Spam via Google Groups-Mailinglisten
Achim Lammerts
ml-pbu at syntaxys.de
So Nov 10 15:09:43 CET 2024
Das Problem ist auch die wirklich suboptimale Dokumentation von rspamd,
an der ich ebenso immer wieder scheitere.
Aktuell versuche ich gerade zu verstehen, wie man die
/etc/rspamd/local.d/regexp.conf nutzt. Die in der Doku gezeigten
Beispiele funktionieren nicht.
Außerdem bekomme ich es noch nicht gebacken, die Symbole (z. B.
SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE und RWL_AMI_LASTHOP), die einen
Score wieder reduzieren, im Falle eines anderen Symbols (z. B.
X_FORWARDED) zu deaktivieren. Wo macht man das wie?
Wie kann ich fallbezogene Reject-Messages ausgeben? Wie kann ich den
Wert (z. B. "googlegroups") aus dem Symbol MAILLIST auslesen und
fallbezogen behandeln?
Bzgl. diesem Problem hier habe ich mir heute Morgen noch eine andere
Lösung gebastelt:
/etc/rspamd/local.d/multimap.conf:
X_FORWARDED {
type = "header";
header = "X-Forwarded-Encrypted";
map = "${LOCAL_CONFDIR}/local.d/maps.d/x-forwarded.map";
description = "Weiterleitungen aus Maillists";
symbol = "X_FORWARDED";
score = 4.0;
regexp = true;
multi = true;
rules {
SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE = {
score = 0;
}
RWL_AMI_LASTHOP = {
score = 0;
}
}
}
Der Abschnitt "rules" funktioniert wohl so nicht, die Scores der Symbole
bleiben negativ. Die /etc/rspamd/local.d/maps.d/x-forwarded.map enthält
bei mir gerade nur "/.*/"
/etc/rspamd/local.d/multimap.conf:
RECEIVED-SPF {
type = "header";
header = "Received-SPF";
map = "${LOCAL_CONFDIR}/local.d/maps.d/received-spf.map";
description = "Fremde SPF-Checks";
symbol = "RECEIVED-SPF";
score = 4.0;
regexp = true;
multi = true;
}
Die /etc/rspamd/local.d/maps.d/received-spf.map enthält aktuell
"/.*google\.com.*/"
Das funktioniert so weit, daß ein ausreichend hoher Score die E-Mails
abweist:
X_FORWARDED (8) [i=2;
AJvYcCXJpmND2PhumNXi/+9+SNUS2Q3SfjtcZmK761AevBuUlInPfFM84nF5u6fnBEJHTq490KwUc0zw at domain.tld,i=2;
AJvYcCW897scBOvMFTKnSqyV1+SYvgcCyK0xj58Oq4ydaiyLxZWCpOiXdH4xFtnsBAto340p3k4=@absok.overflix.bond]
DBL_SPAM (6.5) [overflix.bond:url,absok.overflix.bond:dkim]
R_SUSPICIOUS_IMAGES (1.781609)
SPFBL_WHITELIST_SERVER_PUBLIC_SERVICE (-1) [mail-ed1-f69.google.com:rdns]
RWL_AMI_LASTHOP (-1) [209.85.208.69:from]
URI_COUNT_ODD (1) [1]
BAD_REP_POLICIES (0.8)
SPF_REPUTATION_HAM (-0.586335) [-0.58633486587432]
MAILLIST (-0.2) [googlegroups]
DMARC_NA (0.1) [overflix.bond]
MIME_GOOD (-0.1) [multipart/alternative,text/plain]
HAS_LIST_UNSUB (-0.01)
FROM_HAS_DN (0)
DKIM_TRACE (0) [absok.overflix.bond:+]
TAGGED_FROM (0) [bncBDJJPPF26IFRBK66YK4QMGQESY7QVGI]
FROM_NEQ_ENVFROM (0) [technique at absok.overflix.bond,sdi at absok.overflix.bond]
TO_DOM_EQ_FROM_DOM (0)
R_SPF_ALLOW (0) [+ip4:209.85.128.0/17]
R_DKIM_ALLOW (0) [absok.overflix.bond:s=google]
DKIM_REPUTATION (0) [0]
FORGED_RECIPIENTS_MAILLIST (0)
ASN (0) [asn:15169, ipnet:209.85.128.0/17, country:US]
MISSING_XM_UA (0)
RCVD_TLS_LAST (0)
RCVD_IN_DNSWL_NONE (0) [209.85.208.69:from,209.85.220.65:received]
TO_DN_NONE (0)
RCPT_COUNT_ONE (0) [1]
ARC_ALLOW (0) [google.com:s=arc-20240605:i=2]
RCVD_COUNT_THREE (0) [4]
SPFBL_WHITELIST_SERVER_BULK_SENDER (0) [209.85.208.69:from]
RWL_MAILSPIKE_POSSIBLE (0) [209.85.208.69:from]
MIME_TRACE (0) [0:+,1:+,2:~]
FORGED_SENDER_MAILLIST (0)
Am 10.11.24 um 11:00 schrieb Martin Steigerwald:
>
> Ich betreibe den Mail-Server ja nur privat und mein Verständnis von rspamd
> ist eher rudimentär.
--
Wietse, I am so grateful.
Mehr Informationen über die Mailingliste Postfixbuch-users