Verständissfrage Spamfilter <from> und <to>

MSP1978

New Member
Mar 18, 2021
25
3
3
43
Mönchengladbach
Guten Morgen Zusammen,

ich hätte da eine Verständnissfrage, ich habe aber keine Ahnung wie ich die Frage korrekt stellen soll um durch Suche bei Google oder im Forum hier passende Treffer zu erhalten, daher sorry wenn es jetzt für Euch trivial wird...

Der PMG läuft nun gut und ohne Probleme in meiner Umgebung, danke an das Team für die tolle Software und auch den schnellen Support hier im Forum.

Ich erhalte natürlich weiterhin Emails mit Spam, hierbei ist mir aber bei einigen Emails aufgefallen, dass Emails als Spam erkannt werden, andere aber nicht. Wobei ich eigendlich gerne hätte das diese Emails eigentlich garnicht erst angenommen werden...

Bei einigen Emails ist lt. Header der SPF Eintrag usw. korrekt vom Sender. Emails landen hier bei aber trotzdem in der Qurantäne, da andere Filter greifen.
Nur jetzt sind mir auch schon emails durchgerutscht, die folgende Angaben im Header haben:

From: "Pillenversand" <uvyejsk@faringon.biz.ua>
To: <kita.kd-sh@sos-kinderdorf.de>

Die Email selber wird aber meiner Emailadresse <ich>@<meinedomain>.de zugestellt, obwohl diese garnicht im To: enthalten ist. Es handelt sich schlichtweg nicht um eine meiner am PMG hinterlegten Domains.

Wieso weist der PMG diese Email mit falschem Addressaten nicht ab, sondern stellt diese in Quarantäne bzw. stellt diese sogar komplett zu?

Hier der Auszug aus einer Quarantäne-Email die als Spam erkannt wurde, Stellvertretend für Emails die auch durchgestellt werden:

Code:
Delivered-To: <ich>@<meinedomain>.de
Return-Path: ijzyspn@faringon.biz.ua
Received-SPF: pass (faringon.biz.ua: 46.17.106.179 is authorized to use 'ijzyspn@faringon.biz.ua' in 'mfrom' identity (mechanism 'mx/24' matched)) receiver=<mailserver.meinedomain.de>; identity=mailfrom; envelope-from="ijzyspn@faringon.biz.ua"; helo=mail.faringon.biz.ua; client-ip=46.17.106.179
Received: from mail.faringon.biz.ua (mail.faringon.biz.ua [46.17.106.179])
    by <mailserver.meinedomain.de> (Proxmox) with ESMTP id DE26419FC5C
    for <ich>@<meinedomain>.de; Thu,  3 Feb 2022 23:39:03 +0100 (CET)
Received: from faringon.biz.ua (mail.faringon.biz.ua [46.17.106.179])
    by mail.faringon.biz.ua (Postfix) with ESMTPA id 84A8E9A76;
    Thu,  3 Feb 2022 22:01:41 +0200 (EET)
DKIM-Signature: v=1; a=rsa-sha256; c=simple; d=faringon.biz.ua;
    s=key2; h=DomainKey-Signature:Message-ID:Reply-To:From:To:
    Subject:Date:MIME-Version:Content-Type; bh=AtNFwatAvSEkwCFeXmTMY
    yj9o1loET4G6kZCAixfBoA=; b=qkw8waEjs3C7k5stDeCvTk8PAix3SLlMOUtdq
    8rIM03qzkcb4YcSeX1B4u6nVE6ClvHFUZ8YYYVt9gCzFAoPgNMbCm0EXSkMFYdmE
    PZZ29xLkE54Ck/jO39x5xwA5m12qxFipiw8c5xJctXqV0+xrfghxNnduo201LRGL
    EtW9m/m1ztdsIEkkpTfWJWN5jIx72z2dvOBxvygIZYAOvlidLiVQRb+x90im9sNm
    byiLKyhBjA+iBqt2sBFk/WtFf6qr7yULkcHy9EiI2I/Xok1IUydKjUCJkXyypHfh
    Fitrf87B2dtMSqDDp5m+QUlljECaLsY5RhMackYqJV5cp7Z1Q==
DomainKey-Signature: a=rsa-sha1; q=dns; c=simple;
    s=key1; d=faringon.biz.ua;
    h=Message-ID:Reply-To:From:To:Subject:Date:MIME-Version:Content-Type;
    b=U5kVQgIHeoLXhOSysmpg6mJKUyYd0wIKq2butsSJIsFdrBdIvUu4EcJXKgSe77nv6/bhKb/4aps8jxS2BQm8MGVt3XkZppQ+hVTIBZ6yNZu/W+GzYBvsey3vuHv7LBIdBmP7M9sAcJNXL+PMyUxibCW9vfkb2Ik+Ft0oCBU3HqUK2hNpAzw0o3+I8Gt+y8GB4DJYZDyf9hsqSMN7Wh9afFbvdhutVLvI0rjpb2P+rzsyJKKoDFHIgycaQHjQqofs/85Fl0UObd2DaEVIcE3+1CtA0CUAYRMqS5Wf4NX6OI2obCgpmrIlOR4Eor7LUe1e51QH2f+nmWsBd2R8q69g==;
Message-ID: <Z57775653F43318374L60662078C@ijzyspn>
Reply-To: "Pillenversand" <ijzyspn@faringon.biz.ua>
From: "Pillenversand" <ijzyspn@faringon.biz.ua>
To: <cmt2013@sparbeimzahnarzt.de>
subject: ***SPAM***: Bestsellers
Date: Thu, 03 Feb 2022 22:59:30 +0300
MIME-Version: 1.0
Content-Type: multipart/related;
    type="multipart/alternative";
    boundary="----=_NextPart_000_0006_01D81950.A93CC5C0"
X-SPAM-LEVEL: Spam detection results:  3
    BODY_EMPTY              1.694 No body text in message
    DKIM_INVALID              0.1 DKIM or DK signature exists, but is not valid
    DKIM_SIGNED               0.1 Message has a DKIM or DK signature, not necessarily valid
    HTML_IMAGE_ONLY_04      0.342 HTML: images with 0-400 bytes of words
    HTML_MESSAGE            0.001 HTML included in message
    HTML_SHORT_LINK_IMG_1   0.139 HTML is very short with a linked image
    KAM_DMARC_STATUS         0.01 Test Rule for DKIM or SPF Failure with Strict Alignment
    MPART_ALT_DIFF          0.724 HTML and text parts are different
    RCVD_IN_MSPIKE_H2      -0.001 Average reputation (+2)
    SCC_BODY_URI_ONLY       0.001 -
    SPF_HELO_NONE           0.001 SPF: HELO does not publish an SPF Record
    SPF_PASS               -0.001 SPF: sender matches SPF record
    TVD_SPACE_RATIO         0.001 -
    T_TVD_MIME_EPI           0.01 -
    URIBL_BLOCKED           0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked.  See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information. [faringon.biz.ua]


This is a multi-part message in MIME format.

------=_NextPart_000_0006_01D81950.A93CC5C0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0007_01D81950.A93CC5C0"

------=_NextPart_000_0007_01D81950.A93CC5C0
Content-Type: text/plain;
    charset="windows-1251"
Content-Transfer-Encoding: quoted-printable

=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A=
=0D=0A=0D=0A
------=_NextPart_000_0007_01D81950.A93CC5C0
Content-Type: text/html;
    charset="windows-1251"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD>=0D=0A<META http-equiv=3D"Content-Type" content=3D"te=
xt/html; charset=3Dwindows-1251">=0D=0A</HEAD>=0D=0A<BODY bgColor=
=3D#ffffff>=0D=0A<DIV align=3Dcenter><FONT size=3D2 face=3DArial>=
<A =0D=0Ahref=3D"https://=EA=EB=F3=E4=E8=F1=F2=E0=EC.=E0=E2=F2=EE=
.=F0=F3=F1/fastredirected1/"><IMG border=3D0 hspace=3D0 alt=3D""=
 src=3D"cid:60fd601d819516b3f8c4e0f82081bc@ijzyspn" width=3D800 h=
eight=3D440></A></FONT></DIV></BODY></HTML>=0D=0A=0D=0A=0D=0A=0D=0A=
=0D=0A=0D=0A=0D=0A=0D=0A=0D=0A

------=_NextPart_000_0007_01D81950.A93CC5C0--

------=_NextPart_000_0006_01D81950.A93CC5C0
Content-Type: image/jpeg;
    name="oyumxuowu.jpeg"
Content-Transfer-Encoding: base64
Content-ID: <60fd601d819516b3f8c4e0f82081bc@ijzyspn>

Gruss,
Michael
 

Stoiko Ivanov

Proxmox Staff Member
Staff member
May 2, 2018
6,855
1,039
164
Wieso weist der PMG diese Email mit falschem Addressaten nicht ab, sondern stellt diese in Quarantäne bzw. stellt diese sogar komplett zu?
Delivered-To: <ich>@<meinedomain>.de

Das ist am Anfang für die meisten verwirrend - Emails haben 2 Orte an denen Adressen eine rolle spielen:
* die Envelope Adresse, welche während des SMTP Dialog verwendet wird
* die Header Adresse im from header
siehe:
https://de.wikipedia.org/wiki/Envelope_Sender
https://de.wikipedia.org/wiki/Header_(E-Mail)#From:_Absender

(ist aber auch bei "normalen" Briefen so)

Die Adressen müssen nicht übereinstimmen (und tun das z.B. auch bei Mailinglisten nicht)

Sprich die Mail war schon an <ich>@<meinedomain>.de adressiert - allerdings zeigt das der Inhalt der mail nicht an.

eine Sache die noch auffällt:
URIBL_BLOCKED 0.001 ADMINISTRATOR NOTICE: The query to URIBL was blocked. See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block for more information. [faringon.biz.ua]
da ist das PMG (eigentlich der DNS server, der beim PMG konfiguriert ist) bei uribl über dem Limit.
da uribl wirklich sehr hilfreich ist um Spam zu erkennen empfehlen wir einen eigenen DNS Server auf dem PMG aufzusetzen:
https://pmg.proxmox.com/wiki/index....edicated_DNS_Resolver_on_Proxmox_Mail_Gateway

Allgemein kann ich empfehlen sich die Getting started page im wiki anzusehen:
https://pmg.proxmox.com/wiki/index.php/Getting_started_with_Proxmox_Mail_Gateway

Ich hoffe das hilft!
 

MSP1978

New Member
Mar 18, 2021
25
3
3
43
Mönchengladbach
Hallo Stoiko,

vielen Dank für den Hinweis.
Ich werde mir das mit dem DNS dann doch anschauen, hatte es in der Getting Started auch gesehen, nutze bisher aber lediglich die DNS Server von Hetzner sowie die Angaben wie zenhouse (Basic DNSBL).
Muss ich dann, wenn ich einen eigenen DNS aufsetze, irgend etwas beachten? Mit DNS Servern habe ich bisher selber keine Erfahrung gemacht, da ich immer die vom Anbieter auf den Servern verwende.

Gruss,
Michael
 

Stoiko Ivanov

Proxmox Staff Member
Staff member
May 2, 2018
6,855
1,039
164
Muss ich dann, wenn ich einen eigenen DNS aufsetze, irgend etwas beachten? Mit DNS Servern habe ich bisher selber keine Erfahrung gemacht, da ich immer die vom Anbieter auf den Servern verwende.
Prinzipiell ist es nie verkehrt sich Technologien/Software anzusehen, bevor sie live eingesetzt wird.
Ein rekursiver DNS server zudem nur lokal betrieben wird sollte sich aber von der Komplexität her in Grenzen halten.

Das verlinkte HOWTO sollte alles beinhalten was notwendig ist (inkl. commands zum testen)
Würde vorschlagen das HOWTO einfach mal durchzugehen - und wenn Fragen aufkommen diese hier zu stellen.
(vl. können wir dann das HOWTO auch etwas verbessern)
 

MSP1978

New Member
Mar 18, 2021
25
3
3
43
Mönchengladbach
Hallo Stoiko,

vielen Dank für die Hilfe.
Ich werde den DNS-Server aufsetzen und dann einmal schauen was passiert im Bezug auf den Spam und die Header.
Laut HowTo ist das ja nicht viel und bei Bedarf auch schnell wieder geändert :)

Da ich den PMG vor meinen privaten Mailserver installiert habe, bin ich da recht entspannt mit Testen und Ausprobieren bei solchen Dingen.

Gruss,
Michael
 
  • Like
Reactions: Stoiko Ivanov

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!