From postfix.user at linuxmaker.cloud Tue Dec 12 09:11:05 2023 From: postfix.user at linuxmaker.cloud (Andreas) Date: Tue, 12 Dec 2023 09:11:05 +0100 Subject: clamav-daemon.socket bei Debian 12 verhindert Scans von =?UTF-8?B?TWFpbGFuaMOkbmdlbg==?= Message-ID: <1880360.tdWV9SEqCh@stuttgart> Guten Morgen, ich nutze Debian 12 und Postfix/Dovecot mit Rspamd/ClamAv und habe seit Monaten Probleme mit ?clamav-daemon?. Fakt ist, dass diese Mailserver mit dieser Konstellation mittlerweile nicht mehr aktualisierbar sind. Ich weiß, dass das als Debian-Thema eher in deren Forum gehört - ist es auch, ungelöst. Aber vielleicht wisst Ihr hier Lösungen. Ich habe das hier gestern noch einmal gemeldet: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1058023 Problem ist, dass der clamav-daemon nicht richtig läuft und nach jedem Update den clamav-daemon.socket startet. Bislang reichte es aus nach dem Update mit systemctl disable --now clamav-daemon.socket systemctl enable --now clamav-daemon.service systemctl restart clamav-daemon.service den Socket abzuschalten. Aber dann verschwindet aus systemctl status clamav-daemon.service ? clamav-daemon.service - Clam AntiVirus userspace daemon Loaded: loaded (/lib/systemd/system/clamav-daemon.service; enabled; preset: enabled) Drop-In: /etc/systemd/system/clamav-daemon.service.d ??extend.conf Active: active (running) since Fri 2023-12-11 11:22:48 CEST; 19min ago TriggeredBy: ? clamav-daemon.socket Docs: man:clamd(8) das "TriggeredBy: ? clamav-daemon.socket? wieder. Aber trotzdem können die Anhänge nicht gescannt werden. Kennt hier jemand das Problem und hat vielleicht eine Lösung? Oder gibt es eine Alternative zu ClamAV, die sich ohne viel Aufwand an Stelle des ClamAV setzen ließe? Beste Grüße Andreas From cite at incertum.net Thu Dec 14 12:17:59 2023 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Thu, 14 Dec 2023 12:17:59 +0100 Subject: clamav-daemon.socket bei =?utf-8?Q?Deb?= =?utf-8?Q?ian_12_verhindert_Scans_von_Mailanh=C3=A4ngen?= In-Reply-To: <1880360.tdWV9SEqCh@stuttgart> References: <1880360.tdWV9SEqCh@stuttgart> Message-ID: Hallo Andreas, * Andreas via Postfixbuch-users : >Kennt hier jemand das Problem und hat vielleicht eine Lösung? Oder gibt es >eine Alternative zu ClamAV, die sich ohne viel Aufwand an Stelle des ClamAV >setzen ließe? ich bin nicht ganz davon überzeugt, ob Du an der richtigen Stelle suchst. Kannst Du mal die konkrete Fehlermeldung zeigen, oder was passiert, wenn Du mit "clamdscan" (nicht "clamscan", die Variante mit dem "d" verwendet den Socket) ein File scannen willst? Und ich sehe, Du hast eine extend.conf für den Service angelegt, kannst Du da mal den Inhalt zeigen? Viele Grüße Stefan From cite at incertum.net Thu Dec 14 12:28:53 2023 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Thu, 14 Dec 2023 12:28:53 +0100 Subject: clamav-daemon.socket bei =?utf-8?Q?Deb?= =?utf-8?Q?ian_12_verhindert_Scans_von_Mailanh=C3=A4ngen?= In-Reply-To: References: <1880360.tdWV9SEqCh@stuttgart> Message-ID: * Stefan Förster via Postfixbuch-users : >Hallo Andreas, > >* Andreas via Postfixbuch-users : >>Kennt hier jemand das Problem und hat vielleicht eine Lösung? Oder gibt es >>eine Alternative zu ClamAV, die sich ohne viel Aufwand an Stelle des ClamAV >>setzen ließe? > >ich bin nicht ganz davon überzeugt, ob Du an der richtigen Stelle >suchst. Kannst Du mal die konkrete Fehlermeldung zeigen, oder was >passiert, wenn Du mit "clamdscan" (nicht "clamscan", die Variante mit >dem "d" verwendet den Socket) ein File scannen willst? Ich antworte hier mal auf mich selber: Ich habe eine Debian/bookworm-Box installiert, das "clamav-daemon"-Paket installiert, einmal manuell "freshclam" ausgeführt und danach den "clamav-daemon.socket" neu gestartet, und als ich dann "clamdscan /etc/hosts" eingegeben habe, hat er clamd gestartet und das File gescannt. >Und ich sehe, Du hast eine extend.conf für den Service angelegt, >kannst Du da mal den Inhalt zeigen? Hat sich erledigt, ist nur run-Directory-Gedöns. Ciao Stefan From postfix.user at linuxmaker.cloud Thu Dec 14 17:18:24 2023 From: postfix.user at linuxmaker.cloud (Andreas) Date: Thu, 14 Dec 2023 17:18:24 +0100 Subject: clamav-daemon.socket bei Debian 12 verhindert Scans von =?UTF-8?B?TWFpbGFuaMOkbmdlbg==?= In-Reply-To: References: <1880360.tdWV9SEqCh@stuttgart> Message-ID: <3277786.44csPzL39Z@stuttgart> Hallo Stefan, es kann gut sein, dass ich irgendwie was falsch mache. Ich hatte einfach festgestellt, dass wenn der Socket abgeschaltet ist, dann ging zumindest bei Debian 11 noch das Scannen von Anhängen. Vorab, ich kann momentan keine Fehlermeldung von der Situation direkt zeigen, weil das Backup der VM aus der Nacht zum Montag wieder eingespielt hatte. Hier funktioniert das Scannen noch und das Geschrei der Benutzer war ein zu groß. Am Donnerstag, 14. Dezember 2023, 12:17:59 CET schrieb Stefan Förster via Postfixbuch- users: > > ich bin nicht ganz davon überzeugt, ob Du an der richtigen Stelle > suchst. Kannst Du mal die konkrete Fehlermeldung zeigen, oder was > passiert, wenn Du mit "clamdscan" (nicht "clamscan", die Variante mit > dem "d" verwendet den Socket) ein File scannen willst? > Da zeige ich doch gleich mal das hier: clamdscan /home/wh/PostfixAdmin\ 3.3.1.tar.gz /home/wh/PostfixAdmin 3.3.1.tar.gz: OK ----------- SCAN SUMMARY ----------- Infected files: 0 Time: 4.005 sec (0 m 4 s) Start Date: 2023:12:14 17:15:16 End Date: 2023:12:14 17:15:20 Das ist soweit problemlos. > Und ich sehe, Du hast eine extend.conf für den Service angelegt, kannst > Du da mal den Inhalt zeigen? Ja, die liegt in "/etc/systemd/system/clamav-daemon.service.d/extend.conf ? mit diesem Inhalt [Service] ExecStartPre=-/bin/mkdir -p /run/clamav ExecStartPre=/bin/chown clamav /run/clamav Besten Dank Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From postfix.user at linuxmaker.cloud Thu Dec 14 17:22:00 2023 From: postfix.user at linuxmaker.cloud (Andreas) Date: Thu, 14 Dec 2023 17:22:00 +0100 Subject: clamav-daemon.socket bei Debian 12 verhindert Scans von =?UTF-8?B?TWFpbGFuaMOkbmdlbg==?= In-Reply-To: References: <1880360.tdWV9SEqCh@stuttgart> Message-ID: <7610659.EvYhyI6sBW@stuttgart> Am Donnerstag, 14. Dezember 2023, 12:28:53 CET schrieb Stefan Förster via Postfixbuch-users: > Hat sich erledigt, ist nur run-Directory-Gedöns. Was meinst Du damit? Dass eventuell /run/clamav falsche Rechte hat? Bei mir sieht es so aus: *# *ls -d -l /run/clamav drwxr-xr-x 2 clamav root 60 11. Dez 17:45 */run/clamav* *# *ls -l /run/clamav insgesamt 0 srw-rw-rw- 1 clamav clamav 0 11. Dez 17:45 *clamd.ctl* Beste Grüße Andreas -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From sebastian at debianfan.de Mon Dec 18 08:10:22 2023 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Mon, 18 Dec 2023 08:10:22 +0100 Subject: DKIM-Record Message-ID: <20fc94c9-86b3-4f08-adae-a2fe4377e98b@debianfan.de> Moin zusammen, vielleicht etwas OT - aber es gehört auch irgendwie dazu. Scheinbar stimmt mein DKIM-Record nicht mehr (oder hat noch nie gestimmt) - MS & Co lehnen Mails von mir ab. Mailadresse ist sebastian at meinedomain.de mx-Record geht auf mail.meinedomain.de in der main.cf steht: myhostname = mail.meinedomain.de (ob das dann relevant ist, weiss ich nicht, aber...) ip des Servers löst auf sonstigedomain.de auf Wo muss ich dann den DKIM-Record unterbringen? mail.meinedomain.de oder meinedomain.de ? Gruß Sebastian From florian at bodici.de Mon Dec 18 08:38:51 2023 From: florian at bodici.de (Florian) Date: Mon, 18 Dec 2023 08:38:51 +0100 Subject: DKIM-Record In-Reply-To: <20fc94c9-86b3-4f08-adae-a2fe4377e98b@debianfan.de> References: <20fc94c9-86b3-4f08-adae-a2fe4377e98b@debianfan.de> Message-ID: Hi Sebastian, geht beides - wenn du mit der SUbdomain DKIM signierst, hast du ein relaxed Alignment, wenn die Domains identisch sind strict. DMARC Default ist relaxed, aber möglicherweise hast du mit deinem DMARC Record strict erzwungen? Wenn du mit eine Direktmail schickst (also nicht über die Mailingliste), kann ich gerne mal schauen, wie es aussieht.. Mail ist florian at bodici.de VG, Florian Am 18.12.2023 um 08:10 schrieb sebastian--- via Postfixbuch-users: > Moin zusammen, > > vielleicht etwas OT - aber es gehört auch irgendwie dazu. > > Scheinbar stimmt mein DKIM-Record nicht mehr (oder hat noch nie > gestimmt) - MS & Co lehnen Mails von mir ab. > > Mailadresse ist sebastian at meinedomain.de > > mx-Record geht auf mail.meinedomain.de > > in der main.cf steht: > > myhostname = mail.meinedomain.de > > > (ob das dann relevant ist, weiss ich nicht, aber...) > ip des Servers  löst auf sonstigedomain.de auf > > > Wo muss ich dann den DKIM-Record unterbringen? > > mail.meinedomain.de oder meinedomain.de ? > > > Gruß > > Sebastian From mailinglists+postfixbuch at florian-kaiser.net Tue Dec 19 11:58:29 2023 From: mailinglists+postfixbuch at florian-kaiser.net (mailinglists+postfixbuch at florian-kaiser.net) Date: Tue, 19 Dec 2023 11:58:29 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_Re=3a_RSPAMD_Grunds=c3=a4tzliches?= In-Reply-To: <93a10f4a-fa7e-a1fc-2401-d8f10118cebf@syntaxys.de> References: <07756e2d-5e20-4440-95db-8d15c30e1ed7@sys4.de> <479aecfe-5e0a-402d-b8ec-5485f1adbe4e@cation.de> <003701da21e2$b0ed2cf0$12c786d0$@mail24.vip> <93a10f4a-fa7e-a1fc-2401-d8f10118cebf@syntaxys.de> Message-ID: <810e0719-dc76-e163-147f-4403a619d048@florian-kaiser.net> Hallo Achim, darf ich fragen, wie du SPFBL in rspamd integriert bekommen hast? Mit der aktuellen rspamd-Version erhalte ich für das rspamd.local.lua leider für mich unklare Parse-Errors: cfg; rspamd_config_read: rcl parse error: cannot init lua file /usr/share/rspamd/rules/rspamd.lua: /etc/rspamd/rspamd.local.lua:228: ')' expected near '&'; trace: [1]:{[C]:-1 - dofile [C]}; [2]:{rspamd.lua:45 - [main]}; Oder sonst jemand eine Idee? Schöne Grüße Florian Am 28.11.23 um 16:34 schrieb Achim Lammerts via Postfixbuch-users: > Hallo Liste, > > den rspamd habe ich auch seit gut 3 Jahren mit Postfix und Dovecot in Betrieb und es ist halt wie mit einer alten Karre, es gibt immer was zum Schrauben ? > > Abusix ist sehr nützlich und lässt sich prima in rspamd integrieren: > https://docs.abusix.com/abusix-mail-intelligence/gbG8EcJ3x3fSUv8cMZLiwA/getting-started/dmw9dcwSGSNQiLTssFAnBW#rspamd > Der Dienst ist aktuell kostenlos < 5000 queries/day > > Auch sehr hilfreich ist SPFBL: > https://spfbl.net/en/rspamd/ > > Wenn man auch noch Spamhaus und NiX Spam einbindet, wird die Filterleistung effizienter. > > Die Doku von rspamd ist leider oftmals unvollständig und verwirrend, aber man kann sich vieles bei Bedarf selbst programmieren. Und Lua ist ein bissl hirnfreundlicher als Perl/Python ? > > Da rspamd die Testresultate bei Bedarf in den Header schreibt, kann man die Zustellung gut mit Sieve steuern, wenn Dovecot als Mailstore wirkt: > https://doc.dovecot.org/configuration_manual/sieve/examples/ > Somit kann man den Posteingang gut in JUNK/SPAM/VIRUS vorfiltern und es dem Benutzer überlassen, was damit passieren soll. > > LG/A > > > > Am 28.11.23 um 11:07 schrieb Daniel via Postfixbuch-users: >> Moin, >> >>> Welches RBLs/DNSBLs sind "sinnvoll"? >> >> Ich finde Kombi aus Spamhaus und Abusix gut, die blocken nochmal vieles weg was Spamhaus nicht auf Liste hat. Zudem ist dort in deren WL auch DNSWL.org mit enthalten, und sogar kostenlos für kleinere Setups. >> >> Gruß Daniel > From cr at ncxs.de Tue Dec 19 13:35:36 2023 From: cr at ncxs.de (Carsten Rosenberg) Date: Tue, 19 Dec 2023 13:35:36 +0100 Subject: =?UTF-8?Q?Re=3A_=5Bext=5D_Re=3A_RSPAMD_Grunds=C3=A4tzliches?= In-Reply-To: <810e0719-dc76-e163-147f-4403a619d048@florian-kaiser.net> References: <07756e2d-5e20-4440-95db-8d15c30e1ed7@sys4.de> <479aecfe-5e0a-402d-b8ec-5485f1adbe4e@cation.de> <003701da21e2$b0ed2cf0$12c786d0$@mail24.vip> <93a10f4a-fa7e-a1fc-2401-d8f10118cebf@syntaxys.de> <810e0719-dc76-e163-147f-4403a619d048@florian-kaiser.net> Message-ID: Hallo Florian, was steht denn bei dir in /etc/rspamd/rspamd.local.lua Zeile 228? Im Original-Script ist dort nichts Besonderes: > local from = task:get_from(2) Viele Grüße Carsten On 19.12.23 11:58, Florian Kaiser via Postfixbuch-users wrote: > Hallo Achim, > > darf ich fragen, wie du SPFBL in rspamd integriert bekommen hast? Mit > der aktuellen rspamd-Version erhalte ich für das rspamd.local.lua leider > für mich unklare Parse-Errors: > > cfg; rspamd_config_read: rcl parse error: cannot init lua file > /usr/share/rspamd/rules/rspamd.lua: /etc/rspamd/rspamd.local.lua:228: > ')' expected near '&'; trace: [1]:{[C]:-1 - dofile [C]}; > [2]:{rspamd.lua:45 - [main]}; > > Oder sonst jemand eine Idee? > > Schöne Grüße > Florian > > Am 28.11.23 um 16:34 schrieb Achim Lammerts via Postfixbuch-users: >> Hallo Liste, >> >> den rspamd habe ich auch seit gut 3 Jahren mit Postfix und Dovecot in >> Betrieb und es ist halt wie mit einer alten Karre, es gibt immer was >> zum Schrauben ? >> >> Abusix ist sehr nützlich und lässt sich prima in rspamd integrieren: >> https://docs.abusix.com/abusix-mail-intelligence/gbG8EcJ3x3fSUv8cMZLiwA/getting-started/dmw9dcwSGSNQiLTssFAnBW#rspamd >> Der Dienst ist aktuell kostenlos < 5000 queries/day >> >> Auch sehr hilfreich ist SPFBL: >> https://spfbl.net/en/rspamd/ >> >> Wenn man auch noch Spamhaus und NiX Spam einbindet, wird die >> Filterleistung effizienter. >> >> Die Doku von rspamd ist leider oftmals unvollständig und verwirrend, >> aber man kann sich vieles bei Bedarf selbst programmieren. Und Lua ist >> ein bissl hirnfreundlicher als Perl/Python ? >> >> Da rspamd die Testresultate bei Bedarf in den Header schreibt, kann >> man die Zustellung gut mit Sieve steuern, wenn Dovecot als Mailstore >> wirkt: >> https://doc.dovecot.org/configuration_manual/sieve/examples/ >> Somit kann man den Posteingang gut in JUNK/SPAM/VIRUS vorfiltern und >> es dem Benutzer überlassen, was damit passieren soll. >> >> LG/A >> >> >> >> Am 28.11.23 um 11:07 schrieb Daniel via Postfixbuch-users: >>> Moin, >>> >>>> Welches RBLs/DNSBLs sind "sinnvoll"? >>> >>> Ich finde Kombi aus Spamhaus und Abusix gut, die blocken nochmal >>> vieles weg was Spamhaus nicht auf Liste hat. Zudem ist dort in deren >>> WL auch DNSWL.org mit enthalten, und sogar kostenlos für kleinere >>> Setups. >>> >>> Gruß Daniel >> From mailinglists+postfixbuch at florian-kaiser.net Tue Dec 19 13:47:23 2023 From: mailinglists+postfixbuch at florian-kaiser.net (mailinglists+postfixbuch at florian-kaiser.net) Date: Tue, 19 Dec 2023 13:47:23 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_Re=3a_RSPAMD_Grunds=c3=a4tzliches?= In-Reply-To: References: <07756e2d-5e20-4440-95db-8d15c30e1ed7@sys4.de> <479aecfe-5e0a-402d-b8ec-5485f1adbe4e@cation.de> <003701da21e2$b0ed2cf0$12c786d0$@mail24.vip> <93a10f4a-fa7e-a1fc-2401-d8f10118cebf@syntaxys.de> <810e0719-dc76-e163-147f-4403a619d048@florian-kaiser.net> Message-ID: <68b1efcd-3a59-bff1-6e32-c54d66619664@florian-kaiser.net> Hi Carsten, argh Mist, mein Script enthält oben drüber noch mehr. Wie dumm. Ist Zeile 19 aus dem Originalscript. Viele Grüße Florian Am 19.12.23 um 13:35 schrieb Carsten Rosenberg via Postfixbuch-users: > Hallo Florian, > > was steht denn bei dir in /etc/rspamd/rspamd.local.lua Zeile 228? > > Im Original-Script ist dort nichts Besonderes: > >>         local from = task:get_from(2) > > Viele Grüße > > Carsten > > > On 19.12.23 11:58, Florian Kaiser via Postfixbuch-users wrote: >> Hallo Achim, >> >> darf ich fragen, wie du SPFBL in rspamd integriert bekommen hast? Mit der aktuellen rspamd-Version erhalte ich für das rspamd.local.lua leider für mich unklare Parse-Errors: >> >> cfg; rspamd_config_read: rcl parse error: cannot init lua file /usr/share/rspamd/rules/rspamd.lua: /etc/rspamd/rspamd.local.lua:228: ')' expected near '&'; trace: [1]:{[C]:-1 - dofile [C]}; [2]:{rspamd.lua:45 - [main]}; >> >> Oder sonst jemand eine Idee? >> >> Schöne Grüße >> Florian >> >> Am 28.11.23 um 16:34 schrieb Achim Lammerts via Postfixbuch-users: >>> Hallo Liste, >>> >>> den rspamd habe ich auch seit gut 3 Jahren mit Postfix und Dovecot in Betrieb und es ist halt wie mit einer alten Karre, es gibt immer was zum Schrauben ? >>> >>> Abusix ist sehr nützlich und lässt sich prima in rspamd integrieren: >>> https://docs.abusix.com/abusix-mail-intelligence/gbG8EcJ3x3fSUv8cMZLiwA/getting-started/dmw9dcwSGSNQiLTssFAnBW#rspamd >>> Der Dienst ist aktuell kostenlos < 5000 queries/day >>> >>> Auch sehr hilfreich ist SPFBL: >>> https://spfbl.net/en/rspamd/ >>> >>> Wenn man auch noch Spamhaus und NiX Spam einbindet, wird die Filterleistung effizienter. >>> >>> Die Doku von rspamd ist leider oftmals unvollständig und verwirrend, aber man kann sich vieles bei Bedarf selbst programmieren. Und Lua ist ein bissl hirnfreundlicher als Perl/Python ? >>> >>> Da rspamd die Testresultate bei Bedarf in den Header schreibt, kann man die Zustellung gut mit Sieve steuern, wenn Dovecot als Mailstore wirkt: >>> https://doc.dovecot.org/configuration_manual/sieve/examples/ >>> Somit kann man den Posteingang gut in JUNK/SPAM/VIRUS vorfiltern und es dem Benutzer überlassen, was damit passieren soll. >>> >>> LG/A >>> >>> >>> >>> Am 28.11.23 um 11:07 schrieb Daniel via Postfixbuch-users: >>>> Moin, >>>> >>>>> Welches RBLs/DNSBLs sind "sinnvoll"? >>>> >>>> Ich finde Kombi aus Spamhaus und Abusix gut, die blocken nochmal vieles weg was Spamhaus nicht auf Liste hat. Zudem ist dort in deren WL auch DNSWL.org mit enthalten, und sogar kostenlos für kleinere Setups. >>>> >>>> Gruß Daniel >>> From cr at ncxs.de Tue Dec 19 14:03:01 2023 From: cr at ncxs.de (Carsten Rosenberg) Date: Tue, 19 Dec 2023 14:03:01 +0100 Subject: =?UTF-8?Q?Re=3A_=5Bext=5D_Re=3A_RSPAMD_Grunds=C3=A4tzliches?= In-Reply-To: <68b1efcd-3a59-bff1-6e32-c54d66619664@florian-kaiser.net> References: <07756e2d-5e20-4440-95db-8d15c30e1ed7@sys4.de> <479aecfe-5e0a-402d-b8ec-5485f1adbe4e@cation.de> <003701da21e2$b0ed2cf0$12c786d0$@mail24.vip> <93a10f4a-fa7e-a1fc-2401-d8f10118cebf@syntaxys.de> <810e0719-dc76-e163-147f-4403a619d048@florian-kaiser.net> <68b1efcd-3a59-bff1-6e32-c54d66619664@florian-kaiser.net> Message-ID: <42d9b680-1afa-4172-bd44-550c84c3a53e@ncxs.de> Du brauchst mal ein html-decode ;) Die Skripte auf der Webseite sind html escaped. Das Archiv sieht besser aus. > if not v:match('^[%w-]+$') or v:len() > 63 Viele Grüße Carsten On 19.12.23 13:47, Florian Kaiser via Postfixbuch-users wrote: > Hi Carsten, > > argh Mist, mein Script enthält oben drüber noch mehr. Wie dumm. > > Ist Zeile 19 aus dem Originalscript. > > > Viele Grüße > Florian > > Am 19.12.23 um 13:35 schrieb Carsten Rosenberg via Postfixbuch-users: >> Hallo Florian, >> >> was steht denn bei dir in /etc/rspamd/rspamd.local.lua Zeile 228? >> >> Im Original-Script ist dort nichts Besonderes: >> >>>         local from = task:get_from(2) >> >> Viele Grüße >> >> Carsten >> >> >> On 19.12.23 11:58, Florian Kaiser via Postfixbuch-users wrote: >>> Hallo Achim, >>> >>> darf ich fragen, wie du SPFBL in rspamd integriert bekommen hast? Mit >>> der aktuellen rspamd-Version erhalte ich für das rspamd.local.lua >>> leider für mich unklare Parse-Errors: >>> >>> cfg; rspamd_config_read: rcl parse error: cannot init lua file >>> /usr/share/rspamd/rules/rspamd.lua: /etc/rspamd/rspamd.local.lua:228: >>> ')' expected near '&'; trace: [1]:{[C]:-1 - dofile [C]}; >>> [2]:{rspamd.lua:45 - [main]}; >>> >>> Oder sonst jemand eine Idee? >>> >>> Schöne Grüße >>> Florian >>> >>> Am 28.11.23 um 16:34 schrieb Achim Lammerts via Postfixbuch-users: >>>> Hallo Liste, >>>> >>>> den rspamd habe ich auch seit gut 3 Jahren mit Postfix und Dovecot >>>> in Betrieb und es ist halt wie mit einer alten Karre, es gibt immer >>>> was zum Schrauben ? >>>> >>>> Abusix ist sehr nützlich und lässt sich prima in rspamd integrieren: >>>> https://docs.abusix.com/abusix-mail-intelligence/gbG8EcJ3x3fSUv8cMZLiwA/getting-started/dmw9dcwSGSNQiLTssFAnBW#rspamd >>>> Der Dienst ist aktuell kostenlos < 5000 queries/day >>>> >>>> Auch sehr hilfreich ist SPFBL: >>>> https://spfbl.net/en/rspamd/ >>>> >>>> Wenn man auch noch Spamhaus und NiX Spam einbindet, wird die >>>> Filterleistung effizienter. >>>> >>>> Die Doku von rspamd ist leider oftmals unvollständig und verwirrend, >>>> aber man kann sich vieles bei Bedarf selbst programmieren. Und Lua >>>> ist ein bissl hirnfreundlicher als Perl/Python ? >>>> >>>> Da rspamd die Testresultate bei Bedarf in den Header schreibt, kann >>>> man die Zustellung gut mit Sieve steuern, wenn Dovecot als Mailstore >>>> wirkt: >>>> https://doc.dovecot.org/configuration_manual/sieve/examples/ >>>> Somit kann man den Posteingang gut in JUNK/SPAM/VIRUS vorfiltern und >>>> es dem Benutzer überlassen, was damit passieren soll. >>>> >>>> LG/A >>>> >>>> >>>> >>>> Am 28.11.23 um 11:07 schrieb Daniel via Postfixbuch-users: >>>>> Moin, >>>>> >>>>>> Welches RBLs/DNSBLs sind "sinnvoll"? >>>>> >>>>> Ich finde Kombi aus Spamhaus und Abusix gut, die blocken nochmal >>>>> vieles weg was Spamhaus nicht auf Liste hat. Zudem ist dort in >>>>> deren WL auch DNSWL.org mit enthalten, und sogar kostenlos für >>>>> kleinere Setups. >>>>> >>>>> Gruß Daniel >>>> From mailinglists+postfixbuch at florian-kaiser.net Tue Dec 19 14:05:05 2023 From: mailinglists+postfixbuch at florian-kaiser.net (mailinglists+postfixbuch at florian-kaiser.net) Date: Tue, 19 Dec 2023 14:05:05 +0100 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_Re=3a_RSPAMD_Grunds=c3=a4tzliches?= In-Reply-To: <42d9b680-1afa-4172-bd44-550c84c3a53e@ncxs.de> References: <07756e2d-5e20-4440-95db-8d15c30e1ed7@sys4.de> <479aecfe-5e0a-402d-b8ec-5485f1adbe4e@cation.de> <003701da21e2$b0ed2cf0$12c786d0$@mail24.vip> <93a10f4a-fa7e-a1fc-2401-d8f10118cebf@syntaxys.de> <810e0719-dc76-e163-147f-4403a619d048@florian-kaiser.net> <68b1efcd-3a59-bff1-6e32-c54d66619664@florian-kaiser.net> <42d9b680-1afa-4172-bd44-550c84c3a53e@ncxs.de> Message-ID: <22790d53-0ac9-c69b-e15f-e15edd8efc8c@florian-kaiser.net> Achherrje, damit habe ich ja gar nicht gerechnet. Wer stellt den formatierten Code bitte HTML escaped dar? :| Vielen vielen Dank dir! Am 19.12.23 um 14:03 schrieb Carsten Rosenberg via Postfixbuch-users: > Du brauchst mal ein html-decode ;) > > Die Skripte auf der Webseite sind html escaped. Das Archiv sieht besser aus. > >> if not v:match('^[%w-]+$') or v:len() > 63 > > Viele Grüße > > Carsten > > On 19.12.23 13:47, Florian Kaiser via Postfixbuch-users wrote: >> Hi Carsten, >> >> argh Mist, mein Script enthält oben drüber noch mehr. Wie dumm. >> >> Ist Zeile 19 aus dem Originalscript. >> >> >> Viele Grüße >> Florian >> >> Am 19.12.23 um 13:35 schrieb Carsten Rosenberg via Postfixbuch-users: >>> Hallo Florian, >>> >>> was steht denn bei dir in /etc/rspamd/rspamd.local.lua Zeile 228? >>> >>> Im Original-Script ist dort nichts Besonderes: >>> >>>>         local from = task:get_from(2) >>> >>> Viele Grüße >>> >>> Carsten >>> >>> >>> On 19.12.23 11:58, Florian Kaiser via Postfixbuch-users wrote: >>>> Hallo Achim, >>>> >>>> darf ich fragen, wie du SPFBL in rspamd integriert bekommen hast? Mit der aktuellen rspamd-Version erhalte ich für das rspamd.local.lua leider für mich unklare Parse-Errors: >>>> >>>> cfg; rspamd_config_read: rcl parse error: cannot init lua file /usr/share/rspamd/rules/rspamd.lua: /etc/rspamd/rspamd.local.lua:228: ')' expected near '&'; trace: [1]:{[C]:-1 - dofile [C]}; [2]:{rspamd.lua:45 - [main]}; >>>> >>>> Oder sonst jemand eine Idee? >>>> >>>> Schöne Grüße >>>> Florian >>>> >>>> Am 28.11.23 um 16:34 schrieb Achim Lammerts via Postfixbuch-users: >>>>> Hallo Liste, >>>>> >>>>> den rspamd habe ich auch seit gut 3 Jahren mit Postfix und Dovecot in Betrieb und es ist halt wie mit einer alten Karre, es gibt immer was zum Schrauben ? >>>>> >>>>> Abusix ist sehr nützlich und lässt sich prima in rspamd integrieren: >>>>> https://docs.abusix.com/abusix-mail-intelligence/gbG8EcJ3x3fSUv8cMZLiwA/getting-started/dmw9dcwSGSNQiLTssFAnBW#rspamd >>>>> Der Dienst ist aktuell kostenlos < 5000 queries/day >>>>> >>>>> Auch sehr hilfreich ist SPFBL: >>>>> https://spfbl.net/en/rspamd/ >>>>> >>>>> Wenn man auch noch Spamhaus und NiX Spam einbindet, wird die Filterleistung effizienter. >>>>> >>>>> Die Doku von rspamd ist leider oftmals unvollständig und verwirrend, aber man kann sich vieles bei Bedarf selbst programmieren. Und Lua ist ein bissl hirnfreundlicher als Perl/Python ? >>>>> >>>>> Da rspamd die Testresultate bei Bedarf in den Header schreibt, kann man die Zustellung gut mit Sieve steuern, wenn Dovecot als Mailstore wirkt: >>>>> https://doc.dovecot.org/configuration_manual/sieve/examples/ >>>>> Somit kann man den Posteingang gut in JUNK/SPAM/VIRUS vorfiltern und es dem Benutzer überlassen, was damit passieren soll. >>>>> >>>>> LG/A >>>>> >>>>> >>>>> >>>>> Am 28.11.23 um 11:07 schrieb Daniel via Postfixbuch-users: >>>>>> Moin, >>>>>> >>>>>>> Welches RBLs/DNSBLs sind "sinnvoll"? >>>>>> >>>>>> Ich finde Kombi aus Spamhaus und Abusix gut, die blocken nochmal vieles weg was Spamhaus nicht auf Liste hat. Zudem ist dort in deren WL auch DNSWL.org mit enthalten, und sogar kostenlos für kleinere Setups. >>>>>> >>>>>> Gruß Daniel >>>>> From cite at incertum.net Wed Dec 20 10:44:47 2023 From: cite at incertum.net (Stefan =?utf-8?Q?F=C3=B6rster?=) Date: Wed, 20 Dec 2023 10:44:47 +0100 Subject: clamav-daemon.socket bei =?utf-8?Q?Deb?= =?utf-8?Q?ian_12_verhindert_Scans_von_Mailanh=C3=A4ngen?= In-Reply-To: <3277786.44csPzL39Z@stuttgart> References: <1880360.tdWV9SEqCh@stuttgart> <3277786.44csPzL39Z@stuttgart> Message-ID: Hallo Andreas, * Andreas via Postfixbuch-users : >es kann gut sein, dass ich irgendwie was falsch mache. Ich hatte einfach festgestellt, dass >wenn der Socket abgeschaltet ist, dann ging zumindest bei Debian 11 noch das Scannen >von Anhängen. >Vorab, ich kann momentan keine Fehlermeldung von der Situation direkt zeigen, weil das >Backup der VM aus der Nacht zum Montag wieder eingespielt hatte. Hier funktioniert das >Scannen noch und das Geschrei der Benutzer war ein zu groß. ich meine eigentlich nur, dass die Socket Activation nicht der Grund sein kann, warum bei Dir das Scannen nicht funktioniert: Alles was das tut, ist den Dienst erst dann zu starten, wenn auf den Socket zugegriffen wird - das funktioniert eigentlich einwandfrei. Aber ohne Fehlermeldung kommen wir da nicht weiter. Evt. kannst Du das nächste Mal, wenn das passiert, eine Kopie von der VM im kaputten Zustand in eine Art Labor übertragen, so dass man den Fehler in Ruhe suchen kann. Ciao Stefan From postfixer99 at gmail.com Wed Dec 20 11:51:03 2023 From: postfixer99 at gmail.com (Carsten) Date: Wed, 20 Dec 2023 11:51:03 +0100 Subject: =?UTF-8?Q?Neue_Spoofing_Technik_-_Alle_gro=c3=9fen_Provider_betroff?= =?UTF-8?Q?en?= In-Reply-To: <872e1b5a-4d3e-c509-f510-0d91b5d53491@gmail.com> References: <872e1b5a-4d3e-c509-f510-0d91b5d53491@gmail.com> Message-ID: Hallo zusammen, aktuelle Meldung zum Mailspoofing u.a. mit Postfix: https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/ Aufgrund unzureichender Prüfungen im SMTP-Dialog sowohl inbound als auch outbound ist es selbst bei den größten Mailprovidern GMX/WEB.DE oder selbst Outlook.com / Microsoft möglich, nach erfolgreicher Authentifizierung als normaler Kunde z.B. user at example.com Mails im Namen von admin at gmx.de oder admin at outlook.com zu versenden. >> After testing some popular e-mail software in their default configuration, it turned out that *Postfix* and *Sendmail* fulfil the requirements, are *affected* and can be smuggled to... Nun ist die Frage: Mit welcher Konfigurationsdirektive wird dies verhindert? Sowohl inbound als auch outbound? Jemand Erfahrungen? Beste Grüße Carsten -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From bjo at schafweide.org Wed Dec 20 13:09:38 2023 From: bjo at schafweide.org (Bjoern Franke) Date: Wed, 20 Dec 2023 13:09:38 +0100 Subject: =?UTF-8?Q?Re=3A_Neue_Spoofing_Technik_-_Alle_gro=C3=9Fen_Provider_b?= =?UTF-8?Q?etroffen?= In-Reply-To: References: <872e1b5a-4d3e-c509-f510-0d91b5d53491@gmail.com> Message-ID: <2d38520b-a095-4caf-a216-ee54b2637a8c@schafweide.org> Moin, > Nun ist die Frage: Mit welcher Konfigurationsdirektive wird dies verhindert? > Sowohl inbound als auch outbound? Viktor Dukhovni schrieb auf der Postfix-Liste: - Postfix 3.9 (pending official release soon), rejects unuthorised pipelining by default: "smtpd_forbid_unauth_pipelining = yes". - Postfix 3.8.1, 3.7.6, 3.6.10 and 3.5.20 include the same supporting code as 3.9 snapshots, but the "smtpd_forbid_unauth_pipelining" parameter defaults to "no". This default avoids breaking compatibility in a patch to stable release, in case some fax-to-email machine, or other minimally conformant device performs illegal pipeling. Und er konstatierte weiter im Thread: If you reject unauthorised pipelining, you're fine, and may even occasionally turn away some sloppily implemented botnet spam. Dürfte sich "reject_unauth_pipelining" bei den smtpd_recipient_restrictions also ebenso entsprechend auswirken? VG Björn From joerg at backschues.de Wed Dec 20 19:13:05 2023 From: joerg at backschues.de (=?UTF-8?Q?J=C3=B6rg_Backschues?=) Date: Wed, 20 Dec 2023 19:13:05 +0100 Subject: =?UTF-8?Q?Re=3A_Neue_Spoofing_Technik_-_Alle_gro=C3=9Fen_Provider_b?= =?UTF-8?Q?etroffen?= In-Reply-To: References: <872e1b5a-4d3e-c509-f510-0d91b5d53491@gmail.com> Message-ID: <753f1b33-f642-445a-95d9-58be49b2d723@backschues.de> Am 20.12.2023 um 11:51 schrieb Carsten via Postfixbuch-users: > Aufgrund unzureichender Prüfungen im SMTP-Dialog sowohl inbound als auch > outbound ist es selbst bei den größten Mailprovidern GMX/WEB.DE oder > selbst Outlook.com / Microsoft möglich, Die großen Provider haben schon längst reagiert: GMX (2023-08-10): "After immediately receiving a response, the issue was fixed in roughly ten days" Microsoft (2023-10-16): After retesting the issue every now and then, they seem to have fixed it roughly in the middle of October 2023. -- Gruß Jörg Backschues From martin at lichtvoll.de Wed Dec 20 20:25:41 2023 From: martin at lichtvoll.de (Martin Steigerwald) Date: Wed, 20 Dec 2023 20:25:41 +0100 Subject: Microsoft 365 Spam blocken Message-ID: <3455810.QJadu78ljV@lichtvoll.de> Hi! Ich bekomme seit Wochen immer wieder in Wellen Spam-Mail von Servern von Microsoft 365 mit Betreffen wie: Notice for martin,Congrats You got Reward package pending for delivery. Important for martin,Congrats You Are Our CHRISTMAS Winner Important Reminder Re: martin,You Have WON Rachel Ray Cucina Cookware Set Kohl's Rewards Team: You've been selected! Claim Your Prize: Share Your Feedback and Win a KitchenAid Laut Received-Header meines Mail-Servers kommt das Zeug von Servern wie: Received: from BL0PR02CU006.outbound.protection.outlook.com (mail-eastusazhn15010000.outbound.protection.outlook.com [52.102.137.0]) Received: from CO1PR02CU002.outbound.protection.outlook.com (mail-westus2azhn15010003.outbound.protection.outlook.com [52.102.136.3]) Die frei wählbaren From-Header enthalten Mail-Adressen wie: From: StanleyTumblerRewards KitchenAidRewards Ich hab auch schon sowas wie "[?]@[?]googlemail[?].onmicrosoft.com> gesehen. Das kommt aber alles von Microsoft 365-Servern. Das Ganze läuft dann in etwa so ab. Es kommt eine Welle von Mails. Ich trainiere die manuell in der RSpamd-Web-Oberfläche unter "Scan/Learn" mit "Upload SPAM". Oft kommt beim initialen "Scan message" schon ein Punktestand wie 9.8/10. Ab 10 lehnt RSpamd die Mail ab. Beim ersten Lernen einer Mail mit neuem Betreff und Inhalt bleibt der Wert dann meistens gleich. Erst beim Lernen einer zweiten Mail mit gleichem Betreff erhöht RSpamd die Punktzahl entsprechend. Dann ist Ruhe mit der neuen Welle. Und nach einigen Tagen ging bisher das Spiel wieder von vorne los. Ein kompletter Block von Mails von Microsoft 365 kommt leider nicht mehr in Frage, nachdem immer mehr Firmen meinen es sei eine gute Idee Microsoft 365 einzusetzen. Ich würde das ja gerne tun, aber da kommt zu viel legitime Mail in den Abfall. Irgendeine Idee wie ich den Müll geblockt bekomme? Eine Idee, die ich habe ist, Mails von Microsoft 365 einen bestimmten Punkte-Wert von 3 oder 5 zu geben. Allerdings erhöht das die Chance falscher Positive. Ich trainiere legitime Mail durchaus auch mit "Upload SPAM", aber dennoch. Ich habe mehrfach Abuse Complains an Microsoft geschickt. Die nehmen die Mails auch an. Eine Antwort kam bislang jedoch nicht. Irgendeine Idee, wie ich den Müll loswerde, ohne manuell zu trainieren? Ich habe schon gesehen, wie RSpamd auch ohne manuelles Trainieren neue Spam-Wellen irgendwann blockt, aber das kann durchaus auch mal ne ganze Weile dauern. Ich habe den Eindruck mit dem Aufstieg von Microsoft 365 und Co geht das Internet, wie ich es kenne und liebe, immer mehr den Bach runter. So oder so Frohe Weihnachten für alle, die es feiern, und ansonsten eine erholsame, ruhigere Zeit. Ciao, -- Martin From daniel at mail24.vip Thu Dec 21 03:57:07 2023 From: daniel at mail24.vip (Daniel) Date: Thu, 21 Dec 2023 03:57:07 +0100 Subject: AW: Microsoft 365 Spam blocken In-Reply-To: <3455810.QJadu78ljV@lichtvoll.de> References: <3455810.QJadu78ljV@lichtvoll.de> Message-ID: <000a01da33b9$62a619b0$27f24d10$@mail24.vip> Es nerven oft nicht nur diese onmicrosoft.com Adressen, sondern auch hotmail. Wobei teils gmail auch nicht besser ist. Hatte auch schon überlegt ob einfach alles mit onmicrosoft.com einfach mal pauschal 10 Punkte bekommt oder so. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From dominik at kupschke.net Thu Dec 21 08:26:08 2023 From: dominik at kupschke.net (Dominik Kupschke) Date: Thu, 21 Dec 2023 08:26:08 +0100 Subject: Microsoft 365 Spam blocken In-Reply-To: <3455810.QJadu78ljV@lichtvoll.de> References: <3455810.QJadu78ljV@lichtvoll.de> Message-ID: <1964280.ORSndfQKva@dominik-desktop> Hi! schau mal bitte ob rspamd bei deinen Beispielen das Symbol "MICROSOFT_SPAM" anzeigt. In den mir bekannten Fällen war ein Großteil dieser Mails von den Microsoft internen AntiSpam Maßnahmen schon als SPAM erkannt, wird aber trotzdem raus gesendet ;-) rspamd wertet die Microsoft AntiSpam Header aus und den Score für dieses Symbol kannst du dann erhöhen: https://github.com/rspamd/rspamd/blob/master/rules/regexp/upstream_spam_filters.lua Damit bin ich diese SPAM Mails dann los geworden. VG Dominik Am Mittwoch, 20. Dezember 2023, 20:25:41 CET schrieb Martin Steigerwald: > Hi! > > Ich bekomme seit Wochen immer wieder in Wellen Spam-Mail von Servern von > Microsoft 365 mit Betreffen wie: > > Notice for martin,Congrats You got Reward package pending for delivery. > > Important for martin,Congrats You Are Our CHRISTMAS Winner > > Important Reminder Re: martin,You Have WON Rachel Ray Cucina Cookware Set > > Kohl's Rewards Team: You've been selected! Claim Your Prize: Share Your > Feedback and Win a KitchenAid > > > Laut Received-Header meines Mail-Servers kommt das Zeug von Servern wie: > > Received: from BL0PR02CU006.outbound.protection.outlook.com > (mail-eastusazhn15010000.outbound.protection.outlook.com [52.102.137.0]) > > Received: from CO1PR02CU002.outbound.protection.outlook.com > (mail-westus2azhn15010003.outbound.protection.outlook.com [52.102.136.3]) > > > Die frei wählbaren From-Header enthalten Mail-Adressen wie: > > From: StanleyTumblerRewards ?].onmicrosoft.com> > > KitchenAidRewards > > Ich hab auch schon sowas wie "[?]@[?]googlemail[?].onmicrosoft.com> > gesehen. > > Das kommt aber alles von Microsoft 365-Servern. > > > Das Ganze läuft dann in etwa so ab. Es kommt eine Welle von Mails. Ich > trainiere die manuell in der RSpamd-Web-Oberfläche unter "Scan/Learn" mit > "Upload SPAM". Oft kommt beim initialen "Scan message" schon ein > Punktestand wie 9.8/10. Ab 10 lehnt RSpamd die Mail ab. Beim ersten Lernen > einer Mail mit neuem Betreff und Inhalt bleibt der Wert dann meistens > gleich. Erst beim Lernen einer zweiten Mail mit gleichem Betreff erhöht > RSpamd die Punktzahl entsprechend. > > Dann ist Ruhe mit der neuen Welle. > > Und nach einigen Tagen ging bisher das Spiel wieder von vorne los. > > > Ein kompletter Block von Mails von Microsoft 365 kommt leider nicht mehr > in Frage, nachdem immer mehr Firmen meinen es sei eine gute Idee Microsoft > 365 einzusetzen. Ich würde das ja gerne tun, aber da kommt zu viel > legitime Mail in den Abfall. > > Irgendeine Idee wie ich den Müll geblockt bekomme? Eine Idee, die ich habe > ist, Mails von Microsoft 365 einen bestimmten Punkte-Wert von 3 oder 5 zu > geben. Allerdings erhöht das die Chance falscher Positive. Ich trainiere > legitime Mail durchaus auch mit "Upload SPAM", aber dennoch. > > > Ich habe mehrfach Abuse Complains an Microsoft geschickt. Die nehmen die > Mails auch an. Eine Antwort kam bislang jedoch nicht. > > Irgendeine Idee, wie ich den Müll loswerde, ohne manuell zu trainieren? > Ich habe schon gesehen, wie RSpamd auch ohne manuelles Trainieren neue > Spam-Wellen irgendwann blockt, aber das kann durchaus auch mal ne ganze > Weile dauern. > > Ich habe den Eindruck mit dem Aufstieg von Microsoft 365 und Co geht das > Internet, wie ich es kenne und liebe, immer mehr den Bach runter. > > So oder so Frohe Weihnachten für alle, die es feiern, und ansonsten eine > erholsame, ruhigere Zeit. > > Ciao, > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 228 bytes Beschreibung: This is a digitally signed message part. URL : From martin at lichtvoll.de Thu Dec 21 09:21:12 2023 From: martin at lichtvoll.de (Martin Steigerwald) Date: Thu, 21 Dec 2023 09:21:12 +0100 Subject: Microsoft 365 Spam blocken In-Reply-To: <1964280.ORSndfQKva@dominik-desktop> References: <3455810.QJadu78ljV@lichtvoll.de> <1964280.ORSndfQKva@dominik-desktop> Message-ID: <2585687.Lt9SDvczpP@lichtvoll.de> Hi Dominik. Dominik Kupschke via Postfixbuch-users - 21.12.23, 08:26:08 CET: > schau mal bitte ob rspamd bei deinen Beispielen das Symbol > "MICROSOFT_SPAM" anzeigt. In den mir bekannten Fällen war ein Großteil > dieser Mails von den Microsoft internen AntiSpam Maßnahmen schon als > SPAM erkannt, wird aber trotzdem raus gesendet ;-) Hab mal eine Mail geprüft. Leider ist das Symbol nicht enthalten. Danke auf jeden Fall, werde ich mal ein Auge drauf haben. > rspamd wertet die Microsoft AntiSpam Header aus und den Score für dieses > Symbol kannst du dann erhöhen: [?] > Damit bin ich diese SPAM Mails dann los geworden. Das verstehe ich jetzt richtig? Die erkennen Mails als SPAM und verschicken das Zeug dennoch? Muss man nicht verstehen, oder? Naja, das passt zu meinen Erfahrungen mit dem Microsoft 365 Spam-Filter. Da landen durchaus falsche Positive in der Quarantäne und Spam im Posteingang. (Und nein, ich verwende Microsoft 365 nicht aus eigener Entscheidung heraus und auch nicht für private Mails.) Ciao, -- Martin From martin at lichtvoll.de Thu Dec 21 09:40:08 2023 From: martin at lichtvoll.de (Martin Steigerwald) Date: Thu, 21 Dec 2023 09:40:08 +0100 Subject: Microsoft 365 Spam blocken In-Reply-To: <2585687.Lt9SDvczpP@lichtvoll.de> References: <3455810.QJadu78ljV@lichtvoll.de> <1964280.ORSndfQKva@dominik-desktop> <2585687.Lt9SDvczpP@lichtvoll.de> Message-ID: <3594385.R56niFO833@lichtvoll.de> Martin Steigerwald - 21.12.23, 09:21:12 CET: > Dominik Kupschke via Postfixbuch-users - 21.12.23, 08:26:08 CET: > > schau mal bitte ob rspamd bei deinen Beispielen das Symbol > > "MICROSOFT_SPAM" anzeigt. In den mir bekannten Fällen war ein Großteil > > dieser Mails von den Microsoft internen AntiSpam Maßnahmen schon als > > SPAM erkannt, wird aber trotzdem raus gesendet ;-) > > Hab mal eine Mail geprüft. Leider ist das Symbol nicht enthalten. Es gibt jedoch so Header wie: X-MS-Exchange-AntiSpam-Relay: 0 X-Microsoft-Antispam: BCL:0; X-Microsoft-Antispam-Message-Info: n8JNG[? gigantischer Hash?]B30= X-Forefront-Antispam-Report: CIP:45.156.24.178;CTRY:RU;LANG:en;SCL: 1;SRV:;IPV:NLI;SFV:NSPM;H:mail.casajuancho.com;PTR:ErrorRetry;CAT:NONE;SFS: (13230031)(39860400002)(376002)[? tonnenweise weitere Zahlen in () ?];DIR:OUT;SFP:1501; X-OriginatorOrg: 680[?].onmicrosoft.com Wie diese Spam-Header zu verstehen sind, ist mir weitgehend unklar, auch wenn ich mir bei einigen Angaben in dem Forefront-Header einen Reim drauf machen kann. Aber der ist möglicherweise ja auch gar nicht von Microsoft, sondern irgendein Dritt-Hersteller-Produkt. Habe die Microsoft-Header aber auch bislang nicht recherchiert. Ciao, -- Martin From daniel at mail24.vip Thu Dec 21 09:41:21 2023 From: daniel at mail24.vip (Daniel) Date: Thu, 21 Dec 2023 09:41:21 +0100 Subject: Microsoft 365 Spam blocken In-Reply-To: <2585687.Lt9SDvczpP@lichtvoll.de> References: <2585687.Lt9SDvczpP@lichtvoll.de> Message-ID: <8A638021-F814-44B7-AC53-419915021B2B@mail24.vip> Moin, das Symbol hatte ich nur mal ne kurze Zeit gesehen, dann aber auch nicht mehr. Gegen MS & Google muss man wohl eigene Wertungen einbauen. Gruß Daniel > Am 21.12.2023 um 09:21 schrieb Martin Steigerwald : > > ?Hi Dominik. > > Dominik Kupschke via Postfixbuch-users - 21.12.23, 08:26:08 CET: >> schau mal bitte ob rspamd bei deinen Beispielen das Symbol >> "MICROSOFT_SPAM" anzeigt. In den mir bekannten Fällen war ein Großteil >> dieser Mails von den Microsoft internen AntiSpam Maßnahmen schon als >> SPAM erkannt, wird aber trotzdem raus gesendet ;-) > > Hab mal eine Mail geprüft. Leider ist das Symbol nicht enthalten. > > Danke auf jeden Fall, werde ich mal ein Auge drauf haben. > >> rspamd wertet die Microsoft AntiSpam Header aus und den Score für dieses >> Symbol kannst du dann erhöhen: > [?] >> Damit bin ich diese SPAM Mails dann los geworden. > > Das verstehe ich jetzt richtig? Die erkennen Mails als SPAM und > verschicken das Zeug dennoch? Muss man nicht verstehen, oder? > > Naja, das passt zu meinen Erfahrungen mit dem Microsoft 365 Spam-Filter. > Da landen durchaus falsche Positive in der Quarantäne und Spam im > Posteingang. (Und nein, ich verwende Microsoft 365 nicht aus eigener > Entscheidung heraus und auch nicht für private Mails.) > > Ciao, > -- > Martin > > -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 2623 bytes Beschreibung: nicht verfügbar URL : From driessen at fblan.de Thu Dec 21 13:28:31 2023 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Thu, 21 Dec 2023 13:28:31 +0100 Subject: AW: Microsoft 365 Spam blocken In-Reply-To: <8A638021-F814-44B7-AC53-419915021B2B@mail24.vip> References: <2585687.Lt9SDvczpP@lichtvoll.de> <8A638021-F814-44B7-AC53-419915021B2B@mail24.vip> Message-ID: Im Auftrag von Daniel via Postfixbuch-users > Betreff: Re: Microsoft 365 Spam blocken > > Moin, > > Gegen MS & Google muss man wohl eigene Wertungen einbauen. > Ich schaue mir diesen Spam an und wenn immer wieder dieselben Betreffzeilen auftauchen oder auch im Body eindeutige Textpassage dann schreib ich mir header checks und Bodychecks und lasse die gar nicht bis zur Spamerkennung :-) In der Regel benutzen die Spamwellen immer wieder die gleichen/sehr ähnliche Subjects und markanten Inhalte. Es wird in Session abgelehnt, kein Spam wegsortiert sondern nur markiert und über einer gewissen Punktzahl abgelehnt. False positiv rate unter 0,001% (echter spam in der Woche bei mir vielleicht 10) Ansonsten : der Kunde muss mit dem einfach leben wenn er nicht Mails verlieren möchte und einfach löschen des "Spam" "Junk" Mails Ordner geht auch nicht! Die Firmen mögen unter dem Obigen Gesichtspunkt Ihre Arbeitszeiten, die für Spam drauf gehen, untersuchen. Entscheiden wie damit Kosteneffizient umgegangen wird liegt bei jedem selber. (ich warte auf den Großen Blackout das einige Merken das Digitalisierung nicht das Allheilmittel ist :-) ) Der 1 Mio Auftrag wird in der Regel nicht über Mail abgeschlossen, da findet Kommunikation auf Vielen anderen Ebenen statt und da ist eine Ablehnung nicht KO Kriterium. Im Falle einer Ablehnung liegt es am Absender die Mail erneut (in veränderter Form) zuzustellen. Wenn es immer noch nicht geht mach ich gerne support :-). Und ich kann im Logfile nachschauen ob eine Mail angenommen oder aus welchem abgelehnt wurde das können die "Großen" nur bedingt . Wenn Firmen MS oder auch Google einsetzen müssen sie mit diesen Amerikanischen Gesetzen und Unzulänglichkeiten dieser Dienste leben inkl. das der Absender unter Umständen "NICHT IMMER" über die Nichtzustellung informiert wird. (ob die das selber gar nicht versucht und schon aussortiert haben oder ein fremder lass ich einfach mal offen) Ansonsten sind wir nur ein Postdienst und wenn dem Kunden ungewollte Inhalte zugesendet werden ist das auch nicht das Problem des Postzustellers :-) Muss sich der Empfänger beim Absender beschweren und den unter Umständen auf Unterlassung in Anspruch nehmen. Oder Zentral eine "analoge" Sortierstelle einrichten (wieder ein Arbeitsplatz der geschaffen wird) :-) Sollte es wirklich mal eine Beschwerde geben : Ich bedauere das es zu einer falschen Spamerkennung Ihrer wichtigen geschäftlichen Mail gekommen ist. Überprüfen sie auf welchen Blocklisten Ihr Mailserver oder Ihre Domain geführt wird. Lassen sie sich dort austragen. Der Server trifft seine Entscheidung aufgrund unterschiedlicher Kriterien die Einzeln nicht zu einer Sperre führen. Kommen mehrere Gründe zusammen dann kann es insgesamt zu einem Überschreiten eines Schwellenwertes kommen. Bitte senden die Mail nochmals in veränderter Form zu. Versuchen sie die Mail als reinen Text (kein HTML, RTF) zu senden. Entfernen sie soweit möglich externe Inhalt, Vermeiden sie allgemein übliche Schlagwörter. Das sollte insgesamt zu einem Unterschreiten des Schwellenwertes führen :-) Bla bla bla Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." tzen und Unzulänglichkeiten leben auch das der Absender über eine Ablehnung NICHT IMMER informiert wird Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 Mobil 01726688122 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf andere zu übertragen." "Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 4916 bytes Beschreibung: nicht verfügbar URL : From cr at ncxs.de Fri Dec 22 15:29:02 2023 From: cr at ncxs.de (Carsten Rosenberg) Date: Fri, 22 Dec 2023 15:29:02 +0100 Subject: =?UTF-8?Q?SMTP_smuggling_/_Re=3A_Neue_Spoofing_Technik_-_Alle_gro?= =?UTF-8?Q?=C3=9Fen_Provider_betroffen?= In-Reply-To: <753f1b33-f642-445a-95d9-58be49b2d723@backschues.de> References: <872e1b5a-4d3e-c509-f510-0d91b5d53491@gmail.com> <753f1b33-f642-445a-95d9-58be49b2d723@backschues.de> Message-ID: <34610898-ac93-4df5-bdf7-b912701dace9@ncxs.de> Hey, Wietse hat dazu für Postfix auch eine eigene Seite erstellt: https://www.postfix.org/smtp-smuggling.html Wir haben dazu auch einen Blog Post gemacht, der das Problem und die Auswirkungen noch einmal genauer betrachtet: https://www.heinlein-support.de/blog/smtp-smuggling-aka-postmasters-weihnachtsstress Und dieser Artikel über die Vorgehensweise von SEC ist auch sehr lesenswert ;) https://dnip.ch/2023/12/22/nicht-wirklich-responsible-disclosure-die-extraportion-spam-ueber-die-festtage/ Viele Grüße Carsten On 20.12.23 19:13, Jörg Backschues via Postfixbuch-users wrote: > Am 20.12.2023 um 11:51 schrieb Carsten via Postfixbuch-users: > >> Aufgrund unzureichender Prüfungen im SMTP-Dialog sowohl inbound als >> auch outbound ist es selbst bei den größten Mailprovidern GMX/WEB.DE >> oder selbst Outlook.com / Microsoft möglich, > > Die großen Provider haben schon längst reagiert: > > GMX (2023-08-10): > "After immediately receiving a response, the issue was fixed in roughly > ten days" > > Microsoft (2023-10-16): > After retesting the issue every now and then, they seem to have fixed it > roughly in the middle of October 2023. > From postfix_ml at rirasoft.de Fri Dec 22 15:34:48 2023 From: postfix_ml at rirasoft.de (Andreas Reschke) Date: Fri, 22 Dec 2023 15:34:48 +0100 Subject: =?UTF-8?Q?Re=3A_SMTP_smuggling_/_Re=3A_Neue_Spoofing_Technik_-_Alle?= =?UTF-8?Q?_gro=C3=9Fen_Provider_betroffen?= In-Reply-To: <34610898-ac93-4df5-bdf7-b912701dace9@ncxs.de> References: <872e1b5a-4d3e-c509-f510-0d91b5d53491@gmail.com> <753f1b33-f642-445a-95d9-58be49b2d723@backschues.de> <34610898-ac93-4df5-bdf7-b912701dace9@ncxs.de> Message-ID: <816198bb-a30c-4f78-b15d-97012bad62b1@rirasoft.de> Danke für den Tipp bzw. Artikel ! Habe ich gerade bei mir umgesetzt. Andreas Am 22.12.23 um 15:29 schrieb Carsten Rosenberg via Postfixbuch-users: > Hey, > > Wietse hat dazu für Postfix auch eine eigene Seite erstellt: > > https://www.postfix.org/smtp-smuggling.html > > Wir haben dazu auch einen Blog Post gemacht, der das Problem und die > Auswirkungen noch einmal genauer betrachtet: > > https://www.heinlein-support.de/blog/smtp-smuggling-aka-postmasters-weihnachtsstress > > > > Und dieser Artikel über die Vorgehensweise von SEC ist auch sehr > lesenswert ;) > > https://dnip.ch/2023/12/22/nicht-wirklich-responsible-disclosure-die-extraportion-spam-ueber-die-festtage/ > > > Viele Grüße > > Carsten > > > On 20.12.23 19:13, Jörg Backschues via Postfixbuch-users wrote: >> Am 20.12.2023 um 11:51 schrieb Carsten via Postfixbuch-users: >> >>> Aufgrund unzureichender Prüfungen im SMTP-Dialog sowohl inbound als >>> auch outbound ist es selbst bei den größten Mailprovidern GMX/WEB.DE >>> oder selbst Outlook.com / Microsoft möglich, >> >> Die großen Provider haben schon längst reagiert: >> >> GMX (2023-08-10): >> "After immediately receiving a response, the issue was fixed in >> roughly ten days" >> >> Microsoft (2023-10-16): >> After retesting the issue every now and then, they seem to have fixed >> it roughly in the middle of October 2023. >> From cr at ncxs.de Fri Dec 22 15:48:54 2023 From: cr at ncxs.de (Carsten Rosenberg) Date: Fri, 22 Dec 2023 15:48:54 +0100 Subject: Microsoft 365 Spam blocken In-Reply-To: <3455810.QJadu78ljV@lichtvoll.de> References: <3455810.QJadu78ljV@lichtvoll.de> Message-ID: <5fd83221-baaa-4224-a487-ccfa2d05c035@ncxs.de> Hey, Mit Scan/Learn läßt du die Mail im Bayes lernen. Das geht gut, ist meiner Meinung aber nur ein Zubrot. Was meiner Ansicht nach bei spezifischen Spams hilft ist Fuzzy. Hier gibt es das Fuzzy bei rspamd.com, ihr könnt aber auch eine eigene FuzzyDB lokal betreiben https://rspamd.com/doc/modules/fuzzy_check.html https://rspamd.com/doc/workers/fuzzy_storage.html Dazu noch ein paar extra Multimaps oder Regeln, dann sind die bei mir ganz gut erkannt. Die Spamassassin Regeln von Heinlein oder Schaal-IT helfen da auch ganz gut. Ich schreib daher so gut wie extra Regeln für einzelne Spam-Templates https://rspamd.com/doc/modules/spamassassin.html (Achtung: nicht die Regeln von Spamassasin selbst rein laden, das gibt nur viele viele Warnings und Errors ;) Viele Grüße Carsten On 20.12.23 20:25, Martin Steigerwald wrote: > Hi! > > Ich bekomme seit Wochen immer wieder in Wellen Spam-Mail von Servern von > Microsoft 365 mit Betreffen wie: > > Notice for martin,Congrats You got Reward package pending for delivery. > > Important for martin,Congrats You Are Our CHRISTMAS Winner > > Important Reminder Re: martin,You Have WON Rachel Ray Cucina Cookware Set > > Kohl's Rewards Team: You've been selected! Claim Your Prize: Share Your > Feedback and Win a KitchenAid > > > Laut Received-Header meines Mail-Servers kommt das Zeug von Servern wie: > > Received: from BL0PR02CU006.outbound.protection.outlook.com > (mail-eastusazhn15010000.outbound.protection.outlook.com [52.102.137.0]) > > Received: from CO1PR02CU002.outbound.protection.outlook.com > (mail-westus2azhn15010003.outbound.protection.outlook.com [52.102.136.3]) > > > Die frei wählbaren From-Header enthalten Mail-Adressen wie: > > From: StanleyTumblerRewards ?].onmicrosoft.com> > > KitchenAidRewards > > Ich hab auch schon sowas wie "[?]@[?]googlemail[?].onmicrosoft.com> > gesehen. > > Das kommt aber alles von Microsoft 365-Servern. > > > Das Ganze läuft dann in etwa so ab. Es kommt eine Welle von Mails. Ich > trainiere die manuell in der RSpamd-Web-Oberfläche unter "Scan/Learn" mit > "Upload SPAM". Oft kommt beim initialen "Scan message" schon ein > Punktestand wie 9.8/10. Ab 10 lehnt RSpamd die Mail ab. Beim ersten Lernen > einer Mail mit neuem Betreff und Inhalt bleibt der Wert dann meistens > gleich. Erst beim Lernen einer zweiten Mail mit gleichem Betreff erhöht > RSpamd die Punktzahl entsprechend. > > Dann ist Ruhe mit der neuen Welle. > > Und nach einigen Tagen ging bisher das Spiel wieder von vorne los. > > > Ein kompletter Block von Mails von Microsoft 365 kommt leider nicht mehr > in Frage, nachdem immer mehr Firmen meinen es sei eine gute Idee Microsoft > 365 einzusetzen. Ich würde das ja gerne tun, aber da kommt zu viel > legitime Mail in den Abfall. > > Irgendeine Idee wie ich den Müll geblockt bekomme? Eine Idee, die ich habe > ist, Mails von Microsoft 365 einen bestimmten Punkte-Wert von 3 oder 5 zu > geben. Allerdings erhöht das die Chance falscher Positive. Ich trainiere > legitime Mail durchaus auch mit "Upload SPAM", aber dennoch. > > > Ich habe mehrfach Abuse Complains an Microsoft geschickt. Die nehmen die > Mails auch an. Eine Antwort kam bislang jedoch nicht. > > Irgendeine Idee, wie ich den Müll loswerde, ohne manuell zu trainieren? > Ich habe schon gesehen, wie RSpamd auch ohne manuelles Trainieren neue > Spam-Wellen irgendwann blockt, aber das kann durchaus auch mal ne ganze > Weile dauern. > > Ich habe den Eindruck mit dem Aufstieg von Microsoft 365 und Co geht das > Internet, wie ich es kenne und liebe, immer mehr den Bach runter. > > So oder so Frohe Weihnachten für alle, die es feiern, und ansonsten eine > erholsame, ruhigere Zeit. > > Ciao, From martin at lichtvoll.de Tue Dec 26 12:39:14 2023 From: martin at lichtvoll.de (Martin Steigerwald) Date: Tue, 26 Dec 2023 12:39:14 +0100 Subject: Microsoft 365 Spam blocken In-Reply-To: <3455810.QJadu78ljV@lichtvoll.de> References: <3455810.QJadu78ljV@lichtvoll.de> Message-ID: <4903762.31r3eYUQgx@lichtvoll.de> Martin Steigerwald - 20.12.23, 20:25:41 CET: > Ich habe mehrfach Abuse Complains an Microsoft geschickt. Die nehmen die > Mails auch an. Eine Antwort kam bislang jedoch nicht. Und dann kommt da nach ca. einer Woche: Not read: Abuse complaint Your message To: MS Online Customer Service (abuse) Subject: Abuse complaint Sent: [? Zeitangabe ?] was deleted without being read on [? Zeitangabe ?] Auch eine Einstellung. Ich lese das so: "Wir sind zu groß, um uns um die Interessen der Betreiber kleiner Mailserver-Betreiber zu kümmern. Und was kümmert es uns, wenn über unsere Infrastruktur Spam versendet wird?" Aber da reiht sich Microsoft nahtlos ein in die illustre Gesellschaft anderer Riesenprovider, die offenbar noch davon ausgehen, dass sie "too big to fail" sind. Wie Google zum Beispiel. Die interessiert das ja genau so wenig. Nunja, irgendwann kommt die Rechnung für so viel Arroganz. Es mag noch dauern, aber irgendwann kommt die Rechnung dafür. Interessant noch, dass sie auf "Empfangsbenachrichtigung anfordern" tatsächlich reagieren. Das hätte ich dann konsequenterweise auch gleich auch noch ausgeschaltet. Aber so oder so: das als Hinweis, dass ihr euch Abuse Complaints an abuse at microsoft.com tatsächlich sparen könnt. Ich hätte es an sich ja wissen können. Frohe Weihnachten, -- Martin From martin at lichtvoll.de Tue Dec 26 12:47:00 2023 From: martin at lichtvoll.de (Martin Steigerwald) Date: Tue, 26 Dec 2023 12:47:00 +0100 Subject: Microsoft 365 Spam blocken In-Reply-To: References: <2585687.Lt9SDvczpP@lichtvoll.de> <8A638021-F814-44B7-AC53-419915021B2B@mail24.vip> Message-ID: <2327679.ElGaqSPkdT@lichtvoll.de> Uwe Drießen - 21.12.23, 13:28:31 CET: > > Gegen MS & Google muss man wohl eigene Wertungen einbauen. > > Ich schaue mir diesen Spam an und wenn immer wieder dieselben > Betreffzeilen auftauchen oder auch im Body eindeutige Textpassage dann > schreib ich mir header checks und Bodychecks und lasse die gar nicht > bis zur Spamerkennung :-) In der Regel benutzen die Spamwellen immer > wieder die gleichen/sehr ähnliche Subjects und markanten Inhalte. Okay, vielen Dank. Ich hatte auf etwas Automatisches gehofft. Nun, ich teste es jetzt über die ruhige Zeit mal anders herum: Ich lösche das Zeug einfach und schau, wie schnell Rspamd reagiert, ohne dass ich etwas mache. Vielleicht dauert das gar nicht so viel länger. Die Fuzzy-Geschichte schaue ich mir vielleicht auch mal an. Bislang habe ich nicht verstanden, wie das funktioniert. Ich hab aber auch noch nicht näher geschaut. Danke euch! -- Martin