From martin at lichtvoll.de Sat Nov 9 15:42:17 2024 From: martin at lichtvoll.de (Martin Steigerwald) Date: Sat, 09 Nov 2024 15:42:17 +0100 Subject: Spam via Google Groups-Mailinglisten Message-ID: <3265823.vfdyTQepKt@lichtvoll.de> Hi! Ich bekam zuletzt immer wieder mal Spam via Google Groups-Mailinglisten. Zuletzt bezüglich einem angeblich kostenlosen "Medicare-Set" aber auch zu anderem Themen. Exemplarisch ein paar Kopfzeilen dazu: Received: by mail-ej1-x646.google.com with SMTP id a640[?] for <[? meine Mail-Adresse ?]>; Sat, 09 Nov 2024 05:[?] -0800 (PST) List-ID: List-Unsubscribe: , [?] Ist jemand Anderem das auch aufgefallen? Das kommt leider immer wieder auch durch meinen rspamd durch, der das auch nicht so recht gleich nach dem Anlernen als BAYES_SPAM einstufen mag. Da ich nicht abwarten möchte, bis der greift, blocke ich das jetzt mit zwei lokalen Maps für rspamd. Ich erspare mir die nervenaufreibende Prozedur zu versuchen, einen Abuse Complaint an Google zu versuchen. Die waren bereits das letzte Mal zu arrogant, sich das auch nur anzuschauen. Zudem geht das meines Wissens ohnehin nicht mehr via Mail, sondern nur noch über so ein komisches Web- Formular für das es zudem noch ein Google-Konto braucht. Da fände ich tatsächlich mal eine rechtliche Grundlage gut, die insbesondere große Provider verpflichtet, Abuse Complaints via Mail anzunehmen und innerhalb einer gewissen Zeit zu bearbeiten. Mittlerweile scheint ziemlich viel Müll über solche Riesen-Provider zu kommen. Ciao, -- Martin From Daniel at Mail24.vip Sat Nov 9 17:50:14 2024 From: Daniel at Mail24.vip (Daniel) Date: Sat, 9 Nov 2024 17:50:14 +0100 Subject: AW: Spam via Google Groups-Mailinglisten In-Reply-To: <3265823.vfdyTQepKt@lichtvoll.de> References: <3265823.vfdyTQepKt@lichtvoll.de> Message-ID: <001401db32c7$731db8d0$59592a70$@Mail24.vip> Moin, ist für mich nicht neu dieser Microsoft und Google Spam, hatte dazu hier in Liste schon mal was geschrieben gehabt. Wenn man langeweile hat kann man es etwas aufwändig melden. https://support.google.com/mail/contact/abuse?hl=de Und sonst haut man einfach alles was weitergeleitet wird von Google in den Spam. SA Regel Beispiel: header LOCAL_GOOGLE_HELO Received-SPF =~ /helo=.*\.google\.com/i header LOCAL_GOOGLE_FORWARD X-Forwarded-Encrypted =~ /\S/ meta LOCAL_GOOGLE_SPAM (LOCAL_GOOGLE_HELO && LOCAL_GOOGLE_FORWARD) score LOCAL_GOOGLE_SPAM 10.0 describe LOCAL_GOOGLE_SPAM Spam vom Google mit Weiterleitung über Zwischenproxy Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From Daniel at Mail24.vip Sat Nov 9 18:19:06 2024 From: Daniel at Mail24.vip (Daniel) Date: Sat, 9 Nov 2024 18:19:06 +0100 Subject: AW: Spam via Google Groups-Mailinglisten References: <3265823.vfdyTQepKt@lichtvoll.de> Message-ID: <002501db32cb$7b09eec0$711dcc40$@Mail24.vip> Sehe gerade die Mail hatte ich auch bekommen bzw. einer meiner Benutzer mit diesem "Du hast gewonnen! Medicare-Set". Die zuvor genannte Regel hat es entsprechend in Spam sortiert. Auf genannte Webformular hat bisher nie einer geantwortet, ob es was bringt, bezweifle ich aber auch. Zudem ist es mir auch zu lästig dieses immer auszufüllen, wollen Header, aber dann Betreff usw. teils nochmal, als ob es im header nicht alles enthalten ist. Aber ist ja leider oft so, dass Postmaster/abuse garnicht eingerichtet sind, oder man oft eh keine Reaktion bekommt. Und der eigentliche Nutzer oft von IT keine Ahnung hat, erkläre mal einer MFA beim Arzt dass SPF nicht korrekt ist oder DKIM Signatur fehlerhaft ist. Und ja, sehe es auch so dass Amazon, Microsoft, Google und co. in Verantwortung und auch Haftung genommen werden müssen. Hierzulande muss man Newsletter auch teils erstmal 1-2 mal zustimmen usw., aber bei solchen Mailinglisten oder Weiterleitungen einfach nichts. Gerade bei diesen Freemailern und neuen Benutzern sollte man solche Funktionen einschränken. Gruß Daniel -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From martin at lichtvoll.de Sat Nov 9 18:29:17 2024 From: martin at lichtvoll.de (Martin Steigerwald) Date: Sat, 09 Nov 2024 18:29:17 +0100 Subject: Spam via Google Groups-Mailinglisten In-Reply-To: <001401db32c7$731db8d0$59592a70$@Mail24.vip> References: <3265823.vfdyTQepKt@lichtvoll.de> <001401db32c7$731db8d0$59592a70$@Mail24.vip> Message-ID: <5536534.29KlJPOoH8@lichtvoll.de> Hi Daniel. Daniel via Postfixbuch-users - 09.11.24, 17:50:14 MEZ: > Und sonst haut man einfach alles was weitergeleitet wird von Google > in den Spam. > > SA Regel Beispiel: > > header LOCAL_GOOGLE_HELO Received-SPF =~ /helo=.*\.google\.com/i > header LOCAL_GOOGLE_FORWARD X-Forwarded-Encrypted =~ /\S/ > meta LOCAL_GOOGLE_SPAM (LOCAL_GOOGLE_HELO && LOCAL_GOOGLE_FORWARD) > score LOCAL_GOOGLE_SPAM 10.0 > describe LOCAL_GOOGLE_SPAM Spam vom Google mit Weiterleitung über Zwischenproxy Hmm? das wäre natürlich eine Idee: Das generisch abzuhandeln. Schaue ich mir ggf. mal an, wie ich das in Rspamd umsetze. Danke Dir, -- Martin From Daniel at Mail24.vip Sat Nov 9 18:37:38 2024 From: Daniel at Mail24.vip (Daniel) Date: Sat, 9 Nov 2024 18:37:38 +0100 Subject: AW: Spam via Google Groups-Mailinglisten In-Reply-To: <5536534.29KlJPOoH8@lichtvoll.de> References: <3265823.vfdyTQepKt@lichtvoll.de> <001401db32c7$731db8d0$59592a70$@Mail24.vip> <5536534.29KlJPOoH8@lichtvoll.de> Message-ID: <003f01db32ce$12497f60$36dc7e20$@Mail24.vip> Moin Martin, ungeprüft laut ChatGPT für rspamd: # Prüfen auf Google-HELO header LOCAL_GOOGLE_HELO = /^Received-SPF:.*helo=.*\.google\.com/i # Prüfen auf Weiterleitung (Encrypted) header LOCAL_GOOGLE_FORWARD = /^X-Forwarded-Encrypted: \S+/i # Meta-Regel für Spam von Google mit Weiterleitung über Zwischenproxy meta LOCAL_GOOGLE_SPAM = LOCAL_GOOGLE_HELO && LOCAL_GOOGLE_FORWARD # Spam-Punktzahl festlegen score LOCAL_GOOGLE_SPAM 10.0 # Beschreibung der Regel description LOCAL_GOOGLE_SPAM "Spam von Google mit Weiterleitung über Zwischenproxy" -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 6016 bytes Beschreibung: nicht verfügbar URL : From ml-pbu at syntaxys.de Sat Nov 9 20:46:39 2024 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Sat, 9 Nov 2024 20:46:39 +0100 Subject: Spam via Google Groups-Mailinglisten In-Reply-To: <3265823.vfdyTQepKt@lichtvoll.de> References: <3265823.vfdyTQepKt@lichtvoll.de> Message-ID: <02510362-54e4-49b0-b00d-55261838c389@syntaxys.de> Hallo Liste, ich habe das gleiche Problem seit einigen Tagen und habe das aktuell über eine ?Force Actions? Regel in den Griff bekommen: /etc/rspamd/local.d/force_actions.conf rules { REJECT_MAILLIST_JUNK { expression = "MAILLIST and (R_SPF_ALLOW or R_SPF_NA) and (R_DKIM_ALLOW or R_DKIM_PERMFAIL) and DMARC_NA and (FORGED_RECIPIENTS or SUSPICIOUS_SENDERS_TLD or R_SUSPICIOUS_IMAGES)"; message = "Unsolicited Mail (Support-ID: ${queueid}) - Your email was rejected because it's identified as spam/junk and/or phishing/malware" action = "reject"; } ? weitere Regel(n) ? } Bei dem eigenen Symbol SUSPICIOUS_SENDERS_TLD prüfe ich gegen eine Liste mit eher unüblichen TLDs, bsplsw. .click, .beauty, usw. Das trifft jedoch nicht immer zu. Die Mails enthalten aber häufig verdächtige Bilder, daher kann man sich auf das Symbol R_SUSPICIOUS_IMAGES beziehen. DKIM und SPF ist meistens korrekt, ein DMARC-Record fehlt jedoch. Ein Spam-Report einer solchen Email schaut bei mir z. b. so aus: R_SUSPICIOUS_IMAGES (2.484909) FORGED_RECIPIENTS (2) [m:support at jok.zorotv.net.in,s:user at meine-domain.de] IP_REPUTATION_SPAM (1.686611) [asn: 15169(-0.24), country: US(-0.00), ip: 2a00:1450:4864:20::(0.80)] RWL_AMI_LASTHOP (-1) [2a00:1450:4864:20::645:from] SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE (-1) [mail-ej1-x645.google.com:rdns] ARC_ALLOW (-1) [google.com:s=arc-20240605:i=2] URI_COUNT_ODD (1) [1] R_MIXED_CHARSET (0.555556) [subject] SPF_REPUTATION_HAM (-0.555276) [-0.55527625704758] FORGED_SENDER (0.3) [service at jok.zorotv.net.in,jc at jok.zorotv.net.in] MAILLIST (-0.2) [googlegroups] R_DKIM_ALLOW (-0.2) [jok.zorotv.net.in:s=google] MIME_GOOD (-0.1) [multipart/alternative,text/plain] R_SPF_ALLOW (-0.1) [+ip6:2a00:1450:4000::/36:c] DMARC_NA (0.1) [zorotv.net.in] HAS_LIST_UNSUB (-0.01) FROM_HAS_DN (0) DKIM_TRACE (0) [jok.zorotv.net.in:+] SPFBL_WHITELIST_SERVER_BULK_SENDER (0) [2a00:1450:4864:20::645:from] RCVD_TLS_LAST (0) SUBJECT_HAS_EXCLAIM (0) FROM_NEQ_ENVFROM (0) [service at jok.zorotv.net.in,jc at jok.zorotv.net.in] TO_DOM_EQ_FROM_DOM (0) ASN (0) [asn:15169, ipnet:2a00:1450::/32, country:US] MIME_TRACE (0) [0:+,1:+,2:~] RCVD_COUNT_THREE (0) [4] DKIM_REPUTATION (0) [0] MISSING_XM_UA (0) TO_DN_NONE (0) RCPT_COUNT_ONE (0) [1] FORCE_ACTION_REJECT_MAILLIST_JUNK (0) [reject] TAGGED_FROM (0) [bncBDJJPPF26IFRBVOPXW4QMGQEEORV5VY] RCVD_IN_DNSWL_NONE (0) [209.85.220.41:received,2a00:1450:4864:20::645:from] Ohne die o. a. Regel rutschen die E-mails meist mit einem Score unter 6 ins Postfach durch, selten wird ein Subject-Rewrite getriggert. Durch die Regel werden die Mails sofort abgewiesen. Die Dokumentation zu ?Force Actions? findet sich hier: https://rspamd.com/doc/modules/force_actions.html LG/A Am 09.11.24 um 15:42 schrieb Martin Steigerwald: > Hi! > > Ich bekam zuletzt immer wieder mal Spam via Google Groups-Mailinglisten. > Zuletzt bezüglich einem angeblich kostenlosen "Medicare-Set" aber auch zu > anderem Themen. > > Exemplarisch ein paar Kopfzeilen dazu: > > Received: by mail-ej1-x646.google.com with SMTP id a640[?] > for <[? meine Mail-Adresse ?]>; Sat, 09 Nov 2024 05:[?] -0800 > (PST) > > List-ID: > > List-Unsubscribe: +unsubscribe at googlegroups.com>, [?] > > Ist jemand Anderem das auch aufgefallen? > > Das kommt leider immer wieder auch durch meinen rspamd durch, der das auch > nicht so recht gleich nach dem Anlernen als BAYES_SPAM einstufen mag. > > Da ich nicht abwarten möchte, bis der greift, blocke ich das jetzt mit > zwei lokalen Maps für rspamd. > > Ich erspare mir die nervenaufreibende Prozedur zu versuchen, einen Abuse > Complaint an Google zu versuchen. Die waren bereits das letzte Mal zu > arrogant, sich das auch nur anzuschauen. Zudem geht das meines Wissens > ohnehin nicht mehr via Mail, sondern nur noch über so ein komisches Web- > Formular für das es zudem noch ein Google-Konto braucht. > > Da fände ich tatsächlich mal eine rechtliche Grundlage gut, die > insbesondere große Provider verpflichtet, Abuse Complaints via Mail > anzunehmen und innerhalb einer gewissen Zeit zu bearbeiten. Mittlerweile > scheint ziemlich viel Müll über solche Riesen-Provider zu kommen. > > Ciao, -- Wietse, I am so grateful. From martin at lichtvoll.de Sun Nov 10 11:00:35 2024 From: martin at lichtvoll.de (Martin Steigerwald) Date: Sun, 10 Nov 2024 11:00:35 +0100 Subject: Spam via Google Groups-Mailinglisten In-Reply-To: <02510362-54e4-49b0-b00d-55261838c389@syntaxys.de> References: <3265823.vfdyTQepKt@lichtvoll.de> <02510362-54e4-49b0-b00d-55261838c389@syntaxys.de> Message-ID: <1873194.QCnGb9OGeP@lichtvoll.de> Hallo. Achim Lammerts via Postfixbuch-users - 09.11.24, 20:46:39 MEZ: > ich habe das gleiche Problem seit einigen Tagen und habe das aktuell > über eine ?Force Actions? Regel in den Griff bekommen: > > /etc/rspamd/local.d/force_actions.conf Danke Dir vielmals. Das schaue ich mir mal an. Ich betreibe den Mail-Server ja nur privat und mein Verständnis von rspamd ist eher rudimentär. Schönen Sonntag noch, -- Martin From martin at lichtvoll.de Sun Nov 10 11:04:04 2024 From: martin at lichtvoll.de (Martin Steigerwald) Date: Sun, 10 Nov 2024 11:04:04 +0100 Subject: OT: Stalwart Message-ID: <28386498.gRfpFWEtPU@lichtvoll.de> Hi! Ist an sich OT hier, aber ich versuche es dennoch mal ? gerne abblocken, falls nicht gewünscht: Hat sich jemand schon mal https://stalw.art/ angeschaut? Auf dem Papier klingt das ja ziemlich gut. Aber hält es auch, was es verspricht? JMAP finde ich auch interessant. Aber das unterstützen nur wenige Mail-Clients. Ich glaube ich werde so schnell nicht migrieren. Die Kombination aus Postfix, Dovecot und rspamd funktioniert gut. Wenn dann müsste ich den neuen Mail-Server möglicherweise ohnehin parallel aufbauen, damit ich bei Problemen schnell wieder zurückschalten kann. Ciao, -- Martin From ml-pbu at syntaxys.de Sun Nov 10 15:09:43 2024 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Sun, 10 Nov 2024 15:09:43 +0100 Subject: Spam via Google Groups-Mailinglisten In-Reply-To: <1873194.QCnGb9OGeP@lichtvoll.de> References: <3265823.vfdyTQepKt@lichtvoll.de> <02510362-54e4-49b0-b00d-55261838c389@syntaxys.de> <1873194.QCnGb9OGeP@lichtvoll.de> Message-ID: Das Problem ist auch die wirklich suboptimale Dokumentation von rspamd, an der ich ebenso immer wieder scheitere. Aktuell versuche ich gerade zu verstehen, wie man die /etc/rspamd/local.d/regexp.conf nutzt. Die in der Doku gezeigten Beispiele funktionieren nicht. Außerdem bekomme ich es noch nicht gebacken, die Symbole (z. B. SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE und RWL_AMI_LASTHOP), die einen Score wieder reduzieren, im Falle eines anderen Symbols (z. B. X_FORWARDED) zu deaktivieren. Wo macht man das wie? Wie kann ich fallbezogene Reject-Messages ausgeben? Wie kann ich den Wert (z. B. "googlegroups") aus dem Symbol MAILLIST auslesen und fallbezogen behandeln? Bzgl. diesem Problem hier habe ich mir heute Morgen noch eine andere Lösung gebastelt: /etc/rspamd/local.d/multimap.conf: X_FORWARDED { type = "header"; header = "X-Forwarded-Encrypted"; map = "${LOCAL_CONFDIR}/local.d/maps.d/x-forwarded.map"; description = "Weiterleitungen aus Maillists"; symbol = "X_FORWARDED"; score = 4.0; regexp = true; multi = true; rules { SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE = { score = 0; } RWL_AMI_LASTHOP = { score = 0; } } } Der Abschnitt "rules" funktioniert wohl so nicht, die Scores der Symbole bleiben negativ. Die /etc/rspamd/local.d/maps.d/x-forwarded.map enthält bei mir gerade nur "/.*/" /etc/rspamd/local.d/multimap.conf: RECEIVED-SPF { type = "header"; header = "Received-SPF"; map = "${LOCAL_CONFDIR}/local.d/maps.d/received-spf.map"; description = "Fremde SPF-Checks"; symbol = "RECEIVED-SPF"; score = 4.0; regexp = true; multi = true; } Die /etc/rspamd/local.d/maps.d/received-spf.map enthält aktuell "/.*google\.com.*/" Das funktioniert so weit, daß ein ausreichend hoher Score die E-Mails abweist: X_FORWARDED (8) [i=2; AJvYcCXJpmND2PhumNXi/+9+SNUS2Q3SfjtcZmK761AevBuUlInPfFM84nF5u6fnBEJHTq490KwUc0zw at domain.tld,i=2; AJvYcCW897scBOvMFTKnSqyV1+SYvgcCyK0xj58Oq4ydaiyLxZWCpOiXdH4xFtnsBAto340p3k4=@absok.overflix.bond] DBL_SPAM (6.5) [overflix.bond:url,absok.overflix.bond:dkim] R_SUSPICIOUS_IMAGES (1.781609) SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE (-1) [mail-ed1-f69.google.com:rdns] RWL_AMI_LASTHOP (-1) [209.85.208.69:from] URI_COUNT_ODD (1) [1] BAD_REP_POLICIES (0.8) SPF_REPUTATION_HAM (-0.586335) [-0.58633486587432] MAILLIST (-0.2) [googlegroups] DMARC_NA (0.1) [overflix.bond] MIME_GOOD (-0.1) [multipart/alternative,text/plain] HAS_LIST_UNSUB (-0.01) FROM_HAS_DN (0) DKIM_TRACE (0) [absok.overflix.bond:+] TAGGED_FROM (0) [bncBDJJPPF26IFRBK66YK4QMGQESY7QVGI] FROM_NEQ_ENVFROM (0) [technique at absok.overflix.bond,sdi at absok.overflix.bond] TO_DOM_EQ_FROM_DOM (0) R_SPF_ALLOW (0) [+ip4:209.85.128.0/17] R_DKIM_ALLOW (0) [absok.overflix.bond:s=google] DKIM_REPUTATION (0) [0] FORGED_RECIPIENTS_MAILLIST (0) ASN (0) [asn:15169, ipnet:209.85.128.0/17, country:US] MISSING_XM_UA (0) RCVD_TLS_LAST (0) RCVD_IN_DNSWL_NONE (0) [209.85.208.69:from,209.85.220.65:received] TO_DN_NONE (0) RCPT_COUNT_ONE (0) [1] ARC_ALLOW (0) [google.com:s=arc-20240605:i=2] RCVD_COUNT_THREE (0) [4] SPFBL_WHITELIST_SERVER_BULK_SENDER (0) [209.85.208.69:from] RWL_MAILSPIKE_POSSIBLE (0) [209.85.208.69:from] MIME_TRACE (0) [0:+,1:+,2:~] FORGED_SENDER_MAILLIST (0) Am 10.11.24 um 11:00 schrieb Martin Steigerwald: > > Ich betreibe den Mail-Server ja nur privat und mein Verständnis von rspamd > ist eher rudimentär. -- Wietse, I am so grateful. From cr at ncxs.de Mon Nov 11 13:35:43 2024 From: cr at ncxs.de (Carsten Rosenberg) Date: Mon, 11 Nov 2024 13:35:43 +0100 Subject: Spam via Google Groups-Mailinglisten In-Reply-To: <5536534.29KlJPOoH8@lichtvoll.de> References: <3265823.vfdyTQepKt@lichtvoll.de> <001401db32c7$731db8d0$59592a70$@Mail24.vip> <5536534.29KlJPOoH8@lichtvoll.de> Message-ID: Hey, die direkte Übernahme von selbstgeschriebenen SA Regeln geht super mit dem Spamassassin Rules Plugin https://rspamd.com/doc/modules/spamassassin.html Damit nutzen wir zur Zeit auch die Heinlein SA Regeln. Daher war der Schmerz diese direkt auf Rspamd umzubauen auch noch nicht sooo hoch ;) Die von SA gelieferten Regeln laufen allerdings in viele Warnungen, weil einige spezielle SA Funktionen nicht unterstützt werden. Viele Grüße Carsten On 11/9/24 6:29 PM, Martin Steigerwald wrote: > Hi Daniel. > > Daniel via Postfixbuch-users - 09.11.24, 17:50:14 MEZ: >> Und sonst haut man einfach alles was weitergeleitet wird von Google >> in den Spam. >> >> SA Regel Beispiel: >> >> header LOCAL_GOOGLE_HELO Received-SPF =~ /helo=.*\.google\.com/i >> header LOCAL_GOOGLE_FORWARD X-Forwarded-Encrypted =~ /\S/ >> meta LOCAL_GOOGLE_SPAM (LOCAL_GOOGLE_HELO && LOCAL_GOOGLE_FORWARD) >> score LOCAL_GOOGLE_SPAM 10.0 >> describe LOCAL_GOOGLE_SPAM Spam vom Google mit Weiterleitung über Zwischenproxy > > Hmm? das wäre natürlich eine Idee: Das generisch abzuhandeln. Schaue ich > mir ggf. mal an, wie ich das in Rspamd umsetze. > > Danke Dir, From cr at ncxs.de Mon Nov 11 13:30:06 2024 From: cr at ncxs.de (Carsten Rosenberg) Date: Mon, 11 Nov 2024 13:30:06 +0100 Subject: Spam via Google Groups-Mailinglisten In-Reply-To: <3265823.vfdyTQepKt@lichtvoll.de> References: <3265823.vfdyTQepKt@lichtvoll.de> Message-ID: <34901272-118a-4f6f-ba61-12643f46d880@ncxs.de> Hallo Martin, ich habs im Rspamd über Composites gelöst: ASDB_HS_GOOGLE_GROUP_SPAM { expression = "MAILLIST[googlegroups] & MIME_TRACE[0:+, 1:+, 2:~] & R_SUSPICIOUS_IMAGES & TO_DOM_EQ_FROM_DOM & (MISSING_XM_UA | TAGGED_FROM | MIXED_CHARSET)"; score = 9.0; policy = "leave"; description = "Match Spam using Googlegroups relay"; } Ich nutze sehr gern generische Matches und versuche keine extra Regex schreiben zu müssen. Das hier matcht das soweit ganz gut. Wenn du noch sicherer gehen magst könnte diese Composite oder eine darauf aufbauende mit extra Punkten noch mit Spamhaus DBL oder der HBL Email kombiniert werden, die derzeit ganz gut matchen: ASDB_HS_GOOGLE_GROUP_SPAM_SH { expression = "ASDB_HS_GOOGLE_GROUP_SPAM & (DBL_SPAM | SH_HBL_EMAIL)"; score = 4.0; policy = "leave"; description = "Match Spam using Googlegroups relay and Spamhaus"; } Dazu habe ich einmal eine Reputation auf den Google-Group-ID Header gebastelt. Der funzt nach ein bisschen Zeit auch sehr gut: google_group_reputation = { selector "generic" { selector = "header('X-Google-Group-Id')"; # see https://rspamd.com/doc/configuration/selectors.html } backend "redis" { } symbol = "GOOGLE_GROUP_REPUTATION"; } Viele Grüße Carsten On 11/9/24 3:42 PM, Martin Steigerwald wrote: > Hi! > > Ich bekam zuletzt immer wieder mal Spam via Google Groups-Mailinglisten. > Zuletzt bezüglich einem angeblich kostenlosen "Medicare-Set" aber auch zu > anderem Themen. > > Exemplarisch ein paar Kopfzeilen dazu: > > Received: by mail-ej1-x646.google.com with SMTP id a640[?] > for <[? meine Mail-Adresse ?]>; Sat, 09 Nov 2024 05:[?] -0800 > (PST) > > List-ID: > > List-Unsubscribe: +unsubscribe at googlegroups.com>, [?] > > Ist jemand Anderem das auch aufgefallen? > > Das kommt leider immer wieder auch durch meinen rspamd durch, der das auch > nicht so recht gleich nach dem Anlernen als BAYES_SPAM einstufen mag. > > Da ich nicht abwarten möchte, bis der greift, blocke ich das jetzt mit > zwei lokalen Maps für rspamd. > > Ich erspare mir die nervenaufreibende Prozedur zu versuchen, einen Abuse > Complaint an Google zu versuchen. Die waren bereits das letzte Mal zu > arrogant, sich das auch nur anzuschauen. Zudem geht das meines Wissens > ohnehin nicht mehr via Mail, sondern nur noch über so ein komisches Web- > Formular für das es zudem noch ein Google-Konto braucht. > > Da fände ich tatsächlich mal eine rechtliche Grundlage gut, die > insbesondere große Provider verpflichtet, Abuse Complaints via Mail > anzunehmen und innerhalb einer gewissen Zeit zu bearbeiten. Mittlerweile > scheint ziemlich viel Müll über solche Riesen-Provider zu kommen. > > Ciao, From martin at lichtvoll.de Mon Nov 11 14:06:39 2024 From: martin at lichtvoll.de (Martin Steigerwald) Date: Mon, 11 Nov 2024 14:06:39 +0100 Subject: Spam via Google Groups-Mailinglisten In-Reply-To: <34901272-118a-4f6f-ba61-12643f46d880@ncxs.de> References: <3265823.vfdyTQepKt@lichtvoll.de> <34901272-118a-4f6f-ba61-12643f46d880@ncxs.de> Message-ID: <2289557.iZASKD2KPV@lichtvoll.de> Hallo Carsten, hallo. Carsten Rosenberg via Postfixbuch-users - 11.11.24, 13:30:06 MEZ: > ich habs im Rspamd über Composites gelöst: Danke Dir! Das ist ja richtig gehaltvoll, was hier an Ideen gekommen ist. Es gibt also viele Hämmer im Rspamd, mit denen sich diese Mails weg hauen lassen. Ich schaue mir das mal in Ruhe an und schaue, welche Hämmer ich einsetzen möchte. Auch danke an alle, die noch weitere Ideen beisteuern. Eine schöne Woche noch. -- Martin From cr at ncxs.de Mon Nov 11 14:55:17 2024 From: cr at ncxs.de (Carsten Rosenberg) Date: Mon, 11 Nov 2024 14:55:17 +0100 Subject: Spam via Google Groups-Mailinglisten In-Reply-To: References: <3265823.vfdyTQepKt@lichtvoll.de> <02510362-54e4-49b0-b00d-55261838c389@syntaxys.de> <1873194.QCnGb9OGeP@lichtvoll.de> Message-ID: Hallo Achim, On 11/10/24 3:09 PM, Achim Lammerts via Postfixbuch-users wrote: > Das Problem ist auch die wirklich suboptimale Dokumentation von rspamd, > an der ich ebenso immer wieder scheitere. Was ist für dich suboptimal? 95% der Doku schreibt der Entwickler selbst. Da hat man schon mal nen Tunnelblick. > Aktuell versuche ich gerade zu verstehen, wie man die /etc/rspamd/ > local.d/regexp.conf nutzt. Die in der Doku gezeigten Beispiele > funktionieren nicht. Die Regex-Regeln sind sehr mächtig, aber warm geworden bin ich mit denen auch nie geworden. Ich mag eher generische Regeln oder nutze wenn die Multimaps. Bei den mitgelieferten Regeln kann man sich aber schöne Beispiele angucken: https://github.com/rspamd/rspamd/tree/master/rules/regexp > > Außerdem bekomme ich es noch nicht gebacken, die Symbole (z. B. > SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE und RWL_AMI_LASTHOP), die einen > Score wieder reduzieren, im Falle eines anderen Symbols (z. B. > X_FORWARDED) zu deaktivieren. Wo macht man das wie? > Das macht man alles im Composites. MY_SYMBOL { expression "^SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE & ^RWL_AMI_LASTHOP & -X_FORWARDED"; } https://rspamd.com/doc/configuration/composites.html Das entfernt die ersten beiden Symbole und läßt X_FORWARDED unangetastet. Ich habs persönlich aber lieber wenn die alten Scores und Symbole noch sichtbar bleiben. Daher würde ich das so bauen: MY_SYMBOL { expression "SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE & RWL_AMI_LASTHOP & X_FORWARDED"; score = 2.0; } > Wie kann ich fallbezogene Reject-Messages ausgeben? Wie kann ich den > Wert (z. B. "googlegroups") aus dem Symbol MAILLIST auslesen und > fallbezogen behandeln? > In den Force Actions. Die können leider aber nicht auf die Options ("googlegroups") zugreifen. Daher könntest du die in composites ein Symbol daraus bauen und in den Force Actions mit Custom Message verwenden: Composite MAILLIST_GOOGLEGROUPS { expression = "MAILLIST[googlegroups]" } Force Actions VIRUS_REJECT { action = "reject"; expression = "MAILLIST_GOOGLEGROUPS"; message = "REJECT - your message (support-id: ${queueid}-${uid.substring(1, 6)})"; require_action = ["no action", "greylist", "reject", "add header", "soft reject", "rewrite subject", "discard", "quarantine"]; } Das Require Action ist ein Trick damit diese Force Action erst als Postfilter läuft. Sonst ist das MAILLIST_GOOGLEGROUPS Symbol noch nicht da. > Bzgl. diesem Problem hier habe ich mir heute Morgen noch eine andere > Lösung gebastelt: > > /etc/rspamd/local.d/multimap.conf: > > X_FORWARDED { >     type = "header"; >     header = "X-Forwarded-Encrypted"; >     map = "${LOCAL_CONFDIR}/local.d/maps.d/x-forwarded.map"; >     description = "Weiterleitungen aus Maillists"; >     symbol = "X_FORWARDED"; >     score = 4.0; >     regexp = true; >     multi = true; >     rules { >         SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE = { >             score = 0; >             } >         RWL_AMI_LASTHOP = { >             score = 0; >             } >         } >     } Die rules Sektion in Multimap kenne ich nur von den combined Maps, also dem abhängigen matchen mehrerer Maps. Andere rules gibt es meines Wissens hier nicht. > Der Abschnitt "rules" funktioniert wohl so nicht, die Scores der Symbole > bleiben negativ. Die /etc/rspamd/local.d/maps.d/x-forwarded.map enthält > bei mir gerade nur "/.*/" > Viele Grüße Carsten From ml-pbu at syntaxys.de Mon Nov 11 17:29:31 2024 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Mon, 11 Nov 2024 17:29:31 +0100 Subject: Spam via Google Groups-Mailinglisten In-Reply-To: References: <3265823.vfdyTQepKt@lichtvoll.de> <02510362-54e4-49b0-b00d-55261838c389@syntaxys.de> <1873194.QCnGb9OGeP@lichtvoll.de> Message-ID: Hi Carsten, herzlichen Dank für die Tipps! Ich werde mir das genauer ansehen und damit experimentieren. Am 11.11.24 um 14:55 schrieb Carsten Rosenberg via Postfixbuch-users: > Was ist für dich suboptimal? 95% der Doku schreibt der Entwickler > selbst. Da hat man schon mal nen Tunnelblick. Mir sind manche Erklärungen einfach nicht eindeutig verständlich, bzw. ist die Doku an manchen Stellen scheinbar nicht vollständig. Ich weiß aber, wie aufwändig es ist, eine gute Doku instandzuhalten. Als Entwickler hat man nicht immer den Fokus darauf. LG/A -- Wietse, I am so grateful. From bjo at schafweide.org Fri Nov 15 11:52:36 2024 From: bjo at schafweide.org (Bjoern Franke) Date: Fri, 15 Nov 2024 11:52:36 +0100 Subject: OT: Stalwart In-Reply-To: <28386498.gRfpFWEtPU@lichtvoll.de> References: <28386498.gRfpFWEtPU@lichtvoll.de> Message-ID: <47147e3f-ba70-4ac2-a6e7-a1755f3f65af@schafweide.org> Moin, > > Auf dem Papier klingt das ja ziemlich gut. Aber hält es auch, was es > verspricht? JMAP finde ich auch interessant. Aber das unterstützen nur > wenige Mail-Clients. > > Ich glaube ich werde so schnell nicht migrieren. Die Kombination aus > Postfix, Dovecot und rspamd funktioniert gut. Wenn dann müsste ich den > neuen Mail-Server möglicherweise ohnehin parallel aufbauen, damit ich bei > Problemen schnell wieder zurückschalten kann. Ich hatte mir das mal angeschaut und testweise mein Postfach, welches mit zstd-mdbox 7GB auf dem Server braucht, migriert. * Stalwart hatte dabei eine massive CPU- und IO-Last * Bei Speicherung von Meta-Daten, Blob-Daten und FTS-Daten brauchte Stalwart dann 14GB Platz * Übel fand ich, dass es im Webinterface ausgegraute Optionen gab mit "Enable Subscription" oder so daneben. Viele Grüße Björn From ml-pbu at syntaxys.de Tue Nov 19 07:42:34 2024 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 19 Nov 2024 07:42:34 +0100 Subject: =?UTF-8?Q?Abgelehnten_Spam_in_Quarant=C3=A4ne_schicken?= Message-ID: <31b36f54-f899-491b-b7c7-10e3ceda1122@syntaxys.de> Guten Morgen Liste, heute Morgen hatte ich wieder das seltene Problem, daß eine Mail aus der rspamd-Liste technisch & inhaltlich den Reject-Score geknackt hat. Nun ist sie auch von Bayes' auto_learn als Spam klassifiziert und ich weiß grad nicht, wie ich das umkehren kann, ohne die originale Email. Aus dem lokalen Fuzzy Store habe ich den Hash einfach entfernen können, aber wie bekomme ich so etwas aus der Redis-DB? Wonach könnte ich (bin MySQLer) dort wie suchen? Ich würde gerne für solche Fälle eine Quarantäne einrichten. Wie geht man da am besten vor? Aktuell wird alles ab einem Score 12 abgelehnt, es ist zu 120% Schrott, den ich nicht sammeln möchte. Nur sehr wenige Mails davon liegen knapp darüber, die würde ich gerne temporär behalten. Bekomme ich das mit Postfix/rspamd hin, daß weiter ab Score 12 abgelehnt wird, aber zusätzlich die Mails von Score 12 - 15 in einer Quarantäne landen? Mein Mailstore ist eine Dovecot-Instanz. Bekäme man das mit https://rspamd.com/doc/modules/metadata_exporter.html gebacken? Beim Postfix kann ich ja eine BCC-Adresse angeben an die jeglicher Traffic geht. Es ist ein privater MTA, von daher ist der Datenschutz weniger ein Problem. Kann ich den Traffic vor dem rspamd-Milter splitten und den zweiten Kanal ungeprüft in ein Quarantäne-Postfach leiten, das nur die Mails der letzten 7 Tage behält? Ich habe das Problem vor 2 Jahren mal über die HOLD-Queue gelöst, aber das war nicht optimal und ich hab's wieder aufgegeben: https://listi.jpberlin.de/pipermail/postfixbuch-users/2022-March/067904.html Wie löst Ihr das Problem? Danke für die Tipps! LG/A -- Wietse, I am so grateful. From ml-pbu at syntaxys.de Tue Nov 19 16:19:05 2024 From: ml-pbu at syntaxys.de (Achim Lammerts) Date: Tue, 19 Nov 2024 16:19:05 +0100 Subject: =?UTF-8?Q?Re=3A_Abgelehnten_Spam_in_Quarant=C3=A4ne_schicken?= In-Reply-To: <31b36f54-f899-491b-b7c7-10e3ceda1122@syntaxys.de> References: <31b36f54-f899-491b-b7c7-10e3ceda1122@syntaxys.de> Message-ID: <999e7737-0d1d-4091-a52a-3896f7265f99@syntaxys.de> Hallo Liste, am Nachmittag habe ich folgendes recherchiert, was leider nicht funktioniert ist ... /etc/rspamd/local.d/actions.conf: greylist = 4; add_header = 6; rewrite_subject = 8; subject = "*** SPAM [%d] *** %s"; quarantine = 12; reject = 16; Laut https://rspamd.com/doc/configuration/metrics.html müsste bei dieser Konfiguration von Score 12 bis Score 16 ein HOLD an Postfix gesendet werden, es kommt aber weiterhin ein REJECT an und die Emails werden ab Score 12 abgelehnt. Man kann sich die REJECTs in eine Quarantäne liefern lassen, allerdings kommt dort alles an, was abgelehnt wird. /etc/rspamd/local.d/metadata_exporter.conf: rules { QUARANTINE { backend = "send_mail"; smtp = "127.0.0.1"; smtp_port = 12325; mail_to = "quarantine at domain.tld"; mail_from = "postmaster at domain.tld"; helo = "localhost"; selector = "is_spam"; # could be "is_reject" formatter = "default"; } } Es kommt die rohe Mail in der Quarantäne an, ohne Auswertung oder Spam-Marker und es fehlen dann auch die Env-Adressen im Header. Der Transport sollte über einen eigenen Kanal ohne milter erfolgen, damit es nicht zu Bounces/Loops kommt. Eine funktionierende HOLD-Lösung für Score 12-16 wäre mir lieber ? LG/A Am 19.11.24 um 07:42 schrieb Achim Lammerts via Postfixbuch-users: > Bekäme man das mit > https://rspamd.com/doc/modules/metadata_exporter.html > gebacken? -- Wietse, I am so grateful.