Setup: UCS 4.2 der im AD-Membermodus mit UCS Mail APP als Mailrelay fungiert.
1: wie kann man SPAM Mails abwehren, die von EXTERN mit dem eigenen Domainnamen als Absender daherkommen?
Z.B. FROM: copier@meinefirma.de TO: chef@meinefirma.de
finde ich nur einen auskommentierten Parameter. Ist das Bayestraining dann überhaupt funktionell?
Wo finde ich die Datenbank?
Ich hätte sie hier vermutet: /var/spamassassin/bayes_db/
Die Datenbank möchte ich manuell mit diesen Kommandos füttern
Hast du zu 1. vielleicht den kompletten Mail-Header einer solchen Mail?
zu 2. kann ich schon mal was sagen:
Ja, der Config-Eintrag landet in /usr/share/spamassassin/10_misc.cf
Außerdem wird ein Cronjob eingerichtet, der täglich einen Wrapper für sa-learn ausführt: /etc/cron.daily/univention-spamassassin
Die Datenbank findet sich unterhalb von /var/lib/amavis/.spamassassin
hier wäre so ein Mail-Header. Allerdings habe ich grad nur einen zur Hand, der bereits als SPAM erkannt wurde. Trotzdem fände ich es sinnvoll, wenn so eine Mail gar nicht erst angenommen werden würde. So etwa: http://www.postfix.org/postconf.5.html#reject_unlisted_sender
Dominname ist gekürzt.
Es gibt hier keinen Lexmarkdrucker und auch keine reguläre Adresse "copier@rgw.de"
Received: from srvucs01.rgw.local (192.168.0.25) by remote.rgw.de
(192.168.170.21) with Microsoft SMTP Server (TLS) id 14.1.438.0; Thu, 23 Nov
2017 12:01:47 +0100
Received: from localhost (localhost [127.0.0.1]) by srvucs01.rgw.local
(Postfix) with ESMTP id 652CF3809E5 for <meier@rgw.de>; Thu,
23 Nov 2017 12:01:47 +0100 (CET)
X-Virus-Scanned: by amavisd-new-2.10.1 (20141025) (Debian) at rgw.local
X-Spam-Flag: YES
X-Spam-Score: 17.116
X-Spam-Level: *****************
X-Spam-Status: Yes, score=17.116 tagged_above=-1000 required=5
tests=[HELO_MISC_IP=0.249, RCVD_IN_BRBL_LASTEXT=1.644,
RCVD_IN_MSPIKE_BL=0.01, RCVD_IN_MSPIKE_ZBI=3.399, RCVD_IN_PBL=3.558,
RCVD_IN_PSBL=2.7, RCVD_IN_SBL_CSS=3.558, RCVD_IN_XBL=0.724,
RDNS_NONE=1.274] autolearn=no autolearn_force=no
Received: from srvucs01.rgw.local ([127.0.0.1]) by localhost
(srvucs01.rgw.local [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id
r5KbePC5PgUW for <meier@rgw.de>; Thu, 23 Nov 2017 12:01:46
+0100 (CET)
Received: from [103.48.68.162] (unknown [103.48.68.162]) by srvucs01.rgw.local
(Postfix) with ESMTP id 641823809B9 for <mail@rgw.de>; Thu, 23 Nov
2017 12:01:46 +0100 (CET)
To: <mail@rgw.de>
From: <copier@rgw.de>
Date: Thu, 23 Nov 2017 16:31:39 +0530
Subject: Scanned from Lexmark
X-Mailer: Lexmark X658de
X-ASG-Orig-Subj: Scanned from Lexmark
Message-ID: <1318208075.034090.96052@CA0A03D1A4962D.rgw.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="==Cf4d31dF3037D128-96f64f8e=="
Return-Path: copier@rgw.de
X-MS-Exchange-Organization-AuthSource: SBS.rgw.local
X-MS-Exchange-Organization-AuthAs: Anonymous
Die Konfig ist sehr passend und genau das würde ich dir empfehlen.
Eine UCR Variable zum einfachen einstellen haben wir dafür allerdings nicht. Folgendes musst du konfigurieren:
Eine Datei /etc/postfix/check_sender_domain_access mit zB. folgendem Inhalt anlegen:
meinefirma.de REJECT Sender Spoof Protection, please use submission ports with login to use this sender address
Die oben erstellte Datei in eine DB-Datei umwandeln: postmap /etc/postfix/check_sender_domain_access
Die Datei als Check in die smtpd_recipient_restrictions eintragen:
ucr set mail/postfix/smtpd/restrictions/recipient/89="check_sender_access hash:/etc/postfix/check_sender_domain_access"
Postfix anhalten die Konfig neu zu laden: postfix reload
diese Antwort hat mich sehr gefreut! Und ich bin froh dass ich die Frage hier gestellt habe. Punkt 1. und 2. hätte ich noch hinbekommen. Aber das ganze mit einer UCR Variable zu verbinden, dafür fehlte es mir noch an Überblick. Mails mit gefakter Absenderadresse werden nun wie gewünscht blockiert
Und das Training von SpamAssassin konnte ich auch durchführen. Ob in der Bayes Datenbank etwas ankommt, kann man nicht nur an der Datenbankgröße feststellen, es gibt einen praktischen Befehl dafür:
ich hätte noch eine ergänzende Frage zum Thema Postfix check_sender_domain_access. Es tauchen gelegentlich SPAM Mail auf, die anscheinend 2 Absenderadressen haben und es so durch den SPAMfilter schaffen.
Im Mail Header sieht das so aus: From: <Diowild@bgm-web.de>, Walter <kontakt@bt-egger.de>
Die Domain bgm-web.de existiert, steht aber in der Liste check_sender_domain_access. Wie lässt sich so etwas fieses automatisch als SPAM erkennen?
Der ganze Header:
Received: from SRVXCH01.BGM-Web.de (192.168.20.13) by SRVXCH01.BGM-Web.de
(192.168.20.13) with Microsoft SMTP Server (TLS) id 15.0.1156.6 via Mailbox
Transport; Wed, 6 Jun 2018 10:16:08 +0200
Received: from SRVXCH01.BGM-Web.de (192.168.20.13) by SRVXCH01.BGM-Web.de
(192.168.20.13) with Microsoft SMTP Server (TLS) id 15.0.1156.6; Wed, 6 Jun
2018 10:16:08 +0200
Received: from srvucs01.bgm-web.de (192.168.20.60) by SRVXCH01.BGM-Web.de
(192.168.20.13) with Microsoft SMTP Server (TLS) id 15.0.1156.6 via Frontend
Transport; Wed, 6 Jun 2018 10:16:08 +0200
Received: from localhost (localhost [127.0.0.1])
by srvucs01.bgm-web.de (Postfix) with ESMTP id 471A83C82E4
for <D.Mauz@acd-service.net>; Wed, 6 Jun 2018 10:16:08 +0200 (CEST)
X-Virus-Scanned: by amavisd-new-2.10.1 (20141025) (Debian) at bgm-web.de
X-Spam-Flag: NO
X-Spam-Score: 0.001
X-Spam-Level:
X-Spam-Status: No, score=0.001 tagged_above=-1000 required=5
tests=[RCVD_IN_DNSWL_NONE=-0.0001, URIBL_BLOCKED=0.001]
autolearn=ham autolearn_force=no
Received: from srvucs01.bgm-web.de ([127.0.0.1])
by localhost (srvucs01.bgm-web.de [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 7PH64m4-76kj for <D.Mauz@acd-service.net>;
Wed, 6 Jun 2018 10:16:07 +0200 (CEST)
Received: from mail.webgo24-server2.de (mail.webgo24-server2.de [46.4.152.219])
by srvucs01.bgm-web.de (Postfix) with ESMTPS id F091E3C1C4B
for <d.m@acd-service.net>; Wed, 6 Jun 2018 10:16:05 +0200 (CEST)
Received: from 10.0.0.24 (unknown [103.241.234.109])
by mail.webgo24-server2.de (Postfix) with ESMTPSA id 13C632326A64
for <d.m@acd-service.net>; Wed, 6 Jun 2018 10:15:31 +0200 (CEST)
Date: Wed, 6 Jun 2018 13:45:35 +0530
From: <Diowild@bgm-web.de>, Walter <kontakt@bt-egger.de>
To: <d.m@acd-service.net>
Message-ID: <16672466425.20186681535@acd-service.net>
Subject: Ihre Rechnung 90124179
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0038_B77BEE3A.A1BC10FD"
Return-Path: kontakt@bt-egger.de
Received-SPF: Fail (SRVXCH01.BGM-Web.de: domain of invalid address does not
designate 192.168.20.60 as permitted sender) receiver=SRVXCH01.BGM-Web.de;
client-ip=192.168.20.60; helo=srvucs01.bgm-web.de;
X-MS-Exchange-Organization-Network-Message-Id: b17d36c4-85f7-4b33-6610-08d5cb85c18a
X-MS-Exchange-Organization-SCL: 0
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.5705.600;OrigIP:192.168.20.60
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: SRVXCH01.BGM-Web.de
X-MS-Exchange-Organization-AuthAs: Anonymous
UCS fungiert hier als Relayserver der die Mails an einen Exchangeserver sendet.
Beim Empfänger in Outlook sieht es so aus, als würde diese Mail von einem Kollegen kommen. Es ist nicht zu erkennen, dass der Absender eigentlich kontakt@bt-egger.de ist.
ich denke, dass diese ziemlich technische Frage auf einer Postfix-Mailingliste deutlich besser aufgehoben wäre. Nicht im Sinne dass es hier offtopic wäre, sondern dass dort deutlich tieferes Postfix-Wissen vorhanden ist — denn so ganz trivial ist das nicht.
Man kann z.B. nicht einfach header_checks mit einer Regex-Regel wie z.B.
dass das prüfen auf Kommata oder @-Zeichen schwierig wird, hatte ich schon vermutet. Was mir aber eben auffällt, dass bei normalen Emails im FROM Feld des Header nur 1 Paar spitze Klammern enthalten sind, in diesem Fall aber 2 Paar. Wäre das vielleicht ein Ansatzpunkt?
Mit Postfix header_checks hatte noch nichts zu tun. Kann man das ähnlich elegant in UCS aktivieren wie bei check_sender_access? Oder geht das mit evtl. Spamassassin einfacher, der wäre auch drauf. Dann würde ich das mal versuchen.