Senderdomäne sperren

[thno]

Hallo zusammen,

ich möchte verschiedene Top Level Domain (z.B. .ru, .hr etc ) als Absenderdomain sperren. Mit einem regulären Ausdruck (.*\.ru$) blockt mir die Regel auch Mails welche im Header irgendwo .ru haben. Gibt es eine Möglichkeit das anders zu lösen?

VG thno

 

[mira]

Wenn du auf den From Header matchen willst, dann ein WHAT Object erstellen mit `Match Field` und `From`.
Wenn du auf den Absender (Envelope-From) matchen willst -> WHO Object `From`.

 

[thno]

Ich möchte auf den Absender Matchen. Mit einem WHO-Objekt hatte ich es versucht. Ich habe dazu einen regulären Ausdruck verwandt: .*\.ru$
Wo bzw. wie setze ich das 'from' ein. Könntest du mir bitte den Ausdruck komplettieren.

VG thno

 

[mira]

Der Absender der dir angezeigt wird, ist der im `From` Header enthaltene.
Um auf diesen zu matchen, musst du ein What Objekt erstellen mit `Match Field`. Dort als Field `From` eintragen, und als Wert die Regex.
Du kannst die Regex dann auch entsprechend testen.

Die `Who` Objekte matchen auf den Envelope-From/Return-Path wenn du dir den Source einer Mail ansiehst.

 

[thno]

Scheint zu funktionieren. Besten Dank dafür.

VG thno

 

[thno]

Hallo Mira,

muss mich leider korrigieren. Die Mails mit .ru kommen noch durch. Hier mal der Syntax welchen ich im What Objekt getestet habe:


Nochmal mein Ziel: Ich möchte alle Mails blocken, welche von der TopLevel-Domän .ru (Beispiel test@xxx.ru) kommen.
Vielleicht kannst du nochmal drüberschauen.

VG thno

 

[dcsapak]

so sollte das schon klappen, kannst du den log von einer mail posten die trotzdem durchgeht?

 

[thno]

Wo finde ich das Log für eine einzelne Mail (/var/log/... oder aus dem TrackingCenter) ?

VG tno

 

[dcsapak]

die logs sind in /var/log/mail.log bzw /var/log/syslog

aber ja tracking center ist komfortabler

 

[thno]

root@whmailgate02:/var/log# cat /var/log/mail.log | grep -e "A7932C551F" -e "879261151.2933948265.25268"
Nov 11 15:12:32 whmailgate02 postfix/cleanup[45159]: 0ACE0C4DBD: message-id=<879261151.2933948265.25268@chiaw81.cns-hy.int>
Nov 11 15:12:32 whmailgate02 pmg-smtp-filter[44016]: C550B618D24D0319D6: new mail message-id=<879261151.2933948265.25268@chiaw81.cns-hy.int>#012
Nov 11 15:12:52 whmailgate02 postfix/smtpd[45168]: A7932C551F: client=localhost.localdomain[127.0.0.1], orig_client=lx11.cns-hy.de[xxxx]
Nov 11 15:12:52 whmailgate02 postfix/cleanup[45159]: A7932C551F: message-id=<879261151.2933948265.25268@chiaw81.cns-hy.int>
Nov 11 15:12:52 whmailgate02 postfix/qmgr[15330]: A7932C551F: from=<chia@putin.ru>, size=1849, nrcpt=1 (queue active)
Nov 11 15:12:52 whmailgate02 pmg-smtp-filter[44016]: C550B618D24D0319D6: bcc to <SpamSammler@wh-hy.de> (rule: Quarantine/Mark Spam (Level 3), A7932C551F)
Nov 11 15:12:52 mailgate02 postfix/smtp[45169]: A7932C551F: to=<SpamSammler@xx.de>, relay=x.x.x.x[]:25, delay=0.16, delays=0.01/0.04/0/0.11, dsn=2.6.0, status=sent (250 2.6.0 <879261151.2933948265.25268@chiaw81.cns-hy.int> [InternalId=58252641435716, Hostname=xx.xx.int] 2685 bytes in 0.105, 24,790 KB/sec Queued mail for delivery)
Nov 11 15:12:52 whmailgate02 postfix/qmgr[15330]: A7932C551F: removed

 

[dcsapak]

kannst du auch die header von der mail + die ganze regel posten?

 

[thno]

Sind natürlich erstmal Testmails:

Delivered-To: t.xxx@xxxx.de
Return-Path: chia@putin.ru
Received-SPF: none (putin.ru: No applicable sender policy available) receiver=mailgate.xxx.int; identity=mailfrom; envelope-from="chia@putin.ru"; helo=chiaw81.cns-hy.int; client-ip=xx.xx.xx.xx
Received: from chiaw81.xxx-hy.int (lx11.xxx-hy.de [xx.xx.xx.xx])
by mailgate.xxx.de (Proxmox) with SMTP id E09C6C4DF8
for <t.xxx@xxx.de>; Thu, 11 Nov 2021 15:17:19 +0100 (CET)
Received: by chiaw81.xxx-hy.int
with SMTPSend v3.18 (Win 6.x) ;
Thu, 11 Nov 2021 15:17:19 +0100
From: "chia@putin.ru" <chia@putin.ru>
To: "t.xxx@xxx.de" <t.xxx@xxx.de>
subject: SPAM: Test_RU_Abwesung
Date: Thu, 11 Nov 2021 15:17:19 +0100
X-Mailer: SMTPSend v3.18 (Win 6.x)
Message-ID: <879261439.2934236078.14060@chiaw81.xxx-hy.int>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
X-Antivirus: Avast (VPS 211110-8, 10.11.2021), Outbound message
X-Antivirus-Status: Clean
X-SPAM-LEVEL: Spam detection results: 4
BODY_URI_ONLY 0.589 Message body is only a URI in one line of text or for an image
KAM_DMARC_STATUS 0.01 Test Rule for DKIM or SPF Failure with Strict Alignment
KAM_LAZY_DOMAIN_SECURITY 1 Sending domain does not have any anti-forgery methods
KAM_LINKBAIT 2.5 Short messages containing little more than a link, from a domain with no security in place
RCVD_IN_DNSWL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to DNSWL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information.
SPF_HELO_NONE 0.001 SPF: HELO does not publish an SPF Record
SPF_NONE 0.001 SPF: sender does not publish an SPF Record

 

[thno]

Nicht wundern: die Regel ist aktuell nicht aktiv.

VG thno

 

[mira]

Das Problem ist, dass der From Header mit `>` endet, die Regex aber geanchored ist, also das `.ru` am Ende stehen muss.
In diesem Fall müsste man die Regex erweitern, so dass sie auch ein `>` am Ende matched, wenn vorhanden.

Da der `Return-Path` auf `.ru` endet, könnte man diese Mail aber auch mittels eines Who Objekts abfangen.

 

[thno]

Besten Dank schonmal. Das mit dem From Header '>' teste ich die nächsten Tage. Könnte funktionieren

Mit dem Who Objekt hatte ich schon getestet, da sind aber auch Mails geblockt worden, wo im Text .ru enthalten war. Vielleicht hatte ich da auch die Syntax falsch gewählt. Bei dem Who Objekt hätte ich nur die Möglichkeit über den regulären Ausdruck. Könntest du mir mal bitte den Syntax oder ein Beispiel für ein Who Objekt mit dem 'From' posten.

Vielen Dank schon
VG thno

 

[mira]

Aus der Doku (entspricht auch dem Code):

Regular Expression
This one uses a regular expression to match the whole mail address.

Also wenn du eine Regex unter Who -> Blacklist hinzufügst, die z.b. auf .*@.*\.ru matched, wird hier auch nur die Mail Adresse im `Return-Path` (siehe Mail Header) überprüft.