Welche SPAM Regel wurde angewendet?

F

florianr

New Member
Jan 6, 2025
3
1
3
Hallo,
ich habe das Problem, dass bei einigen Mails vom PMG der SPAM Vermerk im Betreff hinzugefügt wurde, ich aber im Tracker nicht erkennen kann, warum. Hier ein Beispiel von einem Netflix Mailing:

Auszug aus Tracking Center:
Code: 
025-01-06T12:08:37.194276+01:00 mail postfix/smtpd[107490]: connect from h144-86.smtp-out.us-east-2.amazonses.com[206.55.144.86]
2025-01-06T12:08:40.192620+01:00 mail postfix/smtpd[107490]: 2EE08600372: client=h144-86.smtp-out.us-east-2.amazonses.com[206.55.144.86]
2025-01-06T12:08:40.422812+01:00 mail postfix/cleanup[107495]: 2EE08600372: message-id=<010f01943b4d2abb-d4ce65b8-edcd-43eb-8efd-808c7d2b3ce7-000000@us-east-2.amazonses.com>
2025-01-06T12:08:40.663359+01:00 mail postfix/qmgr[735]: 2EE08600372: from=<010f01943b4d2abb-d4ce65b8-edcd-43eb-8efd-808c7d2b3ce7-000000@mailer.members.netflix.com>, size=60593, nrcpt=1 (queue active)
2025-01-06T12:08:40.769813+01:00 mail pmg-smtp-filter[107236]: 601368677BB9B8B8981: new mail message-id=<010f01943b4d2abb-d4ce65b8-edcd-43eb-8efd-808c7d2b3ce7-000000@us-east-2.amazonses.com>#012
2025-01-06T12:09:01.406583+01:00 mail postfix/smtpd[107490]: disconnect from h144-86.smtp-out.us-east-2.amazonses.com[206.55.144.86] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
2025-01-06T12:09:11.046109+01:00 mail pmg-smtp-filter[107236]: 601368677BB9B8B8981: SA score=0/5 time=30.202 bayes=undefined autolearn=disabled hits=DKIM_INVALID(0.1),DKIM_SIGNED(0.1),DMARC_PASS(-0.1),HTML_FONT_LOW_CONTRAST(0.001),HTML_MESSAGE(0.001),KAM_DMARC_STATUS(0.01),KAM_HUGEIMGSRC(0.2),KAM_REALLYHUGEIMGSRC(0.5),SPF_PASS(-0.001),T_REMOTE_IMAGE(0.01),T_SPF_HELO_TEMPERROR(0.01),USER_IN_DEF_SPF_WL(-7.5)
2025-01-06T12:09:11.063353+01:00 mail postfix/smtpd[107505]: connect from localhost.localdomain[127.0.0.1]
2025-01-06T12:09:11.065142+01:00 mail postfix/smtpd[107505]: 0FDA9601369: client=localhost.localdomain[127.0.0.1], orig_client=h144-86.smtp-out.us-east-2.amazonses.com[206.55.144.86]
2025-01-06T12:09:11.066477+01:00 mail postfix/cleanup[107495]: 0FDA9601369: message-id=<010f01943b4d2abb-d4ce65b8-edcd-43eb-8efd-808c7d2b3ce7-000000@us-east-2.amazonses.com>
2025-01-06T12:09:11.141147+01:00 mail pmg-smtp-filter[107236]: 601368677BB9B8B8981: accept mail to <XXX@meine-domain.de> (0FDA9601369) (rule: default-accept)
2025-01-06T12:09:11.141371+01:00 mail postfix/smtpd[107505]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
2025-01-06T12:09:11.143319+01:00 mail postfix/qmgr[735]: 0FDA9601369: from=<010f01943b4d2abb-d4ce65b8-edcd-43eb-8efd-808c7d2b3ce7-000000@mailer.members.netflix.com>, size=61754, nrcpt=1 (queue active)
2025-01-06T12:09:11.158526+01:00 mail pmg-smtp-filter[107236]: 601368677BB9B8B8981: processing time: 30.383 seconds (30.202, 0.07, 0)
2025-01-06T12:09:11.159077+01:00 mail postfix/lmtp[107496]: 2EE08600372: to=<XXX@meine-domain.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=33, delays=2.7/0.05/0.04/30, dsn=2.5.0, status=sent (250 2.5.0 OK (601368677BB9B8B8981))
2025-01-06T12:09:11.159410+01:00 mail postfix/qmgr[735]: 2EE08600372: removed
2025-01-06T12:09:11.573722+01:00 mail postfix/smtp[107506]: 0FDA9601369: to=<XXX@meine-domain.de>, relay=MEIN_MAI-SERVER[XXX.XXX.XXX.XXX]:25, delay=0.51, delays=0.08/0.07/0.08/0.27, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 4YRWdz2hyPz1kyD)
2025-01-06T12:09:11.575054+01:00 mail postfix/qmgr[735]: 0FDA9601369: removed

Subject der Mail:
Code: 
subject: PMG-SPAM: Wie fanden Sie ......

"PMG-SPAM:" wird über die Aktion "Modify Spam Subject" in PMG hinzugefügt, wenn SPAM erkannt wird. Das PMG habe ich hinzugefügt um eindeutig erkennen zu können, ob das Flag im PMG hinzugefügt wurde.

Ich habe auch die Regeln gepüft, die die Action "Modify Spam Subject" auslösen, soweit ich das sehe , habe da immer als Regel vorgesehen, dass folgendes WHAT Object erfüllt sein muss: Match Field: X-Spam-Flag: Value: YES. Die Mail enthält aber im Header kein Feld "X-Spam-Flag" (das haben bei mir nur Mails, die aus einer bestimmten Quelle weitergeleitet wurde, diese Mail von netflix ging aber direkt auf dem Gateway ein.
 
florianr said:
"PMG-SPAM:" wird über die Aktion "Modify Spam Subject" in PMG hinzugefügt, wenn SPAM erkannt wird. Das PMG habe ich hinzugefügt um eindeutig erkennen zu können, ob das Flag im PMG hinzugefügt wurde.
Click to expand...
Wie genau sieht die regel aus? - `pmgdb dump` gibt da Aufschluss darüber

Ansonsten:
florianr said:
T_SPF_HELO_TEMPERROR(0.01)
Click to expand...
das hier könnte auf ein falsch konfiguriertes DNS am PMG hinweisen (sollte aber unabhängig von dem modifizierten subject sein)
 
Danke für die Antwort.

Ich denke, ich habe den "Übeltäter gefunden: Rule 18, Field 47 "ETF" ist in nETFlix enthalten.

Ich wundere mich aber trotzdem darüber, dass im Log nicht steht, auf Grund welcher Regel die Bearbeitung erfolgte, bei anderen Mails, habe ich das im Protokoll gefunden, daher noch mal - unabhängig vom konkreten Fall - die Frage, ob man irgendwo für eine konkrete Mail sehen kann, auf Grundlage welcher Regel die Bearbeitung der Regeln beendet wurde? Das wäre in solchen Fällen ja ggf. hilfreich.

Die Ausgabe von pmgsb dump anbei:

Code: 
[...]
RULE 5 (prio: 90, in, ACTIVE): Modify Header
  ACTION group 13: Modify Spam Level
    OBJECT Header Attribute 25: modify field: X-SPAM-LEVEL:__SPAM_INFO__
[...]
RULE 9 (prio: 82, in, inactive): Block Spam (Level 10)
  WHAT group 12 (and=0, invert=0): Spam (Level 10)
    OBJECT Spam Filter 24: Level 10
  ACTION group 18: Block
    OBJECT Block 30: block message
RULE 8 (prio: 81, in, inactive): Quarantine/Mark Spam (Level 5)
  WHAT group 11 (and=0, invert=0): Spam (Level 5)
    OBJECT Spam Filter 23: Level 5
  ACTION group 19: Quarantine
    OBJECT Quarantine 31: Move to quarantine.
  ACTION group 14: Modify Spam Subject
    OBJECT Header Attribute 26: modify field: subject:PMG-SPAM: __SUBJECT__
RULE 7 (prio: 80, in, ACTIVE): Quarantine/Mark Spam (Level 3)
  WHAT group 10 (and=0, invert=0): Spam (Level 3)
    OBJECT Spam Filter 22: Level 3
  ACTION group 19: Quarantine
    OBJECT Quarantine 31: Move to quarantine.
  ACTION group 14: Modify Spam Subject
    OBJECT Header Attribute 26: modify field: subject:PMG-SPAM: __SUBJECT__
RULE 15 (prio: 76, in, ACTIVE): GMX SPam Flag + Spam Level 2
  WHAT mode: and=1 invert=0
  WHAT group 25 (and=0, invert=0): X-Spam-Flag
    OBJECT Match Field 37: X-Spam-Flag=YES
  WHAT group 26 (and=0, invert=0): Spam (Level 2)
    OBJECT Spam Filter 38: Level 2
  ACTION group 19: Quarantine
    OBJECT Quarantine 31: Move to quarantine.
  ACTION group 14: Modify Spam Subject
    OBJECT Header Attribute 26: modify field: subject:PMG-SPAM: __SUBJECT__
RULE 14 (prio: 75, in, ACTIVE): GMX Spam Flag
  WHAT group 25 (and=0, invert=0): X-Spam-Flag
    OBJECT Match Field 37: X-Spam-Flag=YES
  ACTION group 14: Modify Spam Subject
    OBJECT Header Attribute 26: modify field: subject:PMG-SPAM: __SUBJECT__
RULE 19 (prio: 74, in, inactive): potential SPAM Sender and Level 2
  WHAT mode: and=1 invert=0
  WHAT group 26 (and=0, invert=0): Spam (Level 2)
    OBJECT Spam Filter 38: Level 2
  WHAT group 28 (and=0, invert=0): potential_Spam-Sender
    OBJECT Match Field 42: From=Apotheke
    OBJECT Match Field 46: From=Bitcoin
    OBJECT Match Field 47: From=ETF
    OBJECT Match Field 48: From=Investmentstrategie
    OBJECT Match Field 43: From=Pillen
    OBJECT Match Field 45: Subject=Apotheke
    OBJECT Match Field 44: Subject=Pillen
  ACTION group 19: Quarantine
    OBJECT Quarantine 31: Move to quarantine.
  ACTION group 14: Modify Spam Subject
    OBJECT Header Attribute 26: modify field: subject:PMG-SPAM: __SUBJECT__
RULE 18 (prio: 73, in, inactive): potential SPAM Sender
  WHAT group 28 (and=0, invert=0): potential_Spam-Sender
    OBJECT Match Field 42: From=Apotheke
    OBJECT Match Field 46: From=Bitcoin
    OBJECT Match Field 47: From=ETF
    OBJECT Match Field 48: From=Investmentstrategie
    OBJECT Match Field 43: From=Pillen
    OBJECT Match Field 45: Subject=Apotheke
    OBJECT Match Field 44: Subject=Pillen
  ACTION group 14: Modify Spam Subject
    OBJECT Header Attribute 26: modify field: subject:PMG-SPAM: __SUBJECT__
RULE 10 (prio: 70, out, inactive): Block outgoing Spam
  WHAT group 10 (and=0, invert=0): Spam (Level 3)
    OBJECT Spam Filter 22: Level 3
  ACTION group 18: Block
    OBJECT Block 30: block message
  ACTION group 20: Notify Admin
    OBJECT Notification 32: notify __ADMIN__
  ACTION group 21: Notify Sender
    OBJECT Notification 33: notify __SENDER__
RULE 11 (prio: 60, out, inactive): Add Disclaimer
  ACTION group 22: Disclaimer
    OBJECT Disclaimer 34: disclaimer
root@mail:~#

Stoiko Ivanov said:
Ansonsten:

das hier könnte auf ein falsch konfiguriertes DNS am PMG hinweisen (sollte aber unabhängig von dem modifizierten subject sein)
Click to expand...
Thanks, that seemed to be an unintended firewall blocking ...
 
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom