Spam von eigener Domäne

Discussion in 'Proxmox Mail Gateway (Deutsch)' started by proxmoxuser0815, Sep 18, 2018.

  1. proxmoxuser0815

    proxmoxuser0815 New Member

    Joined:
    Mar 16, 2018
    Messages:
    10
    Likes Received:
    0
    Hi,

    wir haben das Problem, dass Spammer unsere Proxmox-DNS-Internetadresse (mx-Record, ist ja auch öffentlich ) als Absender nutzen und teilweise sogar richtige Mitarbeiteradressen. Kann man das irgendwie filtern? Also in dem Feld From danach suchen und blockieren? Ohne dass es bei Weiterleitungen zu Problemen kommt?

    Im Feld envelope-from steht die richtige Absenderadresse. In dem Feld From die gefälschte. Man könnte das Problem andersherum angehen und in Outlook die echten Absenderadressen anzeigen lassen. Ich fürchte aber, dass einige Mitarbeiter damit nicht klarkommen würden (Exchange-Adressbuch...)

    Gruß
     
  2. IEM

    IEM Member

    Joined:
    Sep 4, 2018
    Messages:
    35
    Likes Received:
    4
  3. tom

    tom Proxmox Staff Member
    Staff Member

    Joined:
    Aug 29, 2006
    Messages:
    13,082
    Likes Received:
    342
    Wenn sie einen offenen Relay (also spammer über ihr mail gateway emails verschicken) ist was grob falsch konfiguriert.
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
    IEM likes this.
  4. proxmoxuser0815

    proxmoxuser0815 New Member

    Joined:
    Mar 16, 2018
    Messages:
    10
    Likes Received:
    0
    Die versenden ja nicht wirklich mit unserer Domäne, sondern es wird nur das "From"-Feld gefälscht. Im Tracking-Center sehe ich ja die eigentliche Absenderadresse. Ein Test auf mxtoolbox.com sagt, dass es eben kein Open Relay ist:

    220-mail.domain.de ESMTP Proxmox
    220 mail.domain.de ESMTP Proxmox [8278 ms]
    EHLO EC2AMAZ-14J9QQI.mxtoolbox.com
    250-mail.domain.de
    250-PIPELINING
    250-SIZE 15728640
    250-VRFY
    250-ETRN
    250-ENHANCEDSTATUSCODES
    250-8BITMIME
    250 SMTPUTF8 [750 ms]
    MAIL FROM:<supertool@mxtoolbox.com>
    250 2.1.0 Ok [946 ms]
    RCPT TO:<test@mxtoolboxsmtpdiag.com>
    454 4.7.1 <test@mxtoolboxsmtpdiag.com>: Relay access denied [825 ms]



    SPF ist keine Option, dafür sind die meisten Mailgateways nicht konfiguriert und die es bringt Probleme bei Weiterleitungen, soweit ich weiß.

    In Outlook sehe ich:
    From: <FakeInternerAbsender@mail.domain.de>

    Und hier steht der eigentliche Absender:
    envelope-from <umashankar@asiaticlinical.com>
     
  5. IEM

    IEM Member

    Joined:
    Sep 4, 2018
    Messages:
    35
    Likes Received:
    4
    die jüngste spam-welle mit fakesender == receiver adressen ("wie Sie am Absender sehen können, habe ich Ihren account gehackt". überweisen Sie bitte bitcoins. passen Sie in zukunft besser auf.") habe ich mitbekommen (auf anderen mailservern), aber mein PMG hat die brav geblockt.

    ich setze heutger's DNSBL liste ein, und habe soweit keine probleme (sondern bin glücklich):

    Code:
    zen.spamhaus.org*2,bl.spamcop.net*2,psbl.surriel.com*2,spamrbl.imp.ch*2,noptr.spamrats.com*2,escalations.dnsbl.sorbs.net*2,bl.score.senderscore.com*2,bl.spameatingmonkey.net*2,rbl.realtimeblacklist.com*2,dnsbl.dronebl.org*2,ix.dnsbl.manitu.net,b.barracudacentral.org,truncate.gbudb.net,bl.blocklist.de
     
    heutger likes this.
  6. proxmoxuser0815

    proxmoxuser0815 New Member

    Joined:
    Mar 16, 2018
    Messages:
    10
    Likes Received:
    0
    RBL nutzen wir auch, bei ca. 600-700 Mails täglich (laut daily Statistik), kommt halt auch was durch. RBL.PNG
     
    #6 proxmoxuser0815, Sep 20, 2018
    Last edited: Sep 20, 2018
  7. IEM

    IEM Member

    Joined:
    Sep 4, 2018
    Messages:
    35
    Likes Received:
    4
    naja, RBL hängt halt auch viel von den verwendeten listen ab (weswegen ich auch noch einmal die von heutger empfohlenen einstellungen gepostet habe).
     
    heutger likes this.
  8. proxmoxuser0815

    proxmoxuser0815 New Member

    Joined:
    Mar 16, 2018
    Messages:
    10
    Likes Received:
    0
    Habe deine Liste vor Wochen eingetragen, gestern gab es eine neue Welle von .mx und .bo - Servern. RBL nützt nen Scheiß bei neuen Wellen. Schade, dass es dafür keine Proxmox-Lösung gibt :(
     
  9. tom

    tom Proxmox Staff Member
    Staff Member

    Joined:
    Aug 29, 2006
    Messages:
    13,082
    Likes Received:
    342
    bist du sicher, das die RBL auch funktionieren, wie schauen die detaillierten scores der tests aus (siehe email header)?
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  10. proxmoxuser0815

    proxmoxuser0815 New Member

    Joined:
    Mar 16, 2018
    Messages:
    10
    Likes Received:
    0
    Hi, hier zwei Beispiele:

    Bei RBL-Blocks gibt es die Meldung:
    Nov 7 01:17:23 mail1 postfix/postscreen[24095]: NOQUEUE: reject: RCPT from [184.107.176.163]:54133: 550 5.7.1 Service unavailable; client [184.107.176.163] blocked using b.barracudacentral.org; from=<operaciones@proyectingamycia.com>, to=<Frau.Mustermann@meine-firma.de>, proto=ESMTP, helo=baru.linkedip.com>

    Die ging durch, mit Fake-Absender (unsere Domäne bzw. Mitarbeiter):
    Nov 6 09:52:30 mail1 postfix/smtpd[14542]: connect from gateway34.websitewelcome.com[192.185.149.62]
    Nov 6 09:52:31 mail1 postfix/smtpd[14542]: 42AC9860066: client=gateway34.websitewelcome.com[192.185.149.62]
    Nov 6 09:52:31 mail1 postfix/cleanup[14545]: 42AC9860066: message-id=<145332087792217499.DD3AF4BC337332BF@meine-firma.de>
    Nov 6 09:52:32 mail1 postfix/qmgr[809]: 42AC9860066: from=<produccion@ridecsa.com.mx>, size=104861, nrcpt=1 (queue active)
    Nov 6 09:52:32 mail1 postfix/smtpd[14542]: disconnect from gateway34.websitewelcome.com[192.185.149.62] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
    Nov 6 09:52:32 mail1 pmg-smtp-filter[14355]: 8608FB5BE156500CEBD: new mail message-id=<145332087792217499.DD3AF4BC337332BF@meine-firma.de>
    Nov 6 09:52:33 mail1 pmg-smtp-filter[14355]: 8608FB5BE156500CEBD: SA score=0/5 time=0.993 bayes=2.77555756156289e-16 autolearn=ham autolearn_force=no hits=BAYES_00,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_EF,HEADER_FROM_DIFFERENT_DOMAINS,LOTS_OF_MONEY,RCVD_IN_DNSWL_NONE,SPF_HELO_PASS,SPF_PASS
    Nov 6 09:52:33 mail1 postfix/smtpd[14550]: connect from localhost.localdomain[127.0.0.1]
    Nov 6 09:52:33 mail1 postfix/smtpd[14550]: 240C5860A41: client=localhost.localdomain[127.0.0.1], orig_client=gateway34.websitewelcome.com[192.185.149.62]
    Nov 6 09:52:33 mail1 postfix/cleanup[14557]: 240C5860A41: message-id=<145332087792217499.DD3AF4BC337332BF@meine-firma.de>
    Nov 6 09:52:33 mail1 postfix/qmgr[809]: 240C5860A41: from=<produccion@ridecsa.com.mx>, size=105087, nrcpt=1 (queue active)
    Nov 6 09:52:33 mail1 postfix/smtpd[14550]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
    Nov 6 09:52:33 mail1 pmg-smtp-filter[14355]: 8608FB5BE156500CEBD: accept mail to <max.mustermann@meine-firma.de> (240C5860A41)
    Nov 6 09:52:33 mail1 pmg-smtp-filter[14355]: 8608FB5BE156500CEBD: processing time: 1.176 seconds (0.993, 0.049)
    Nov 6 09:52:33 mail1 postfix/lmtp[14546]: 42AC9860066: to=<max.mustermann@meine-firma.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=2.1, delays=0.78/0/0.04/1.2, dsn=2.5.0, status=sent (250 2.5.0 OK (8608FB5BE156500CEBD))
    Nov 6 09:52:33 mail1 postfix/qmgr[809]: 42AC9860066: removed
    Nov 6 09:52:35 mail1 postfix/smtp[14566]: 240C5860A41: to=<max.mustermann@meine-firma.de>, relay=192.168.10.6[192.168.10.6]:25, delay=1.9, delays=0.12/0/0/1.8, dsn=2.6.0, status=sent (250 2.6.0 <145332087792217499.DD3AF4BC337332BF@meine-firma.de> [InternalId=1925239] Queued mail for delivery)
    Nov 6 09:52:35 mail1 postfix/qmgr[809]: 240C5860A41: removed


    Header dieser Mail:

    Received: from mail1.meine-firma.de (IP Proxmom) by mein-exchange.local
    (192.168.10.6) with Microsoft SMTP Server id 14.3.408.0; Tue, 6 Nov 2018
    09:52:33 +0100
    Received: from mail1.meine-firma.de (localhost.localdomain [127.0.0.1]) by
    mail1.meine-firma.de (Proxmox) with ESMTP id 240C5860A41 for
    <max.mustermanns@meine-firma.de>; Tue, 6 Nov 2018 09:52:33 +0100 (CET)
    Received: from gateway34.websitewelcome.com (gateway34.websitewelcome.com
    [192.185.149.62]) by mail1.meine-firma.de (Proxmox) with ESMTP id 42AC9860066
    for <max.mustermanns@meine-firma.de>; Tue, 6 Nov 2018 09:52:31 +0100 (CET)
    Received: from cm13.websitewelcome.com (cm13.websitewelcome.com [100.42.49.6])
    by gateway34.websitewelcome.com (Postfix) with ESMTP id A45CB61128 for
    <max.mustermanns@meine-firma.de>; Tue, 6 Nov 2018 02:27:27 -0600 (CST)
    Received: from cruze.websitewelcome.com ([192.185.81.92]) by cmsmtp with SMTP
    id Jwhrgxo40FxNhJwhrgDFQo; Tue, 06 Nov 2018 02:27:27 -0600
    X-Authority-Reason: nr=8
    DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
    d=ridecsa.com.mx; s=default; h=Content-Type:MIME-Version:Subject:Message-ID:
    To:From:Date:Sender:Reply-To:Cc:Content-Transfer-Encoding:Content-ID:
    Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
    :Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
    List-Subscribe:List-Post:List-Owner:List-Archive;
    bh=29n4NPCOWRfrx5vpLiqRQsvWAis7IcHgZxADvg1Ewkc=; b=YAAtH9BaHR1xmCUTrX5DCKOymo
    5y5JNa7429/S4LxzCF/1xJFDEMGWtj17VF0jzW4sOzThQnMK3yQjJ2hafxoFwrDwwQYg0V6rNgC29
    AWRYRIZZtoEqKuy0sRoazycFL0TxeMJtNjZ5688gX47qjwDuofCrvLEQqJg2HLEYykfo=;
    Received: from 28.176.15.62.static.jazztel.es ([62.15.176.28]:64830
    helo=10.10.45.122) by cruze.websitewelcome.com with esmtpsa
    (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256) (Exim 4.91) (envelope-from
    <produccion@ridecsa.com.mx>) id 1gJwhr-003rsk-37 for
    max.mustermanns@meine-firma.de; Tue, 06 Nov 2018 02:27:27 -0600
    Date: Tue, 6 Nov 2018 09:27:26 +0100
    From: <FakeSender@mail1.meine-firma.de>, Fake <Fake.Sender@fake-firma.de>
    To: <max.mustermanns@meine-firma.de>
    Message-ID: <145332087792217499.DD3AF4BC337332BF@meine-firma.de>
    Subject: Ihre neue Rechnung ist online M8D80045 vom 06 November 2018
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary="----=_Part_23709_1129561087.2278666882912914927"
    X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
    X-AntiAbuse: Primary Hostname - cruze.websitewelcome.com
    X-AntiAbuse: Original Domain - meine-firma.de
    X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
    X-AntiAbuse: Sender Address Domain - ridecsa.com.mx
    X-BWhitelist: no
    X-Source-IP: 62.15.176.28
    X-Source-L: No
    X-Exim-ID: 1gJwhr-003rsk-37
    X-Source:
    X-Source-Args:
    X-Source-Dir:
    X-Source-Sender: 28.176.15.62.static.jazztel.es (10.10.45.122) [62.15.176.28]:64830
    X-Source-Auth: produccion@ridecsa.com.mx
    X-Email-Count: 162
    X-Source-Cap: cmlkZWNzYWM7Y2hhcmx5aGc7Y3J1emUud2Vic2l0ZXdlbGNvbWUuY29t
    X-Local-Domain: yes
    Return-Path: produccion@ridecsa.com.mx
    X-MS-Exchange-Organization-AuthSource: mein-exchange.local
    X-MS-Exchange-Organization-AuthAs: Anonymous
    X-MS-Exchange-Organization-AVStamp-Mailbox: NAI;60099083;0;novirus




    Was mache ich falsch? o_O
     
    #10 proxmoxuser0815, Nov 7, 2018
    Last edited: Nov 7, 2018
  11. tom

    tom Proxmox Staff Member
    Staff Member

    Joined:
    Aug 29, 2006
    Messages:
    13,082
    Likes Received:
    342
    Im Email Header sollten die genauen Spam detection results stehen, hier ein Beispiel:

    Code:
    X-SPAM-LEVEL: Spam detection results:  0
        DKIM_SIGNED               0.1 Message has a DKIM or DK signature, not necessarily valid
        DKIM_VALID               -0.1 Message has at least one valid DKIM or DK signature
        DKIM_VALID_AU            -0.1 Message has a valid DKIM or DK signature from author's domain
        HEADER_FROM_DIFFERENT_DOMAINS   0.25 From and EnvelopeFrom 2nd level mail domains are different
        HTML_MESSAGE            0.001 HTML included in message
        MIME_HTML_MOSTLY        0.001 Multipart message mostly text/html MIME
        MPART_ALT_DIFF          0.724 HTML and text parts are different
        RCVD_IN_DNSWL_LOW        -0.7 Sender listed at http://www.dnswl.org/, low trust
        SPF_PASS               -0.001 SPF: sender matches SPF record
    Wenn diese Detailinfo nicht drin sind, laufen die Email nicht richtig durch das Regelsystem oder diese Regel ist nicht aktiv.
     
    Stop hovering to collapse... Click to collapse... Hover to expand... Click to expand...
  12. proxmoxuser0815

    proxmoxuser0815 New Member

    Joined:
    Mar 16, 2018
    Messages:
    10
    Likes Received:
    0
    Die Regel ist aktiv, greift aber viel zu selten. Es ist seit dem Update auf v5 so, glaub ich. Die Regel hat die Priorität 80, davor sind nur Regeln wie Block Viruses etc. Der Spamfilter-Level ist auf Level 8 eingestellt, der war mal auf 7 eingestellt, hatte dann aber vieles falsch erkannt. Wieder auf 7 stellen?
     

    Attached Files:

  13. heutger

    heutger Active Member

    Joined:
    Apr 25, 2018
    Messages:
    281
    Likes Received:
    69
    Hallo,

    also die Spam Score-Verteilung zeigt entweder, daß Sie kaum Spam bekommen oder die Regeln eher ungeeignet sind. Schauen Sie sich meinen Advanced-Thread für weitere Tweaks an.

    RBL sind stets ein Katz-und-Mausspiel. Ich nutze noch weitere Listen als geposted, diese sind aber kommerziell (Invaluement), aber selbst das ist kein Garant. Im Zweifel testen Sie selbst, indem Sie Spammails die einliefernde IP unter multirbl.valli.org, wo diese auftauchen und testen Sie die Listen mit warn_if_reject in der main.cf.in, checken Sie den Tracker, ob sie gewünscht funktionieren und nicht zu viele false-positives erzeugen, wenn sie passen, schalten Sie sie scharf. Mit meinen Tweaks können auch im Log sich den angezeigten Absender, Betreff und Empfänger anzeigen lassen, da ESPs diese durch technische Adressen verstecken (wie Amazon SES, Mailchimp usw.).

    Weitere Möglichkeiten: Trainieren Sie Bayes, bei ähnlichem Content (bspw. Bitcoin-Erpressungen), filtern Sie diese Mails oder (mit Vorsicht zu genießen) aktivieren Sie SPF für Ihre Domain(s) und aktivieren Sie SPF in Ihrem Setup. Leider gibt es zu viele Admins, die SPF falsch konfiguriert haben oder schlichtweg vergessen, zu aktualisieren und Sie filtern legitime Server. Auch könnten Sie DKIM hinzufügen, jedoch ist ein invalider DKIM-Header kein guter Spamindiz, denn Spammer haben das auch entdeckt, gefühlt erhalten wir mehr signierten Spam als legitime Mail.
     
  14. marcobockelbrink

    marcobockelbrink New Member

    Joined:
    Aug 10, 2018
    Messages:
    4
    Likes Received:
    0
    Habt ihr die Spamlisten einfach in der DNSBL eingetragen?
     
  15. marcobockelbrink

    marcobockelbrink New Member

    Joined:
    Aug 10, 2018
    Messages:
    4
    Likes Received:
    0
    Kurze Frage nochmal dazu. Normal sollte SPF das Thema erschlagen. Aber viele nutzen es nicht. Wenn ich das richtig verstehe ist Promox so eingestellt das wenn ich auf SFP prüfe es auch aktiv sein muss sonst wird geblockt oder? gibt es hier auch Quarantäne Möglichkeit wenn SPF nicht passt?
     
  16. heutger

    heutger Active Member

    Joined:
    Apr 25, 2018
    Messages:
    281
    Likes Received:
    69
    Ja, wenn Sie auf SPF prüfen wollen im Postfix, um die Mails dann auch zu rejecten, muss SPF aktiviert sein. Ist es nicht aktiviert, checkt der SpamAssassin weiterhin auf SPF, aber Sie müssten dann den Score anpassen und eine Regel bauen, die darauf hin auch blockt oder Quarantäneaktionen durchführt.

    Das essentielle Problem bei SPF ist halt, dass einige es vergessen, was sie eingestellt haben, weil es halt kaum genutzt wird. Ich meine auch, in PMG ist es, wenn aktiv, auf hard block, wenn man auf soft fail gehen würde, wäre es wohl unkritischer, aber leider kann man das nicht anpassen.
     
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice