Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade"

[Paul]

Hi,

Am 21.03.2016 um 14:50 schrieb Hendl Stephan:
> wir beobachten trotz aktuellem spamassassin-3.4, policyd-weight,
> greylisting und diversen postfix-Regeln ein erhöhtes Spamaufkommen von
> neuen TLDs. Diese Mails bekommen in der Regel aber nur 2.5 Spampunkte.
> 
>  
> 
> Mar 21 08:41:03 mailserver amavis[14171]: (14171-01) spam-tag,
> <BOUNCE_PREFIX-1458511967.16104.kwucvgOVo8XW at wnc89.win
> <mailto:BOUNCE_PREFIX-1458511967.16104.kwucvgOVo8XW at wnc89.win>> ->
> <name at meinedomain.de <mailto:name at meinedomain.de>>, No, score=2.5
> tagged_above=-9999 required=6.31 tests=[BAYES_00=-1.9, RCVD_IN_PSBL=2.7,
> URIBL_BLACK=1.7] autolearn=no
> 
>  
> 
> Ich könnte hier eine eigene Regel für „@wnc89.win“ aufstellen und schon
> mal gleich 5 Punkte vergeben, das artet bei mehrere Domains dann aber
> ganz schön aus… Hat jemand eine generische Idee?

Nicht ganz, aber bei mir hat folgendes sehr gut geholfen.
0 False-Positives in 2 Monaten.

main.cf:
smtpd_recipient_restrictions=
 ...
 check_sender_access pcre:/etc/postfix/evil_sender
 ...

evil_sender:
/^BOUNCE_PREFIX-(\d){5,15}\./ REJECT Dein Text
/^BOUNCE_PREFIX/ reject_rbl_client psbl.surriel.com,
,reject_rhsbl_sender multi.uribl.com, ggfs_andere_harte_regeln

Die zweite Regel ist aber bisher nie zum Einsatz gekommen.

Gruß,
Paul