Trotz Blacklist einer Mail / Domäne kommt jeden Tag neuer Spam

[bforpc]

Ich habe in der globalen Blacklist u.a. folgendes stehen:

service@news.cesdeals.com
*@news.cesdeals.com
*@cesdeals.com

Und doch bekomme ich täglich SPAM von dieser Adresse:

Return-Path: <80228=3670a989-4436-4cd7-a072-6079d50f034f=46=171521@e.news.cesdeals.com>
Received: from [mein Server] (127.0.0.1:41608)
    by ucs (kopano-dagent) with LMTP;
    Wed, 13 Oct 2021 19:48:29 +0200 (CEST)
Received: from [mein PMG Server] (unknown [192.168.200.204])
    by [mein Server] (Postfix) with ESMTPS id D41685C55B3
    for <mein email>; Wed, 13 Oct 2021 19:48:29 +0200 (CEST)
Received: from [mein PMG Server] (localhost.localdomain [127.0.0.1])
    by [mein PMG Server] (Proxmox) with ESMTP id 492E7E17BB
    for <[meine email]>; Wed, 13 Oct 2021 19:48:19 +0200 (CEST)
Received: from ip3.news.cesdeals.com ([mein system])
    by [mein PMG Server] (Proxmox) with ESMTPS id ED624E15DB
    for <[meine email]>; Wed, 13 Oct 2021 19:48:14 +0200 (CEST)
Received: by ip3.news.cesdeals.com id hcsdts2qcqor for <[meine email]>; Wed, 13 Oct 2021 17:48:14 +0000 (envelope-from <80228=3670a989-4436-4cd7-a072-6079d50f034f=46=171521@e.news.cesdeals.com>)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; q=dns/txt;
 d=news.cesdeals.com; s=default1k;
 h=Date:Subject:From:To;
 bh=ulpju4KJ9jJ20k6ZlOM9VJGNanQQeYmonQEYfCIykPE=;
 b=H1W1zn5AIJCVfEXkNx+E45Wk7g5+0J8GWngTeQwZ2wJlxL3Un0ce8xgWynPEFThn2HUD
 Xy83LBFS4VmlXLjHK8xqhB3cv9d3WJiGJ9ozhrXhq9mMcXEkKntz/a/UTKJzBuBU/i333f
 5uX/iSQDMbqj8YjF8lNSgwDLDg1y7AvKs=
MIME-Version: 1.0
Date: Wed, 13 Oct 2021 17:48:14 +0000
Message-ID: <80228=3670a989-4436-4cd7-a072-6079d50f034f=46=171521@links.news.cesdeals.com>
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Subject: =?utf-8?Q?Mid-month_price_reduction_promotion=E4=B8=A8USB_Ports_Car_Charg?=
 =?utf-8?Q?ers_Low_to_$3.99?=
From: "=?utf-8?Q?Cesdeals?=" <service@news.cesdeals.com>
To: [meine email]
List-Unsubscribe: <mailto:LU=sTh=PqT3HCtbBDGQxJFZBaems3=w=-VF=276302bc@f.news.cesdeals.com>,
 <http://links.news.cesdeals.com/u/sTh/PqT3HCtbBDGQxJFZBaems3/w/-VF/F/37ae7a58>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
X-Message-Type: newsletter
X-SPAM-LEVEL: Spam detection results:  1
    AWL                     0.227 Adjusted score from AWL reputation of From: address
    DKIM_SIGNED               0.1 Message has a DKIM or DK signature, not necessarily valid
    DKIM_VALID               -0.1 Message has at least one valid DKIM or DK signature
    DKIM_VALID_AU            -0.1 Message has a valid DKIM or DK signature from author's domain
    HTML_FONT_LOW_CONTRAST  0.001 HTML font color similar or identical to background
    HTML_IMAGE_RATIO_04     0.001 HTML has a low ratio of text to image area
    HTML_MESSAGE            0.001 HTML included in message
    KAM_NUMSUBJECT            0.5 Subject ends in numbers excluding current years
    LOTS_OF_MONEY           0.001 Huge... sums of money
    MIME_HTML_ONLY            0.1 Message only has text/html MIME parts
    RCVD_IN_ZEN_BLOCKED_OPENDNS  0.001 ADMINISTRATOR NOTICE: The query to zen.spamhaus.org was blocked due to usage of an open resolver. See https://www.spamhaus.org/returnc/pub/
    SPF_HELO_NONE           0.001 SPF: HELO does not publish an SPF Record
    SPF_SOFTFAIL            0.972 SPF: sender does not match SPF record (softfail)

Wie kann das sein, bzw, was mache ich falsch?

Bfo

 

[Frank666]

ist die Blacklist Regel auch aktiv?
Bei mir funktioniert die Blacklist

 

[bforpc]

Wie oder wo kann man die denn aktivieren? Ich dachte, sie sei immer an!?

Bfo

 

[Frank666]

Standardmässig ist die Blacklist Regel aktiv, man kann sie aber auch deaktiveren oder ändern.



Mach am besten mal einen Screenshot wie die Blackliste genau aussieht

 

[bforpc]

Ah da... OK, Sie ist aktiv, Reihenfolge und Aussehen genau wie auf deinem Bild.

Hier mal das LOG des PMG zu einer dieser Mails

Oct 10 20:04:20 smtp postfix/cleanup[14848]: 099EEE019C: message-id=<80228=947de774-575f-456e-a7c2-116bd7e3e4eb=46=171521@links.news.cesdeals.com>
Oct 10 20:04:20 smtp postfix/qmgr[1564]: 099EEE019C: from=<80228=947de774-575f-456e-a7c2-116bd7e3e4eb=46=171521@e.news.cesdeals.com>, size=198281, nrcpt=1 (queue active)
Oct 10 20:04:20 smtp pmg-smtp-filter[14230]: 2021/10/10-20:04:20 CONNECT TCP Peer: "[127.0.0.1]:49152" Local: "[127.0.0.1]:10024"
Oct 10 20:04:20 smtp postfix/smtpd[14844]: disconnect from [mein system] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Oct 10 20:04:20 smtp pmg-smtp-filter[14230]: E14E461632B2468062: new mail message-id=<80228=947de774-575f-456e-a7c2-116bd7e3e4eb=46=171521@links.news.cesdeals.com>#012
Oct 10 20:04:23 smtp pmg-smtp-filter[14230]: E14E461632B2468062: SA score=1/5 time=2.948 bayes=undefined autolearn=no autolearn_force=no hits=AWL(0.237),DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),HTML_FONT_LOW_CONTRAST(0.001),HTML_IMAGE_RATIO_04(0.001),HTML_MESSAGE(0.001),KAM_NUMSUBJECT(0.5),LOTS_OF_MONEY(0.001),MIME_HTML_ONLY(0.1),RCVD_IN_ZEN_BLOCKED_OPENDNS(0.001),SPF_HELO_NONE(0.001),SPF_SOFTFAIL(0.972),URIBL_BLOCKED(0.001),URIBL_DBL_BLOCKED_OPENDNS(0.001),URIBL_ZEN_BLOCKED_OPENDNS(0.001)
Oct 10 20:04:23 smtp postfix/smtpd[14853]: connect from localhost.localdomain[127.0.0.1]
Oct 10 20:04:23 smtp postfix/smtpd[14853]: 90FAFE1561: client=localhost.localdomain[127.0.0.1], orig_client=[mein system]
Oct 10 20:04:23 smtp postfix/cleanup[14848]: 90FAFE1561: message-id=<80228=947de774-575f-456e-a7c2-116bd7e3e4eb=46=171521@links.news.cesdeals.com>
Oct 10 20:04:23 smtp postfix/qmgr[1564]: 90FAFE1561: from=<80228=947de774-575f-456e-a7c2-116bd7e3e4eb=46=171521@e.news.cesdeals.com>, size=200227, nrcpt=1 (queue active)
Oct 10 20:04:23 smtp postfix/smtpd[14853]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
Oct 10 20:04:23 smtp pmg-smtp-filter[14230]: E14E461632B2468062: accept mail to <meine mail adresse> (90FAFE1561) (rule: default-accept)
Oct 10 20:04:23 smtp pmg-smtp-filter[14230]: E14E461632B2468062: processing time: 3.227 seconds (2.948, 0.161, 0)

Bfo

 

[Frank666]

dann muss eigentlich der Eintrag in der Blackliste falsch sein.
Zeig mal genau den Eintrag hier

 

[Frank666]

wenn ich den letzten Screen sehe ist das Problem, dass die Mail von 80228=947de774-575f-456e-a7c2-116bd7e3e4eb=46=171521@e.news.cesdeals.com kommt und nicht von Deinem eingetragenen service@news.cesdeals.com
Du musst Deine Blackliste also anpassen

 

[bforpc]

Ich habe aber doch auch 2 wildcards für die Domäne drin. Abgesehen von cesdeals.com ändert sich die (sub-)Domäne dauernd.

Beim öffnen der "Who Objects"-> "Blacklist" sehe ich: die ist leer.

Ich habe meine Einträge für cesdeals.com in der User Blacklist eingegeben (als Admin) und nicht in der Globalen, wie ich zuerst dachte.
Meine Frage ist nun:
Soll ich meine Einträge auch nochmal in der Globalen eingeben und wozu ist dann die User Blacklist, wenn sie gar nicht greift?

bfo

 

[Frank666]

in der globalen Blacklist werden alle Mails von dem Sender geblockt.
Bei der User Blacklist nur Mails von dem Sender an die entsprechend eingetragenen Empfänger.

Deine Wildcards musst Du aber anpassen, dass der * auch nach dem @ kommt und nicht vor dem @.
Ich weiss nur nicht, ob man bei Domain/EMail Wildcards eintragen kann oder es eine regular Expression sein muss

 

[Stoiko Ivanov]

Die unterschiedlichen Black/Whitelists sind recht gut in der Dokumentation beschrieben:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmgconfig_whitelist_overview

um es hier nochmal kurz zusammenzufassen für den Fall - Sachen die Global geblockt werden sollen - sollen im Regelsystem (globale Blacklist) eingetragen werden.
Bitte beachten dass user Black/Whitelist Einträge als 'glob' wildcard eingetragen werden, im Regelsystem allerdings Regular Expressions verwendet werden:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmg_mailfilter_regex

Ein Regex Eintrag mit '.*@.*cesdeals.com' sollte funktionieren.

Ich hoffe das hilft!

 

[bforpc]

Danke für die Infos und Hilfen. Ich trage es gleich ein und warte mal bis morgen ;-)

Bfo