Ja, ist bei mir auch so. Ganz offensichtlicher Spam kommt durch und es gibt keine Möglichkeit das im GUI anzulernen z.B. im Tracking-Center.
Wenn du schon das lernen machst und es dann nichts bringt dann macht es PMG überflüssig.
Spam Erkennung
- Thread starter marcobockelbrink
- Start date
Wenn du schon das lernen machst und es dann nichts bringt dann macht es PMG überflüssig.
....überflüssig ist ein wenig sehr hart. Das denke ich ganz und garnicht.
Die Spamerkennung selber ist noch nicht so weit fortgeschritten wie bei einigen anderen Herstellern und auch vielen Cloud Lösungen.
Die Preise die letztere Aufrufen sind aber teilweise 1000x höher als PMG.
Ich betreibe nun mehrere Instanzen mit Abusix Abo, einige freie RBLs und Avast Virenscanner. Die Spam Erkennnung kann immer noch besser sein, vor allem ist es ärgerlich das die manuelle Fütterung von garantiert "positive" Spams leider so garkeinen Effekt zeigt, aber ich bin der Meinung das wird!
Vielleicht kann man ja auch noch über weitere Features nachdenken, wie sie z.B. das FortiMail Gateway bereitstellt (OCR, JPEG Scanning etc. pp.)
Vielleicht gäbe es auch die Möglichkeit einer Proxmox Eigenen Blacklist.... Also eine die von Proxmox von Proxmox-Usern bereitgestellt und gepflegt wird? K.a. wie man das aufziehen könnte, aber mit einer guten Idee wäre das bestimmt auch ein Ansatz.
4920441
Die Spamerkennung selber ist noch nicht so weit fortgeschritten wie bei einigen anderen Herstellern und auch vielen Cloud Lösungen.
Die Preise die letztere Aufrufen sind aber teilweise 1000x höher als PMG.
Ich betreibe nun mehrere Instanzen mit Abusix Abo, einige freie RBLs und Avast Virenscanner. Die Spam Erkennnung kann immer noch besser sein, vor allem ist es ärgerlich das die manuelle Fütterung von garantiert "positive" Spams leider so garkeinen Effekt zeigt, aber ich bin der Meinung das wird!
Vielleicht kann man ja auch noch über weitere Features nachdenken, wie sie z.B. das FortiMail Gateway bereitstellt (OCR, JPEG Scanning etc. pp.)
Vielleicht gäbe es auch die Möglichkeit einer Proxmox Eigenen Blacklist.... Also eine die von Proxmox von Proxmox-Usern bereitgestellt und gepflegt wird? K.a. wie man das aufziehen könnte, aber mit einer guten Idee wäre das bestimmt auch ein Ansatz.
4920441
Aber bald kommt die Version 8.2, da ist dann im Tracking-Center ein Button und die markierten Einträge können damit einfach als Spam gelernt werden
Kommt das? Das wäre toll, wobei ich mich frage, wie das dann gehen wird. Vielmehr hat man bei Neuinstallationen ja AWL und Bayes rausgenommen, aber genau die beiden (derzeit "manuell" gefüttert) machen bei mir durchaus viel aus. Wie lerne ich diese an? Ich verschiebe Spam in Spam und Ham in Ham auf meinem Roundcube und habe einen Script, der dann auf dem Proxmox diese Mails abholt und anlernt, fertig.
Sehe ich genauso, natürlich kann man das alles auch selbst aufsetzen, aber man hat eine schicke GUI zum Management (das ist ähnlich wie Plesk und Websites hosten und Mails bereitstellen). Ich habe ein paar Features auch schon angepasst gehabt in meinem Advancing Thread, bringt nur marginal was, wesentlich ist das Set an RBLs, da nutze ich Invaluement als bezahlte Listen, Spamhaus DQS und ergänzend einige freie. Virenscanner habe ich auch nicht wirklich gebraucht und inzwischen nutze ich das nicht mehr und halt Bayes fleißig gefüttert. Ich hatte auch mittels Bayes mal "Fremdspam" angelernt, das bringt nichts, jede Userbase ist anders.
Was ich mir wünschen würde und noch mehr bringen würde:
- Cipher Suites selbst einstellen können (derzeit sind diese extrem weak), ob das was bringt gegen Spam weiß ich nicht
- Conditional Greylisting (das halte ich für sehr wesentlich, ein super Feature von rspamd) => oft sind Spammer auf Blacklists, oft aber nicht direkt bei der ersten Welle. Insoweit wäre es super, wenn potentieller Spam (also nicht alle Mails sondern nur welche, die Spam sein könnten, also höherer Content Score) greylisted werden (ansonsten ist Greylisting ein Horror), potentieller Spam würde dann womöglich beim Zweitversuch bereits auf einer Blacklist sein
8.2 ist da, aber dem Button sehe ich nicht.Aber bald kommt die Version 8.2, da ist dann im Tracking-Center ein Button und die markierten Einträge können damit einfach als Spam gelernt werden
lol, ok, da bin ich dann auch drauf reingefallen. Grundsätzlich hatte ich ja sowas schon mal vorgeschlagen bzw. diverse verwandte Themen, wobei ich persönlich eigentlich kein Freund davon wäre sondern es eher als Teil eines weiteren Produktes sehen würde:
1. Ich hatte vorgeschlagen, im Trackingcenter den übermittelten FROM anzuzeigen (ergänzend oder statt dem technischen), denn bei Mailservices ist nicht erkennbar, wer wirklich der Absender sein soll.
2. Ich hatte vorgeschlagen, in der Quarantäne ein Anlernbutton zu hinterlegen, Spam wie Ham würde hier gut passen, persönlich lehne ich zwar die Quarantäne ab (denn damit ist für den Sender die Mail erst mal angenommen, man ist also sowohl in der Pflicht die Quarantäne zu prüfen als auch ist für den Spammer es erst mal kein "verlorener Posten" und erfahrungsgemäß kommt mehr Spam, wenn Mails als zustellbar quittiert werden als wenn nicht. Lässt sich an Abweisungsquoten nachvollziehen.
3. Würde sich das Ganze an sich optimal mit einer Archivierungslösung verbinden lassen, es gibt auch so einige Wettbewerber, die das direkt kombinieren, Spamschutz, S/MIME und/oder PGP-Handling sowie eben auch Archivierung. An sich ist das eine sehr gute Kombi, die GUI ist ja schick, das Handling an sich auch, also würde das grundsätzlich thematisch wie inhaltlich passen. In einer Archivierung wäre natürlich das weitergeben von Spam und Ham an den Mailfilter optimal. Leider hat man statt dessen in Neuinstallationen Bayes und AWL rausgenommen.
1. Ich hatte vorgeschlagen, im Trackingcenter den übermittelten FROM anzuzeigen (ergänzend oder statt dem technischen), denn bei Mailservices ist nicht erkennbar, wer wirklich der Absender sein soll.
2. Ich hatte vorgeschlagen, in der Quarantäne ein Anlernbutton zu hinterlegen, Spam wie Ham würde hier gut passen, persönlich lehne ich zwar die Quarantäne ab (denn damit ist für den Sender die Mail erst mal angenommen, man ist also sowohl in der Pflicht die Quarantäne zu prüfen als auch ist für den Spammer es erst mal kein "verlorener Posten" und erfahrungsgemäß kommt mehr Spam, wenn Mails als zustellbar quittiert werden als wenn nicht. Lässt sich an Abweisungsquoten nachvollziehen.
3. Würde sich das Ganze an sich optimal mit einer Archivierungslösung verbinden lassen, es gibt auch so einige Wettbewerber, die das direkt kombinieren, Spamschutz, S/MIME und/oder PGP-Handling sowie eben auch Archivierung. An sich ist das eine sehr gute Kombi, die GUI ist ja schick, das Handling an sich auch, also würde das grundsätzlich thematisch wie inhaltlich passen. In einer Archivierung wäre natürlich das weitergeben von Spam und Ham an den Mailfilter optimal. Leider hat man statt dessen in Neuinstallationen Bayes und AWL rausgenommen.
Ich test im Moment auch PMG und kann eigentlich die schlechte Erkennung bestätigen. Aber ich kann die schlechte Erkennung auch nachvollziehen und PMG explizit nicht die Schuld geben.
Die Mails sind halt einfach gut geworden: SPF, DKIM, gutes Verhältnis HTML Bild/Text, sehr viel Plain Text, kurzlebige IPs die auf keiner Blacklist stehen.
Cloud-Server kosten kaum etwas und sind schnell provisioniert. Domains kosten Cent-Beträge (.store kostet bei Namecheap gerade weniger als 1$). Das lässt sich alles vollständig automatisieren.
Hier die Spamassassin Filter einer von vielen Mails von heute (Block-Score ist aktuell 7):
hits=DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),DMARC_PASS(-0.1),GB_S3_HTM(5.5),HTML_FONT_LOW_CONTRAST(0.001),HTML_MESSAGE(0.001),KAM_EU(0.5),SPF_HELO_PASS(-0.001),SPF_PASS(-0.001),T_REMOTE_IMAGE(0.01)
Da kann PMG nun wirklich nichts daran ändern und als Einzelsystem/Cluster für KMU/Privatperson wird sich das auch schwer verbessern lassen.
Ich überlege schon, ob diverse AS/Networks grundsätzlich noch einen kleinen Score von 1-2 zusätzlich bekommen. Aber das fördert natürlich auch False Positives.
Die Mails sind halt einfach gut geworden: SPF, DKIM, gutes Verhältnis HTML Bild/Text, sehr viel Plain Text, kurzlebige IPs die auf keiner Blacklist stehen.
Cloud-Server kosten kaum etwas und sind schnell provisioniert. Domains kosten Cent-Beträge (.store kostet bei Namecheap gerade weniger als 1$). Das lässt sich alles vollständig automatisieren.
Hier die Spamassassin Filter einer von vielen Mails von heute (Block-Score ist aktuell 7):
hits=DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),DMARC_PASS(-0.1),GB_S3_HTM(5.5),HTML_FONT_LOW_CONTRAST(0.001),HTML_MESSAGE(0.001),KAM_EU(0.5),SPF_HELO_PASS(-0.001),SPF_PASS(-0.001),T_REMOTE_IMAGE(0.01)
Da kann PMG nun wirklich nichts daran ändern und als Einzelsystem/Cluster für KMU/Privatperson wird sich das auch schwer verbessern lassen.
Ich überlege schon, ob diverse AS/Networks grundsätzlich noch einen kleinen Score von 1-2 zusätzlich bekommen. Aber das fördert natürlich auch False Positives.
Meine Empfehlung wie gesagt: Gute Blacklists helfen schon mal, aber brauchen manchmal (daher der Wunsch nach Conditional Greylisting), anlernen über Bayes hilft auch massiv (ist jetzt leider per default aus und erfordert Mithilfe der User sowie eine technische Lösung, das "einzulesen"), zu guter Letzt wäre das Ziel dann, so top wie möglich valide Mails im Score runterzuziehen, so dass man den Score massiv runtersetzen kann, ich fahre privat inzwischen auf einem Score von 3, geschäftlich mit 5, würde ggf. bei 3 dann quarantänisieren, wenn man Quarantäne nutzen will.
Netzwerke oder AS zu filtern ist leider wenig zielführend, obwohl OVH wie auch Sendgrid oder Sendinblue die größten Spamschleudern sind, natürlich auch Outlook/Hotmail, Google und Yahoo, wird man die schwierig filtern können. Auf Abusemeldungen bspw. über Spamcop reagiert bspw. OVH einfach mal gar nicht, wird völlig ignoriert. Das einzige was ich inzwischen privat komplett filtere ist Gmail.
Last edited:
...ich mag es kaum sagen/schreiben: aber wie kann Sophos Central E-Mail oder Proofpoint das teilweise so viel besser machen?
Nur weil man dort unmengen an Kohle ausgeben muss heisst das ja nicht das die Erkennungsrate durch mehr Kohle auch steigen kann.
Und als so 'gut' empfinde ich weder Sophos Central Email noch Proofpoint....
Selbst eine Sophos SG als Mailgateway ( die leider kommendes Jahr EoL ist) handled Spam out of the Box (mit ein paar RBLs dabei) leider immernoch deutlich besser als ein PMG selbst nach vielen Verfeinerungen der Config.
Versteht mich bitte nicht falsch - ich mag die o.g. extrem teuren kommerziellen Produkte nicht! Ich möchte dieselbe Funktionalität mit PMG Erreichen und meinen Kunden lieber eine Enterprise Subscription von PMG als eine Standard Subscription vom Proofpoint, Sophos verkaufen.....
4920441
Wenn ich zum 500. Mal die Mails von "Hondrofrost" und den guten Gelenkmitteln anlerne, muss doch das System mal begreifen, die zumindest in die Quarantäne zu packen - aber NULL. Und wenn ich jetzt hergehen soll und bspw. "Hondrofrost" manuell blacklisten soll, sorry, dafür benötige ich keine kostenpflichtige Proxmox Version, sondern kann direkt selbst alles machen.
Wir haben das jetzt mit nem vorgelagerten RSPAMD inkl. AI Anbindung gelöst.... 90% kassiert der RSPAMD, 5% setzt einen Header wo PMG das dann in Quarantäne legt und die letzten 4% schafft PMG dann tatsächlich alleine.... geringe False Positiv und eine respektable Erkennung die sich nicht mehr hinter den kommerziellen Anbietern verstecken muss...
Natürlich auch nicht mal eben so gemacht und auch kein fire and forget, aber schon nah dran....
Also eine seperate rspamd instanz in einem extra Container/VM oder hast Du das irgendwie mit im pmg direkt eingebaut bekommen und auch so, das es nicht durch updates zerstört wird?
Ne ist ne separate LX-Container-Installation... gibts auch fertig zum "Mitnehmen" irgendwo als Script....
Soweit ich weiß nutzt Sophos auch Cyren als weiteres Indiz und hat noch ein weiteres Feature (komme nicht auf den Namen), mit dem sie Mails "tracken", beides gibt es in PMG nicht. Ich muss aber sagen, dass ein gut angelernter PMG mit einem guten Set an Blacklists ähnlich gut ist. Ich würde behaupten, weil ich verfolge das gerne bei Spam nach, dass ein Conditional Greylisting noch viel rausholen würde, frischer Spam ist meist nicht auf den Listen, kurze Zeit später schon, das fehlt noch. Proofpoint baut meine ich über alle Installationen auch eigene Filter auf, jedoch hatte ich bei beiden auch schon false-positives, wenn ich "Hardcorde filtere", also bspw. ab Level 3 kommt bei PMG auch sehr wenig bis gar nichts durch (im Gegensatz bspw. zu Hornet Security, da kommt extrem viel durch und gibt es auch etliche false-positives).
Ist Bayes und AWL denn an? Per Default ist es das ja nicht mehr. Ggf. brauche Bayes auch mehr "wumms", also einen höheren Score beim Filtern, je nachdem, wie hoch der Spam Score steht.
Für mich ist PMG zu allererst eine super GUI. Ich kann auf meinem Plesk Server in den Tiefen das auch alles einstellen und brauche kein PMG, aber dann habe ich auch keine GUI. Der GUI fehlt leider noch, dass man optional die angegebene FROM und das SUBJECT für bessere Analysen sehen kann, im Zweifel kann man das aber auch selbst anpassen über die Shell.
Klingt spannend, gerne mal mehr Details senden. Ich hatte in meinen Tests in der Vergangenheit rspamd auch mal ersatzweise zum SpamAssassin eingebunden, jedoch fand ich die Fuzzyqualität eher nicht so toll, das Conditional Greylisting habe ich dabei kennengerlent, das hat auch echt super Ergebnisse gebracht, aber der Fuzzy hatte doch etliche False-Positives.