.xxx-hy.int (lx11.xxx-hy.de [xx.xx.xx.xx])
by mailgate.xxx.de (Proxmox) with SMTP id E09C6C4DF8
for <t.xxx@xxx.de>; Thu, 11 Nov 2021 15:17:19 +0100 (CET)
Received: by chiaw81.xxx-hy.int
with SMTPSend v3.18 (Win 6.x) ;
Thu, 11 Nov 2021 15:17:19 +0100
From: "chia@putin.ru" <chia@putin.ru>
To: "t.xxx@xxx.de" <t.xxx@xxx.de>
subject: SPAM: Test_RU_Abwesung
Date: Thu, 11 Nov 2021 15:17:19 +0100
X-Mailer: SMTPSend v3.18 (Win 6.x)
Message-ID: <879261439.2934236078.14060@chiaw81.xxx-hy.int>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
X-Antivirus: Avast (VPS 211110-8, 10.11.2021), Outbound message
X-Antivirus-Status: Clean
X-SPAM-LEVEL: Spam detection results: 4
BODY_URI_ONLY 0.589 Message body is only a URI in one line of text or for an image
KAM_DMARC_STATUS 0.01 Test Rule for DKIM or SPF Failure with Strict Alignment
KAM_LAZY_DOMAIN_SECURITY 1 Sending domain does not have any anti-forgery methods
KAM_LINKBAIT 2.5 Short messages containing little more than a link, from a domain with no security in place
RCVD_IN_DNSWL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to DNSWL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information.
SPF_HELO_NONE 0.001 SPF: HELO does not publish an SPF Record
SPF_NONE 0.001 SPF: sender does not publish an SPF Record
 

mira

Proxmox Staff Member
Staff member
Aug 1, 2018
1,699
179
68
Das Problem ist, dass der From Header mit `>` endet, die Regex aber geanchored ist, also das `.ru` am Ende stehen muss.
In diesem Fall müsste man die Regex erweitern, so dass sie auch ein `>` am Ende matched, wenn vorhanden.

Da der `Return-Path` auf `.ru` endet, könnte man diese Mail aber auch mittels eines Who Objekts abfangen.
 
Last edited:

thno

New Member
Feb 12, 2021
12
2
3
53
Besten Dank schonmal. Das mit dem From Header '>' teste ich die nächsten Tage. Könnte funktionieren

Mit dem Who Objekt hatte ich schon getestet, da sind aber auch Mails geblockt worden, wo im Text .ru enthalten war. Vielleicht hatte ich da auch die Syntax falsch gewählt. Bei dem Who Objekt hätte ich nur die Möglichkeit über den regulären Ausdruck. Könntest du mir mal bitte den Syntax oder ein Beispiel für ein Who Objekt mit dem 'From' posten.

Vielen Dank schon
VG thno
 

mira

Proxmox Staff Member
Staff member
Aug 1, 2018
1,699
179
68
Aus der Doku (entspricht auch dem Code):
Code:
Regular Expression
This one uses a regular expression to match the whole mail address.
Also wenn du eine Regex unter Who -> Blacklist hinzufügst, die z.b. auf .*@.*\.ru matched, wird hier auch nur die Mail Adresse im `Return-Path` (siehe Mail Header) überprüft.
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!