Alexander wrote: ↑Wed 4. May 2022, 14:49
Du testest hiermit, ja?
Code: Select all
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
Ja.
Ich habe nochmal 2 Versuche gemacht und dazu die entsprechenden Einträge aus der mail.log überprüft.
1. Eine Spam-Mail von meinem Google-Konto auf die Adresse
mail@domain3.eu, die eine Alias-Adresse von
mail@domain1.eu ist
Code: Select all
May 4 14:58:12 mail postfix/smtpd[30996]: connect from mail-ej1-f52.google.com[209.85.218.52]
May 4 14:58:12 mail postfix/smtpd[30996]: TLS SNI mein_mailserver from mail-ej1-f52.google.com[209.85.218.52] not matched, using default chain
May 4 14:58:12 mail postfix/smtpd[30996]: TLS SNI mein_mailserver from mail-ej1-f52.google.com[209.85.218.52] not matched, using default chain
May 4 14:58:13 mail policyd-spf[31076]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=209.85.218.52; helo=mail-ej1-f52.google.com; envelope-from=ich_bei@googlemail.com; receiver=<UNKNOWN>
May 4 14:58:13 mail postfix/smtpd[30996]: 0DCBDC0C5C: client=mail-ej1-f52.google.com[209.85.218.52]
May 4 14:58:13 mail postfix/cleanup[31077]: 0DCBDC0C5C: message-id=<8b533f74-41cf-8b34-e654-0e60a3c4032b@googlemail.com>
May 4 14:58:13 mail opendkim[173]: 0DCBDC0C5C: s=20210112 d=googlemail.com a=rsa-sha256 SSL
May 4 14:58:13 mail postfix/qmgr[25622]: 0DCBDC0C5C: from=<ich_bei@googlemail.com>, size=3319, nrcpt=1 (queue active)
May 4 14:58:13 mail postfix/smtpd[31082]: connect from localhost[127.0.0.1]
May 4 14:58:13 mail postfix/smtpd[31082]: 9E7FDC0CD7: client=localhost[127.0.0.1]
May 4 14:58:13 mail postfix/cleanup[31083]: 9E7FDC0CD7: message-id=<8b533f74-41cf-8b34-e654-0e60a3c4032b@googlemail.com>
May 4 14:58:13 mail postfix/smtpd[31082]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
May 4 14:58:13 mail postfix/qmgr[25622]: 9E7FDC0CD7: from=<ich_bei@googlemail.com>, size=3950, nrcpt=2 (queue active)
May 4 14:58:13 mail amavis[26021]: (26021-15) Passed SPAM {RelayedOpenRelay,Quarantined}, [209.85.218.52]:36752 [79.248.212.163] <ich_bei@googlemail.com> -> <mail@domain3.eu>, quarantine: S/spam-SSZSLpNvcUN2.gz, Queue-ID: 0DCBDC0C5C, Message-ID: <8b533f74-41cf-8b34-e654-0e60a3c4032b@googlemail.com>, mail_id: SSZSLpNvcUN2, Hits: 1000.376, size: 3489, queued_as: 9E7FDC0CD7, 507 ms
May 4 14:58:13 mail postfix/smtp[31078]: 0DCBDC0C5C: to=<mail@domain3.eu>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.73, delays=0.22/0.01/0/0.51, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 9E7FDC0CD7)
May 4 14:58:13 mail postfix/qmgr[25622]: 0DCBDC0C5C: removed
2. Eine Spam-Mail von meinem Google-Konto auf die Adresse
mail@domain2.eu, die eine reine Weiterleitungsadresse auf
mail@domain1.eu ist
Code: Select all
May 4 15:16:52 mail postfix/smtpd[735]: connect from mail-wr1-f47.google.com[209.85.221.47]
May 4 15:16:52 mail postfix/smtpd[735]: TLS SNI mein_mailserver from mail-wr1-f47.google.com[209.85.221.47] not matched, using default chain
May 4 15:16:52 mail postfix/smtpd[735]: TLS SNI mein_mailserver from mail-wr1-f47.google.com[209.85.221.47] not matched, using default chain
May 4 15:16:52 mail policyd-spf[962]: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=209.85.221.47; helo=mail-wr1-f47.google.com; envelope-from=ich_bei@googlemail.com; receiver=<UNKNOWN>
May 4 15:16:52 mail postfix/smtpd[735]: 6DB54C0C5B: client=mail-wr1-f47.google.com[209.85.221.47]
May 4 15:16:52 mail postfix/cleanup[976]: 6DB54C0C5B: message-id=<03835570-eaba-b766-e1e3-3dcfb8a71476@googlemail.com>
May 4 15:16:52 mail opendkim[173]: 6DB54C0C5B: s=20210112 d=googlemail.com a=rsa-sha256 SSL
May 4 15:16:52 mail postfix/qmgr[25622]: 6DB54C0C5B: from=<ich_bei@googlemail.com>, size=3195, nrcpt=1 (queue active)
May 4 15:16:53 mail postfix/smtpd[629]: connect from localhost[127.0.0.1]
May 4 15:16:53 mail postfix/smtpd[629]: 26C34C0C5C: client=localhost[127.0.0.1]
May 4 15:16:53 mail postfix/cleanup[624]: 26C34C0C5C: message-id=<03835570-eaba-b766-e1e3-3dcfb8a71476@googlemail.com>
May 4 15:16:53 mail postfix/smtpd[629]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
May 4 15:16:53 mail postfix/qmgr[25622]: 26C34C0C5C: from=<ich_bei@googlemail.com>, size=4373, nrcpt=2 (queue active)
May 4 15:16:53 mail dovecot: lmtp(738): Connect from local
May 4 15:16:53 mail amavis[31642]: (31642-08) Passed SPAM {RelayedTaggedInbound,Quarantined}, [209.85.221.47]:38765 [79.248.212.163] <ich_bei@googlemail.com> -> <mail@domain2.eu>, quarantine: m/spam-meIhco7i0ZlE.gz, Queue-ID: 6DB54C0C5B, Message-ID: <03835570-eaba-b766-e1e3-3dcfb8a71476@googlemail.com>, mail_id: meIhco7i0ZlE, Hits: 999.295, size: 3365, queued_as: 26C34C0C5C, 562 ms
May 4 15:16:53 mail postfix/smtp[625]: 6DB54C0C5B: to=<mail@domain2.eu>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.73, delays=0.17/0/0/0.56, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 26C34C0C5C)
May 4 15:16:53 mail postfix/qmgr[25622]: 6DB54C0C5B: removed
Seltsam finde ich, dass die Email bei beiden Versuchen richtigerweise über Amavis gegangen ist und beide scheinbar als Spam erkannt und in Quarantäne kopiert wurden.
Den einzigen Unterschied, den ich in den beiden Log-Auszügen erkenne:
bei der Alias-Adresse:
Code: Select all
Passed SPAM {RelayedOpenRelay,Quarantined}
bei der Weiterleitungsadresse:
Code: Select all
Passed SPAM {RelayedTaggedInbound,Quarantined}
Also wurde nur die Email auf die Weiterleitungadresse getagged - die auf den Alias nicht.
Und das enspricht auch dem, was im Mailclient ankommt: Bei der Weiterleitungsadresse sind die Header mit drin und der Betreff wurde um ***Spam*** ergänzt, bei der Alias-Adresse sind keine Header enthalten und auch der Betreff wurde nicht geändert.
Wenn ich mir aber die Emails in der Quarantäne anschaue, dann sind bei beiden Emails die Spam-Header drin:
Alias-Adresse:
Code: Select all
X-Envelope-From: <ich_bei@googlemail.com>
X-Envelope-To: <mail@domain3.eu>
X-Envelope-To-Blocked:
X-Quarantine-ID: <SSZSLpNvcUN2>
X-Spam-Flag: YES
X-Spam-Score: 1000.376
X-Spam-Level: ****************************************************************
X-Spam-Status: Yes, score=1000.376 tag=-999 tag2=5 kill=999
tests=[BAYES_00=-1.9, DKIM_SIGNED=0.1, DKIM_VALID=-0.1,
DKIM_VALID_AU=-0.1, DKIM_VALID_EF=-0.1, FREEMAIL_FROM=0.001,
FSL_BULK_SIG=1, GTUBE=1000, HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.1,
PYZOR_CHECK=1.392, RCVD_IN_MSPIKE_H3=-0.01, RCVD_IN_MSPIKE_WL=-0.01,
SPF_HELO_NONE=0.001, SPF_PASS=-0.001, TVD_SPACE_RATIO=0.001,
URIBL_BLOCKED=0.001] autolearn=no autolearn_force=no
Received: from mein_mailserver ([127.0.0.1])
by localhost (mein_mailserver [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id SSZSLpNvcUN2 for <mail@domain3.eu>;
Wed, 4 May 2022 14:58:13 +0200 (CEST)
Weiterleitungsadresse:
Code: Select all
X-Envelope-From: <ich_bei@googlemail.com>
X-Envelope-To: <mail@domain2.eu>
X-Envelope-To-Blocked:
X-Quarantine-ID: <meIhco7i0ZlE>
X-Spam-Flag: YES
X-Spam-Score: 999.295
X-Spam-Level: ****************************************************************
X-Spam-Status: Yes, score=999.295 tag=-999 tag2=4.5 kill=999
tests=[BAYES_00=-1.9, DKIM_SIGNED=0.1, DKIM_VALID=-0.1,
DKIM_VALID_AU=-0.1, DKIM_VALID_EF=-0.1, FREEMAIL_FROM=0.001,
FSL_BULK_SIG=1, GTUBE=1000, PYZOR_CHECK=1.392, RCVD_IN_MSPIKE_H2=-1,
SPF_HELO_NONE=0.001, SPF_PASS=-0.001, TVD_SPACE_RATIO=0.001,
URIBL_BLOCKED=0.001] autolearn=no autolearn_force=no
Received: from mein_mailserver ([127.0.0.1])
by localhost (mein_mailserver [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id meIhco7i0ZlE for <mail@domain2.eu>;
Wed, 4 May 2022 15:16:52 +0200 (CEST)
Warum um alles in der Welt kommt also in der Quarantäne beim Alias etwas anderes an, als beim Mailclient?
Welche Einstellung kann dafür verantwortlich sein?
Ich komme einfach nicht drauf.
Alexander wrote: ↑Wed 4. May 2022, 14:49
Hast du noch weitere noch weitere Anpassungen am Mail-Server-Setup vorgenommen?
Es sind mehrere Anpassungen in postfix und amavis vorgenommen worden und der Server wurde vor ca. drei Wochen von iMSCP zu Keyhelp migriert.
Mir fällt aber keine Anpassung ein, die zu dem beschriebenen Phänomen führen könnte. Aber ich bin auch ehrlich gesagt alles andere als ein Linux-Profi.