Spam Quarantäne trotz Welcomelist

[Nehalem]

Guten Tag Forum,

wir haben folgendes Problem....
Die Domain, IP-Adresse und Absenderadresse eines Lieferanten stehen sowohl in der
Configuration > Mail Proxy > Welcomelist
als auch in der
Mail Filter > Who Objects > Welcomelist

Trotzdem werden Mails vom Absender in die Spam Quarantäne verschoben.... Aus welchem Grund? Und, wie kann dies geändert werden? Habt ihr hier eine Idee?

Das besondere scheint zu sein, dass, wenn der Mitarbeiter des Lieferanten über sein Mail Programm schreibt, die Mail von Microsoft Exchange kommt. Diese Mails gehen sauber durch das PMG durch. Allerdings verschickt der Lieferant über sein ERP System mit der gleichen Absenderadresse. Das ERP System meldet sich direkt beim PMG. Nicht über Microsoft Exchange. Und diese Mails werden trotz Welcomelist in die Spam-Quarantäne verschoben.

Anbei das Log:
2026-01-20T08:22:09.228745+01:00 mail postfix/smtpd[292390]:
connect from lieferant.de[xxx.xxx.xxx.xxx]
2026-01-20T08:22:09.260810+01:00 mail postfix/smtpd[292390]:
Anonymous TLS connection established from lieferant.de[xxx.xxx.xxx.xxx]:
TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
2026-01-20T08:22:09.269030+01:00 mail postfix/smtpd[292390]: 41A696131C:
client=lieferant.de[xxx.xxx.xxx.xxx]
2026-01-20T08:22:09.276626+01:00 mail postfix/cleanup[292414]: 41A696131C: message-id=<>
2026-01-20T08:22:09.292276+01:00 mail postfix/qmgr[796]: 41A696131C:
from=<absender@lieferant.de>, size=106485, nrcpt=1 (queue active)
2026-01-20T08:22:09.292381+01:00 mail postfix/smtpd[292390]:
disconnect from lieferant.de[xxx.xxx.xxx.xxx] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
2026-01-20T08:22:09.341063+01:00 mail pmg-smtp-filter[292461]: 617EC696F2D21518F0: new mail message-id=
2026-01-20T08:22:14.678844+01:00 mail pmg-smtp-filter[292461]: 617EC696F2D21518F0:
SA score=5/5
time=5.222
bayes=undefined
autolearn=disabled
hits=DKIM_SIGNED(0.1),
DKIM_VALID(-0.1),
DKIM_VALID_AU(-0.1),
DKIM_VALID_EF(-0.1),
DMARC_MISSING(0.1),
DOS_BODY_HIGH_NO_MID(3.7),
MISSING_DATE(1.396),
MISSING_MID(0.14),
SPF_HELO_NONE(0.001),
SPF_PASS(-0.001)
2026-01-20T08:22:14.681832+01:00 mail pmg-smtp-filter[292461]: 617EC696F2D21518F0:
modified header 'X-SPAM-LEVEL' for <empfaenger@unser-unternehmen.de> (rule: Modify Header)
2026-01-20T08:22:14.682245+01:00 mail pmg-smtp-filter[292461]: 617EC696F2D21518F0:
modified header 'subject' for <empfaenger@unser-unternehmen.de> (rule: Quarantine/Mark Spam (Level 3))
2026-01-20T08:22:14.688672+01:00 mail pmg-smtp-filter[292461]: 617EC696F2D21518F0:
moved mail for <empfaenger@unser-unternehmen.de> to spam quarantine - 617ED696F2D26A6BAF (rule: Quarantine/Mark Spam (Level 3))
2026-01-20T08:22:14.690386+01:00 mail pmg-smtp-filter[292461]: 617EC696F2D21518F0:
processing time: 5.353 seconds (5.222, 0.111, 0)
2026-01-20T08:22:14.690777+01:00 mail postfix/lmtp[292460]: 41A696131C:
to=<empfaenger@unser-unternehmen.de>,
relay=127.0.0.1[127.0.0.1]:10024,
delay=5.4,
delays=0.02/0/0.04/5.4,
dsn=2.5.0,
status=sent (250 2.5.0 OK (617EC696F2D21518F0))
2026-01-20T08:22:14.691394+01:00 mail postfix/qmgr[796]: 41A696131C: removed

 

[Nehalem]

Entschuldigung, falsches Forum.

 

[cwt]

Die Mails aus dem ERP sind fehlerhaft und SA gewichtet das entsprechend:

- keine message id (leer), gefolgt von
-> DoS_BODY_HIGH_NO_MID (große Mail ohne id)
- missing date (rfc 5322)
Im Log siehst Du:

SA score=5/5
rule: Quarantine/Mark Spam (Level 3)

Entweder fixt der Lieferant seinen ERP-Versand (leider immer noch häufig anzutreffen), oder Du setzt in Mail Filter eine Regel für absender@lieferant.de (Aktionen: disable SPAM checks & accept).

Nachtrag: Welcomelist deaktiviert nicht SpamAssasin.

 

[mfederanko]

Hast du eventuell im Mail Filter eine Quarantaene Rule vor der Welcomelist stehen? Dann wuerde zuerst diese greifen und die E-Mail nicht mehr von nachfolgenden Regeln weiter verarbeitet werden. Weiters sollte fuer die Welcomelist der "Envelop-From" Header genommen werden, falls vorhanden.

 

[Nehalem]

Danke für Eure Antworten. Wir gehen davon aus, dass wir die Standard Reihenfolge in den Rules nutzen:

- Blocklist 98
- Block Viruses 96
- Virus Alert 96
- Block Dangerous Files 93
- Modify Header 90
- Welcomelist 85
- Quarantine/ Mark Spam (Level 3) 80

Aus den Artikeln, die wir lasen, entnahmen wir, dass in bestimmten Fällen kein "First Match" stattfindet. Das soll bei Spam Markierten Mails so sein. Bei Blocklist oder Virus wird die weitere Verarbeitung von Rules abgebrochen. Haben wir das richtig verstanden?

Eine Aktion "disable SPAM" steht in den Action Objects nicht zur Verfügung. In den WHO Objects steht uns nur Block- und Welcomelist zur Verfügung. Muss eine neue Welcomelist erstellt werden für den einen Absender, um eine entsprechende Regel zu bauen? Oder die Welcomelist über eine Rule abfragen und "disable SPAM" setzen? Müssen dafür auf CLI Ebene die entsprechenden Dateien angepasst werden? Oder ist dies über die GUI möglich?

Wir setzen PMG V 9.0.2 ein.

 

[mfederanko]

Es gibt mehrere finale actions (die die weiterverarbeitung der rules stoppen): Accept, Block, Quarantine. Das heisst deine Welcomelist rule wird nicht gematched, oder hat als action nicht "Accept" drinnen stehn sondern irgendetwas anderes.

Ich gehe jetzt mal davon aus, dass du alle regeln, die du aufgelistet hast, enabled hast und etwaige regeln, die nicht in der liste aber eventuell im filter definiert sind disabled sind.

Die Welcomelist rule sollte als action "accept" stehen haben und als From "any matches" die welcomelist eingetragen haben. Unter "mail filter" > "who objects" > "welcomelist" sollte in der liste der email adressen "absender@lieferant.de" eingetragen stehn, standardmaessig steht da "mail@fromthisdomain.example". Ebenfalls sollte unter "Match if" "any matches" ausgewaehlt sein. Du solltest keine eigene welcomelist definieren muessen, kannst das aber natuerlich tun.

Vielleicht kannst du ja mal den output von `pmgdb dump` hier als datei anhaengen - achte bitte darauf, dass du vorher sensible information schwaerzst.
Zusaetzlich waeren die Email header interessant. Unter thunderbird kann man bei der email auf "more" > "view source" gehen und sich da die header ansehen.