[SOLVED] SPAM mit doppelter EMail oder UTF-8 codierten Absender im From - Feld

Nov 3, 2017
28
6
23
52
Hallo zusammen,

Ich habe in letzter Zeit leider immer mehr EMails die folgendermaßen aussehen:

Delivered-To: t.test@test.de
Return-Path: libreria@fce.com.co
Received-SPF: pass (fce.com.co: Sender is authorized to use 'libreria@fce.com.co' in 'mfrom' identity (mechanism 'include:dns-solutions.net' matched)) receiver=mx01.os-ms.eu; identity=mailfrom; envelope-from="libreria@fce.com.co"; helo=mail2.dns-solutions.net; client-ip=69.168.84.2
Received: from mail2.dns-solutions.net (mail2a.dns-solutions.net [69.168.84.2])
by mx01.test.de (Proxmox) with SMTP id ECBCE3040840
for <t.testf@test.de>; Mon, 26 Nov 2018 14:14:50 +0100 (CET)
Received: (qmail 80963 invoked from network); 26 Nov 2018 06:08:37 -0700
Received: from unknown (HELO 10.9.31.92) (libreria@fce.com.co@190.164.9.32)
by mail2.dns-solutions.net - 190.164.9.32 with SMTP; 26 Nov 2018 06:08:36 -0700
Date: Mon, 26 Nov 2018 10:08:36 -0400
From: Test2 Test <t2.test@test.de> <libreria@fce.com.co>
To: t.test@test.de
Message-ID: <20483440343828517397.8EDAB3A7CDA31E5B@test.de>
Subject: Monatsanzeige
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_Part_43280_1543117655.3959904603891713998"
X-SPAM-LEVEL: Spam detection results: 0
BAYES_00 -1.9 Bayes spam probability is 0 to 1%
HEADER_FROM_DIFFERENT_DOMAINS 0.001 From and EnvelopeFrom 2nd level mail domains are different
RCVD_IN_DNSWL_NONE -0.0001 Sender listed at http://www.dnswl.org/, no trust
SPF_PASS -0.001 SPF: sender matches SPF record

Erstes Problem. Die Mail wird nicht als SPAM eingestuft und hat einen Score von -1,9
Daran hängt natürlich wie immer eine nette DOC datei. Da die Mail in der Regel max. 4-5 mal vom selben Absender kommt, wird er durch das System auch da nicht erkannt. Weiterhin benutzt er in der From Zeile zwei Absender EMails. Das führt dazu das einerseits die Spamerkennung wohl die letzte nimmt und zufrieden ist, anderseits aber der Benutzer nur den namen und die Real existierende EMailadresse angezeigt bekommt. In unserem Fall also einfach "Test2 Test <t2.test@test.de>".

Was kann ich tun um diese Mails zu unterbinden? Im Moment nehmen wie alle Office und Zip Dokumente in Quarantine, was aber aufgrund der größe unserer Firma auf Dauer auch keine Lösung ist.
 
Also gemäß meinem Thread Advancing PMG kann man die Erkennung von PMG verbessern und auch ClamAV verbessern (oder Sie nutzen die Möglichkeit, statt ClamAV Avast meine ich war es zu verwenden, ist dann mit einer kommerziellen Lizenz zu versehen). Die doppelten From sind ja nur im Body, soweit ich das sehe, der Scanner schaut schon nach dem technischen Absender und so taucht die Mail auch im Log auf. An sich kann man aber eben nur die Spamerkennung optimieren sowie die Malware-Erkennung, soweit der Absender ständig wechselt. Alternativ könnte man sich eine RegEx schreiben, in der man gesondert mit solchen Mails umgeht, bei denen im From im Body zwei Adressen auftauchen. Mit RegEx schreiben kenne ich mich nicht so gut aus, man könnte diese dann im Ruleset verwenden oder auf Postfix-Ebene, um auch ein rechtskonformes Reject auszulösen.
 
Ja so etwas wie ein eigenes Ruleset schwebt mir auch vor. Dadurch könnte man es z.B. in die Qurantäne setzen. Leider verstehe ich davon aber zu wenig. Eventuell liest das aber einer von den Proxmox Mitarbeitern und kann weiterhelfen....;)
Ein rechtkomformer Reject geht leider wohl nicht, da die RFC das zulässt.
 
Ein Reject wäre halt das, was der deutsche Gesetzgeber fordert und kein kommentarloses Reject. Ich denke, dass mit gekauftem Support man hier durchaus auch Unterstützung erhält (die Unterstützung im Forum ist sehr durchwachsen, mal gibt es Feedback, mal gar keines). Alternativ, wenn man es über Postfix direkt realisieren will, findet man sicher auch Unterstützung in diversen Adminforen oder bspw. von den Autoren des Postfixbuches.

Ich würde aber im Zweifel, da es ja immer wieder neue Methoden gibt, gemäß meinem Advancing-Artikel, versuchen, die PMG-Erkennung besser zu machen, da hat man längerfristig mehr davon.
 
Bei der geposteten Testmail sollte eine Regel helfen, welche doppelte Mail-Adressen im From header erkennt und diese Mails in die Quarantäne verschiebt:
* Ein neues What Object:
* Als Object ein "Match Field", mit Field "From" und Value:
Code:
^.*<.*>.*<.*>.*$
* Mit diesem What Object eine Regel erstellen, die Mails auf die es zutrifft in die Quarantäne verschiebt.

Die Regex matcht auf mehrfaches Vorkommen von <...> <...> im Header, alternativ könnte auch ein match auf mehrfaches Vorkommen von @ funktionieren.
 
  • Like
Reactions: Christian Thiele
Noch ein kleiner Nachtrag. Uns ist eine weiter Mail untergekommen. Diesmal nicht mit zwei EMail adressen im From: Feld sondern das der erste Teil UTF-8 codiert ist. Sieht dann so aus:

Code:
From: =?UTF-8?B?QkJCIFJlY2h0c2Fud8OkbHRlIDxrYW56bGVpQGJiYi1yYS5kZT4=?= <test@test.de>

Der Empfänger sieht dann die decodierte Variante.

Ich denke man kann nach dem Prinzip weiter oben einfach nach UTF-8 suchen.
 
Also ich habe es mir jetzt mal einfach gemacht. Ich filtere im From; nach UTF-8. Wenn das Auftritt wird die Mail blockiert und der Absender informiert.
Im Übrigen habe ich das gleiche auch im Subject gesehen. Damit versucht man wohl Wortlisten auszuhebeln.. Na gut nicht wichtig.
 
Ist für mich durchaus ärgerlich, ich nutze einige entsprechenden Header Checks, jedoch würde ich den harten Weg nicht gehen wollen, denn es kommen doch einige legitime Mails mit UTF-8 Header, obwohl man das eigentlich nicht tun sollte und es das wohl auch nicht wirklich gibt. Ich werde nun primär das Tool http://dogmamix.com/MimeHeadersDecoder/ mal selbst zum Prüfen nutzen und ggf. dann mich an https://www.admin-magazin.de/News/Tipps/ADMIN-Tipp-UTF-8-im-E-Mail-Subject bzw. https://www.linuxquestions.org/ques...slate-utf-8-in-email-subject-line-4175604007/ orientieren, vielleicht findet sich da eine Möglichkeit, das etwas eleganter zu lösen, denn ich würde über die Logfiles außer den Postfix Info Headers über den Header Check nicht so viel verändern wollen, vielleicht hat da ja wer eine schönere Lösung.
 
Base64/quoted printable encodete Header mit UTF-8 Zeichen gibt es durchaus recht häufig, insbesondere beim Subject, aber auch Full-Names im From header, die z.b. Umlaute enthalten werden dementsprechend encodet.
In diesem Fall sind glaub ich das auffälligste, wieder die 2 Adressen im From -header (wobei eine eben base64 encodet ist):

Code:
^.*UTF-8.*<.*>.*$

könnte ausreichend sein um den Fall auch abzudecken.
 
  • Like
Reactions: Christian Thiele

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!