[SOLVED] SPAM mit doppelter EMail oder UTF-8 codierten Absender im From - Feld

Discussion in 'Proxmox Mail Gateway (Deutsch)' started by Christian Thiele, Nov 27, 2018.

  1. Christian Thiele

    Christian Thiele New Member
    Proxmox VE Subscriber

    Joined:
    Nov 3, 2017
    Messages:
    25
    Likes Received:
    5
    Hallo zusammen,

    Ich habe in letzter Zeit leider immer mehr EMails die folgendermaßen aussehen:

    Delivered-To: t.test@test.de
    Return-Path: libreria@fce.com.co
    Received-SPF: pass (fce.com.co: Sender is authorized to use 'libreria@fce.com.co' in 'mfrom' identity (mechanism 'include:dns-solutions.net' matched)) receiver=mx01.os-ms.eu; identity=mailfrom; envelope-from="libreria@fce.com.co"; helo=mail2.dns-solutions.net; client-ip=69.168.84.2
    Received: from mail2.dns-solutions.net (mail2a.dns-solutions.net [69.168.84.2])
    by mx01.test.de (Proxmox) with SMTP id ECBCE3040840
    for <t.testf@test.de>; Mon, 26 Nov 2018 14:14:50 +0100 (CET)
    Received: (qmail 80963 invoked from network); 26 Nov 2018 06:08:37 -0700
    Received: from unknown (HELO 10.9.31.92) (libreria@fce.com.co@190.164.9.32)
    by mail2.dns-solutions.net - 190.164.9.32 with SMTP; 26 Nov 2018 06:08:36 -0700
    Date: Mon, 26 Nov 2018 10:08:36 -0400
    From: Test2 Test <t2.test@test.de> <libreria@fce.com.co>
    To: t.test@test.de
    Message-ID: <20483440343828517397.8EDAB3A7CDA31E5B@test.de>
    Subject: Monatsanzeige
    MIME-Version: 1.0
    Content-Type: multipart/mixed; boundary="----=_Part_43280_1543117655.3959904603891713998"
    X-SPAM-LEVEL: Spam detection results: 0
    BAYES_00 -1.9 Bayes spam probability is 0 to 1%
    HEADER_FROM_DIFFERENT_DOMAINS 0.001 From and EnvelopeFrom 2nd level mail domains are different
    RCVD_IN_DNSWL_NONE -0.0001 Sender listed at http://www.dnswl.org/, no trust
    SPF_PASS -0.001 SPF: sender matches SPF record

    Erstes Problem. Die Mail wird nicht als SPAM eingestuft und hat einen Score von -1,9
    Daran hängt natürlich wie immer eine nette DOC datei. Da die Mail in der Regel max. 4-5 mal vom selben Absender kommt, wird er durch das System auch da nicht erkannt. Weiterhin benutzt er in der From Zeile zwei Absender EMails. Das führt dazu das einerseits die Spamerkennung wohl die letzte nimmt und zufrieden ist, anderseits aber der Benutzer nur den namen und die Real existierende EMailadresse angezeigt bekommt. In unserem Fall also einfach "Test2 Test <t2.test@test.de>".

    Was kann ich tun um diese Mails zu unterbinden? Im Moment nehmen wie alle Office und Zip Dokumente in Quarantine, was aber aufgrund der größe unserer Firma auf Dauer auch keine Lösung ist.
     
  2. Christian Thiele

    Christian Thiele New Member
    Proxmox VE Subscriber

    Joined:
    Nov 3, 2017
    Messages:
    25
    Likes Received:
    5
    Hallo,

    Hat keiner eine Idee?

    lg

    Christian
     
  3. heutger

    heutger Active Member

    Joined:
    Apr 25, 2018
    Messages:
    331
    Likes Received:
    78
    Also gemäß meinem Thread Advancing PMG kann man die Erkennung von PMG verbessern und auch ClamAV verbessern (oder Sie nutzen die Möglichkeit, statt ClamAV Avast meine ich war es zu verwenden, ist dann mit einer kommerziellen Lizenz zu versehen). Die doppelten From sind ja nur im Body, soweit ich das sehe, der Scanner schaut schon nach dem technischen Absender und so taucht die Mail auch im Log auf. An sich kann man aber eben nur die Spamerkennung optimieren sowie die Malware-Erkennung, soweit der Absender ständig wechselt. Alternativ könnte man sich eine RegEx schreiben, in der man gesondert mit solchen Mails umgeht, bei denen im From im Body zwei Adressen auftauchen. Mit RegEx schreiben kenne ich mich nicht so gut aus, man könnte diese dann im Ruleset verwenden oder auf Postfix-Ebene, um auch ein rechtskonformes Reject auszulösen.
     
  4. Christian Thiele

    Christian Thiele New Member
    Proxmox VE Subscriber

    Joined:
    Nov 3, 2017
    Messages:
    25
    Likes Received:
    5
    Ja so etwas wie ein eigenes Ruleset schwebt mir auch vor. Dadurch könnte man es z.B. in die Qurantäne setzen. Leider verstehe ich davon aber zu wenig. Eventuell liest das aber einer von den Proxmox Mitarbeitern und kann weiterhelfen....;)
    Ein rechtkomformer Reject geht leider wohl nicht, da die RFC das zulässt.
     
  5. heutger

    heutger Active Member

    Joined:
    Apr 25, 2018
    Messages:
    331
    Likes Received:
    78
    Ein Reject wäre halt das, was der deutsche Gesetzgeber fordert und kein kommentarloses Reject. Ich denke, dass mit gekauftem Support man hier durchaus auch Unterstützung erhält (die Unterstützung im Forum ist sehr durchwachsen, mal gibt es Feedback, mal gar keines). Alternativ, wenn man es über Postfix direkt realisieren will, findet man sicher auch Unterstützung in diversen Adminforen oder bspw. von den Autoren des Postfixbuches.

    Ich würde aber im Zweifel, da es ja immer wieder neue Methoden gibt, gemäß meinem Advancing-Artikel, versuchen, die PMG-Erkennung besser zu machen, da hat man längerfristig mehr davon.
     
  6. Stoiko Ivanov

    Stoiko Ivanov Proxmox Staff Member
    Staff Member

    Joined:
    May 2, 2018
    Messages:
    386
    Likes Received:
    32
    Bei der geposteten Testmail sollte eine Regel helfen, welche doppelte Mail-Adressen im From header erkennt und diese Mails in die Quarantäne verschiebt:
    * Ein neues What Object:
    * Als Object ein "Match Field", mit Field "From" und Value:
    Code:
    ^.*<.*>.*<.*>.*$
    
    * Mit diesem What Object eine Regel erstellen, die Mails auf die es zutrifft in die Quarantäne verschiebt.

    Die Regex matcht auf mehrfaches Vorkommen von <...> <...> im Header, alternativ könnte auch ein match auf mehrfaches Vorkommen von @ funktionieren.
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
    Christian Thiele likes this.
  7. Christian Thiele

    Christian Thiele New Member
    Proxmox VE Subscriber

    Joined:
    Nov 3, 2017
    Messages:
    25
    Likes Received:
    5
    Vielen Dank. Das Problem haben wir damit in den Griff bekommen!
     
  8. Stoiko Ivanov

    Stoiko Ivanov Proxmox Staff Member
    Staff Member

    Joined:
    May 2, 2018
    Messages:
    386
    Likes Received:
    32
    Freut zu hören!
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  9. Christian Thiele

    Christian Thiele New Member
    Proxmox VE Subscriber

    Joined:
    Nov 3, 2017
    Messages:
    25
    Likes Received:
    5
    Noch ein kleiner Nachtrag. Uns ist eine weiter Mail untergekommen. Diesmal nicht mit zwei EMail adressen im From: Feld sondern das der erste Teil UTF-8 codiert ist. Sieht dann so aus:

    Code:
    From: =?UTF-8?B?QkJCIFJlY2h0c2Fud8OkbHRlIDxrYW56bGVpQGJiYi1yYS5kZT4=?= <test@test.de>
    Der Empfänger sieht dann die decodierte Variante.

    Ich denke man kann nach dem Prinzip weiter oben einfach nach UTF-8 suchen.
     
  10. heutger

    heutger Active Member

    Joined:
    Apr 25, 2018
    Messages:
    331
    Likes Received:
    78
    Hallo,

    hier wäre ich jetzt um eine Hilfe dankbar, wie kann man das UTF-8 decodieren? Ggf. sogar bei jeder Mail bspw. über Postfix Header Checks?

    Mit freundlichen Grüßen
    Christian Heutger
     
  11. Christian Thiele

    Christian Thiele New Member
    Proxmox VE Subscriber

    Joined:
    Nov 3, 2017
    Messages:
    25
    Likes Received:
    5
    Also ich habe es mir jetzt mal einfach gemacht. Ich filtere im From; nach UTF-8. Wenn das Auftritt wird die Mail blockiert und der Absender informiert.
    Im Übrigen habe ich das gleiche auch im Subject gesehen. Damit versucht man wohl Wortlisten auszuhebeln.. Na gut nicht wichtig.
     
  12. heutger

    heutger Active Member

    Joined:
    Apr 25, 2018
    Messages:
    331
    Likes Received:
    78
    Ist für mich durchaus ärgerlich, ich nutze einige entsprechenden Header Checks, jedoch würde ich den harten Weg nicht gehen wollen, denn es kommen doch einige legitime Mails mit UTF-8 Header, obwohl man das eigentlich nicht tun sollte und es das wohl auch nicht wirklich gibt. Ich werde nun primär das Tool http://dogmamix.com/MimeHeadersDecoder/ mal selbst zum Prüfen nutzen und ggf. dann mich an https://www.admin-magazin.de/News/Tipps/ADMIN-Tipp-UTF-8-im-E-Mail-Subject bzw. https://www.linuxquestions.org/ques...slate-utf-8-in-email-subject-line-4175604007/ orientieren, vielleicht findet sich da eine Möglichkeit, das etwas eleganter zu lösen, denn ich würde über die Logfiles außer den Postfix Info Headers über den Header Check nicht so viel verändern wollen, vielleicht hat da ja wer eine schönere Lösung.
     
  13. Stoiko Ivanov

    Stoiko Ivanov Proxmox Staff Member
    Staff Member

    Joined:
    May 2, 2018
    Messages:
    386
    Likes Received:
    32
    Base64/quoted printable encodete Header mit UTF-8 Zeichen gibt es durchaus recht häufig, insbesondere beim Subject, aber auch Full-Names im From header, die z.b. Umlaute enthalten werden dementsprechend encodet.
    In diesem Fall sind glaub ich das auffälligste, wieder die 2 Adressen im From -header (wobei eine eben base64 encodet ist):

    Code:
    ^.*UTF-8.*<.*>.*$
    
    könnte ausreichend sein um den Fall auch abzudecken.
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
    Christian Thiele likes this.
  14. Christian Thiele

    Christian Thiele New Member
    Proxmox VE Subscriber

    Joined:
    Nov 3, 2017
    Messages:
    25
    Likes Received:
    5
    Danke. Ein kurzer Test an der Beispiel Mail zeigt, das es damit funktioniert!
     
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice