Spam via Google Groups-Mailinglisten

Sa Nov 9 20:46:39 CET 2024

Hallo Liste,

ich habe das gleiche Problem seit einigen Tagen und habe das aktuell 
über eine „Force Actions“ Regel in den Griff bekommen:

/etc/rspamd/local.d/force_actions.conf

rules {
     REJECT_MAILLIST_JUNK {
         expression = "MAILLIST and (R_SPF_ALLOW or R_SPF_NA) and 
(R_DKIM_ALLOW or R_DKIM_PERMFAIL) and DMARC_NA and (FORGED_RECIPIENTS or 
SUSPICIOUS_SENDERS_TLD or R_SUSPICIOUS_IMAGES)";
         message = "Unsolicited Mail (Support-ID: ${queueid}) - Your 
email was rejected because it's identified as spam/junk and/or 
phishing/malware"
         action = "reject";
     }
     …
     weitere Regel(n)
     …
}

Bei dem eigenen Symbol SUSPICIOUS_SENDERS_TLD prüfe ich gegen eine Liste 
mit eher unüblichen TLDs, bsplsw. .click, .beauty, usw.
Das trifft jedoch nicht immer zu. Die Mails enthalten aber häufig 
verdächtige Bilder, daher kann man sich auf das Symbol 
R_SUSPICIOUS_IMAGES beziehen.
DKIM und SPF ist meistens korrekt, ein DMARC-Record fehlt jedoch.

Ein Spam-Report einer solchen Email schaut bei mir z. b. so aus:

R_SUSPICIOUS_IMAGES (2.484909)
FORGED_RECIPIENTS (2) [m:support at jok.zorotv.net.in,s:user at meine-domain.de]
IP_REPUTATION_SPAM (1.686611) [asn: 15169(-0.24), country: US(-0.00), 
ip: 2a00:1450:4864:20::(0.80)]
RWL_AMI_LASTHOP (-1) [2a00:1450:4864:20::645:from]
SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE (-1) [mail-ej1-x645.google.com:rdns]
ARC_ALLOW (-1) [google.com:s=arc-20240605:i=2]
URI_COUNT_ODD (1) [1]
R_MIXED_CHARSET (0.555556) [subject]
SPF_REPUTATION_HAM (-0.555276) [-0.55527625704758]
FORGED_SENDER (0.3) [service at jok.zorotv.net.in,jc at jok.zorotv.net.in]
MAILLIST (-0.2) [googlegroups]
R_DKIM_ALLOW (-0.2) [jok.zorotv.net.in:s=google]
MIME_GOOD (-0.1) [multipart/alternative,text/plain]
R_SPF_ALLOW (-0.1) [+ip6:2a00:1450:4000::/36:c]
DMARC_NA (0.1) [zorotv.net.in]
HAS_LIST_UNSUB (-0.01)
FROM_HAS_DN (0)
DKIM_TRACE (0) [jok.zorotv.net.in:+]
SPFBL_WHITELIST_SERVER_BULK_SENDER (0) [2a00:1450:4864:20::645:from]
RCVD_TLS_LAST (0)
SUBJECT_HAS_EXCLAIM (0)
FROM_NEQ_ENVFROM (0) [service at jok.zorotv.net.in,jc at jok.zorotv.net.in]
TO_DOM_EQ_FROM_DOM (0)
ASN (0) [asn:15169, ipnet:2a00:1450::/32, country:US]
MIME_TRACE (0) [0:+,1:+,2:~]
RCVD_COUNT_THREE (0) [4]
DKIM_REPUTATION (0) [0]
MISSING_XM_UA (0)
TO_DN_NONE (0)
RCPT_COUNT_ONE (0) [1]
FORCE_ACTION_REJECT_MAILLIST_JUNK (0) [reject]
TAGGED_FROM (0) [bncBDJJPPF26IFRBVOPXW4QMGQEEORV5VY]
RCVD_IN_DNSWL_NONE (0) [209.85.220.41:received,2a00:1450:4864:20::645:from]

Ohne die o. a. Regel rutschen die E-mails meist mit einem Score unter 6 
ins Postfach durch, selten wird ein Subject-Rewrite getriggert. Durch 
die Regel werden die Mails sofort abgewiesen.

Die Dokumentation zu „Force Actions“ findet sich hier:
https://rspamd.com/doc/modules/force_actions.html

LG/A

Am 09.11.24 um 15:42 schrieb Martin Steigerwald:
> Hi!
> 
> Ich bekam zuletzt immer wieder mal Spam via Google Groups-Mailinglisten.
> Zuletzt bezüglich einem angeblich kostenlosen "Medicare-Set" aber auch zu
> anderem Themen.
> 
> Exemplarisch ein paar Kopfzeilen dazu:
> 
> Received: by mail-ej1-x646.google.com with SMTP id a640[…]
>          for <[… meine Mail-Adresse …]>; Sat, 09 Nov 2024 05:[…] -0800
> (PST)
> 
> List-ID: <sv.jok.zorotv.net.in>
> 
> List-Unsubscribe: <mailto:googlegroups-manage+25[…]
> +unsubscribe at googlegroups.com>, […]
> 
> Ist jemand Anderem das auch aufgefallen?
> 
> Das kommt leider immer wieder auch durch meinen rspamd durch, der das auch
> nicht so recht gleich nach dem Anlernen als BAYES_SPAM einstufen mag.
> 
> Da ich nicht abwarten möchte, bis der greift, blocke ich das jetzt mit
> zwei lokalen Maps für rspamd.
> 
> Ich erspare mir die nervenaufreibende Prozedur zu versuchen, einen Abuse
> Complaint an Google zu versuchen. Die waren bereits das letzte Mal zu
> arrogant, sich das auch nur anzuschauen. Zudem geht das meines Wissens
> ohnehin nicht mehr via Mail, sondern nur noch über so ein komisches Web-
> Formular für das es zudem noch ein Google-Konto braucht.
> 
> Da fände ich tatsächlich mal eine rechtliche Grundlage gut, die
> insbesondere große Provider verpflichtet, Abuse Complaints via Mail
> anzunehmen und innerhalb einer gewissen Zeit zu bearbeiten. Mittlerweile
> scheint ziemlich viel Müll über solche Riesen-Provider zu kommen.
> 
> Ciao,

-- 
Wietse, I am so grateful.