Spam Erkennung aktivieren

[Krisi]

Habe ich beim Upgrade mehrerer Server von debian 11->12 etwas falsch gemacht?
Keine einzige Mail wird als SPAM gekennzeichnet. Die Upgrades sind jetzt mehr als eine Woche her. Ich hoffte auf den "Cronjob".

[mhagge]

Als "Spam" gekennzeichnet im Betreff, oder in den Headerzeilen?

Ersteres passiert tatsächlich nicht mehr (kann man aber im Rspamd sicher auch irgendwie aktivieren). Zweiteres passiert, und darauf kann man auch gut filtern (Header "X-Spam: Yes"). Tut man das nicht, sind die Spam-Mails je nach Mail-Programm ganz normal im Posteingang und nicht weiter sichtbar gekennzeichnet.

Ich würde also einen Filter einrichten, im Thunderbird z.B. meine ich gibt es dort im Spam-Filter auch die Option, dass man sich auf Kennungen anderer Spam-Filter verlassen soll, das müsste damit auch funktionieren

[Krisi]

Vielen Dank für den Hinweis!
Ich habe verschiedene Mails durchsucht und finde im Header derer nichts, wenn ich nach "SPAM" suche.

Code: Select all

Return-Path: <ydsyyqx@tukame.org.tr>
Delivered-To: info@roller-aus-blech.de
Received: from rs4.webdesign-aus-braunschweig.de
	by rs4.webdesign-aus-braunschweig.de with LMTP
	id uc3sG94kbmVKxRYAfr/nzg
	(envelope-from <ydsyyqx@tukame.org.tr>)
	for <info@roller-aus-blech.de>; Mon, 04 Dec 2023 20:13:34 +0100
Received-SPF: Temperror (mailfrom) identity=mailfrom; client-ip=213.202.255.24; helo=mail.tukame.org.tr; envelope-from=ydsyyqx@tukame.org.tr; receiver=roller-aus-blech.de 
Received: from mail.tukame.org.tr (mail.tukame.org.tr [213.202.255.24])
	by rs4.webdesign-aus-braunschweig.de (Postfix) with ESMTP id 58F51E0324
	for <info@roller-aus-blech.de>; Mon,  4 Dec 2023 20:13:34 +0100 (CET)
Received: from tukame.org.tr (229004-5.vm.clodo.ru [62.76.188.81])
	by mail.tukame.org.tr (Postfix) with ESMTPA id 00F62816BFC6;
	Mon,  4 Dec 2023 20:19:39 +0200 (EET)
Message-ID: <2778853104774064082522788555125080474132@tukame.org.tr>
From: "Behandlung von Prostatitis" <ydsyyqx@tukame.org.tr>
To: <ogs-overath@rhein-berg.drk.de>
Subject: Befreien Sie von Prostatitis in nur 28 Tagen

[mhagge]

Die sieht in der Tat nicht so aus, als wenn sie durch rspamd durchgelaufen ist.

Laufen denn die entsprechenden Dienste? (System-Status -> Server-Dienst-Verwaltung)? Taucht in der rspamd-Oberfläche was auf? (Systemstatus -> RSpamD Weboberfläche). Insbesondere bei letztere kann man (je nach Mailmenge und wie schnell man ist) die Mailbehaldung quasi "live" mitsehen und auch gut nachvollziehen, was mit einer Mail im Spam-Filter passiert)

[Ralph]

Ich habe verschiedene Mails durchsucht und finde im Header derer nichts, wenn ich nach "SPAM" suche.

Das sind forwardings aus RU die über einen relativ sauberen MX der aktuell noch nicht in Haupt DNSBL Listen aufgeführt ist ...
Momentan finde ich aber aktuelle Listings über AbuseIPDB
https://www.abuseipdb.com/check/62.76.188.81
https://www.abuseipdb.com/check/213.202.255.24

Die IPs kannst du blocken und zusätzlich in die Header Checks

Code: Select all

/^Subject:.*Prostatitis.*/ REJECT
/^From:.* Prostatitis/ REJECT
/^From: ydsyyqx@tukame\.org\.tr/  REJECT

Postfix danach neu starten

Kannst eventl. mal schauen ob im Content URLs vorhanden sind und die Domain der URL entweder über bodychecks oder rspamd auf reject setzen.
Bei dieser Forward Taktik über saubere MX geht ansonsten einiges durch ...

Ich setze diese gleich bei mir auch mal auf REJECT

[Krisi]

@mhagge
Vielen Dank für deine konkreten Hinweise.
Die Dienste laufen.
Die Statistik für rspamd ist sehr ansprechend gestaltet.

[Krisi]

Ich habe verschiedene Mails durchsucht und finde im Header derer nichts, wenn ich nach "SPAM" suche.

Das sind forwardings aus RU die über einen relativ sauberen MX der aktuell noch nicht in Haupt DNSBL Listen aufgeführt ist ...
Momentan finde ich aber aktuelle Listings über AbuseIPDB
https://www.abuseipdb.com/check/62.76.188.81
https://www.abuseipdb.com/check/213.202.255.24

Die IPs kannst du blocken und zusätzlich in die Header Checks

Code: Select all

/^Subject:.*Prostatitis.*/ REJECT
/^From:.* Prostatitis/ REJECT
/^From: ydsyyqx@tukame\.org\.tr/  REJECT

Postfix danach neu starten

Kannst eventl. mal schauen ob im Content Links vorhanden sind und die entweder über bodychecks oder rspamd auf reject setzen.
Bei dieser Forward Taktik über saubere MX geht ansonsten einiges durch ...

Danke!

[Alexander]

Ersteres passiert tatsächlich nicht mehr (kann man aber im Rspamd sicher auch irgendwie aktivieren).

Das sollte aber eigentlich geschehen. Eben aus dem Grund, dass beim Umstieg die alte Filter-Regeln weiterhin funktionsfähig bleiben.

[mhagge]

Das sollte aber eigentlich geschehen. Eben aus dem Grund, dass beim Umstieg die alte Filter-Regeln weiterhin funktionsfähig bleiben.

Das ist hier in der Tat bei keinen umgestellten Server der Fall (gut ein halbes Dutzend) der Fall. Wobei ich die Modifikation zum automatischen Lernen und verschieben nach "Junk" von hier: viewtopic.php?t=12774 eingebaut habe, möglicherweise liegt es auch daran (wobei ich jetzt nicht genau wüsste wie, die RspamD-Config wird dabei ja nur ergänzt, aber nicht grundlegend verändert)

[Ralph]

Das sollte aber eigentlich geschehen. Eben aus dem Grund, dass beim Umstieg die alte Filter-Regeln weiterhin funktionsfähig bleiben.

Keine einzige Mail wird als SPAM gekennzeichnet

Er meint vermutlich automatisch als Spam erkannt, wobei die betreffenden Mails vorher noch nicht als Spam markiert wurden ...
Wenn dann zu dem Zeitpunkt keine Entrys von relevanten DNSBL vorliegen gehen viele per Default settings durch.

Ich setze auch MultiMaps ein mit Gewichtungen, da geht trotz allem noch einiges durch, Content checks zeigen bei mir eine gute Trefferquote, man muß halt die Liste ständig erweitern, die Masse und die Qualität der Attacken ist momentan äusserst beeindruckend

[Krisi]

Die rspamd Oberfläche ist wirklich großartig.
Dank der History konnte ich Mails für einen meiner Accounts finden, die einen X-Spam "add header" im Quelltext enthalten.

Es braucht wohl einfach etwas mehr Zeit (es sind ja schon einige erkannt worden).
Und ich brauche etwas Übung um den Mailserver zu trainieren.

Bisher habe ich im Thunderbird anhand des Betreffs gefiltert.
Ich finde dort keine Möglichkeit, anhand des Quelltexts zu filtern-
Wie macht ihr das?

[Ralph]

Dank der History konnte ich Mails für einen meiner Accounts finden, die einen X-Spam "add header" im Quelltext enthalten.

Die spam_headers können permanent aktiviert werden, dann kann der Status direkt in der Mail geprüft werden und man kann die settings dann ggf. entsprechend anpassen ...

Code: Select all

nano /etc/rspamd/local.d/milter_headers.conf
extended_spam_headers = true;

#
service rspamd restart

[Krisi]

Ich habe mich scheinbar unverständlich ausgedrückt.
Ich suche eine Möglichkeit, Mails, welche im Header die "X-Spam: yes" Flag aufweisen, im Thunderbird filtern zu können.
Im Thunderbird gibt es keinen passenden Wert dafür. Ich probiere für einen Mailaccount testweise mal "Inhalt" aus.
Also wenn der Inhalt der Mail "X-Spam: yes" beinhaltet, dann mache irgendetwas.

[Alexander]

Das sollte gehen:

1) Du gehst im Thunderbird zu deinen Filtereinstellungen
2) Im ersten Drop-Down der Bedingung, wo Sachen wie "Betreff", "Von", "Inhalt" usw. steht, wählst du "Anpassen" und dort gibst du "X-Spam" ein
3) Im zweiten Drop-Down nimmst du "enthält" oder "ist"
4) Im letzten Eingabefeld gibst du "yes" ein

[Krisi]

Danke,
mir war das mit der Syntax in "Anpassen" nicht klar.
Ich teste es gerade.
Danke