Spam im Posteingang - rspamd konfigurieren

oxiz

Hallo,

ich habe ein Problem mit hohem Spamaufkommen im Posteingang.
rspamd filtert zwar auch sehr viel spam raus, aber es rutschen täglich etliche durch den Filter.
Wie und wo kann ich Filter schärfen? Ich habe schon einiges mit Blacklisting versucht, aber ohne signifikanten Erfolg. Die meisten Spammails kommen aus RU und werden über TLD´s wie su, kr, lol, aber auch z.B. be oder nl versendet. Diese tld´s tauchen alle irgendwo im header auf.

Entweder stehen die auf “no action” oder bei z.B. -0.30 / 14.00
X-Rspamd-Pre-Result: action=no action;

Dabei ist es sehr eindeutig Spam, wenn ich mir so die header ansehe.
Da ist vermutlich irgend ein Fehler in der config, nur wo und welcher??

Hier mal ein Beispiel eines Header-Ausschnittes von so einer Spammail:
Subject: Re:
To: Recipients <>
From: “Mr. Chris” <""@iztacalco.cdmx.gob.m>
Date: Thu, 27 Apr 2023 21:43:14 +0100
Reply-To: robertcwill@outlook.com
X-Antivirus: Avast (VPS 230427-4, 4/27/2023), Outbound message
X-Antivirus-Status: Clean
Message-Id: 20230427204323.650A612F28F6@mail.iztacalco.cdmx.gob.mx
X-Rspamd-Queue-Id: A524060BB0
X-Rspamd-Pre-Result: action=no action;
module=multimap;
Matched map: GLOBAL_RCPT_WL
X-Spamd-Result: default: False [10.15 / 14.00];
FUZZY_DENIED(9.25)[1:063241ee23:0.59:txt];
FROM_NAME_HAS_TITLE(1.00)[mr];
MIME_GOOD(-0.10)[text/plain];
R_DKIM_NA(0.00)[];
RWL_MAILSPIKE_POSSIBLE(0.00)[201.116.58.39:from];
R_SPF_NA(0.00)[no SPF record];
HAS_REPLYTO(0.00)[robertcwill@outlook.com];
ARC_SIGNED(0.00)[*******.de:s=dkim:i=1];
FREEMAIL_REPLYTO(0.00)[outlook.com];
GLOBAL_RCPT_WL(0.00)[info@*******.de];
MIME_TRACE(0.00)[0:+];
FROM_HAS_DN(0.00)[];
REPLYTO_DOM_NEQ_FROM_DOM(0.00)[];
ASN(0.00)[asn:8151, ipnet:201.116.0.0/18, country:MX]

Es ist mir unbegreiflich, weswegen z.B. so etwas: "From: “Mr. Chris” <"“@iztacalco.cdmx.gob.m>” nicht als Spam erkannt wird.

Was und wo kann ich denn da an der Konfig ändern?

Ich hatte vorher ein gmail account, da habe ich fast kein Spam erhalten.

Gruß
oxiz

oxiz

Ich hab nun noch etwas im Protokoll von rspamd entdeckt

wir haben 2 Spam-Mails mit dem gleichen Inhalt erhalten.
Allerdings besteht ein Unterschied in der Absender-IP.

Die erste Mail an die Domain beispiel1.de wurde abgewiesen.
Hier das Protokoll dazu:

ABUSE_SURBL (5.5) [ssdcx.s3.eu-central-1.amazonaws.com:url]
BAYES_SPAM (4.5) [100.00%]
MISSING_MID (2.5)
MISSING_MIME_VERSION (2)
IP_REPUTATION_SPAM (1.509586) [asn: 63949(0.37), country: SG(0.01), ip: 172.105.42.227(0.00)]
MIME_HEADER_CTYPE_ONLY (1.15)
R_BAD_CTE_7BIT (1.05) [7bit, utf8]
SUBJECT_HAS_CURRENCY (1)
MIME_HTML_ONLY (0.2)
RCVD_NO_TLS_LAST (0.1)
MX_GOOD (-0.01) []
RCPT_COUNT_ONE (0) [1]
R_DKIM_NA (0)
RCVD_COUNT_TWO (0) [2]
TO_DN_NONE (0)
TO_MATCH_ENVRCPT_ALL (0)
HAS_REPLYTO (0) [108dfubi@vp8ktvk58f9.afcs.be]
PREVIOUSLY_DELIVERED (0) [info@Beispiel1.de]
SUBJECT_NEEDS_ENCODING (0)
ASN (0) [asn:63949, ipnet:172.105.32.0/19, country:SG]
BCC (0)
RCPT_MAILCOW_DOMAIN (0) [Beispiel1.de]
R_SPF_DNSFAIL (0) [temporary DNS error]
ARC_NA (0)
FROM_HAS_DN (0)
RSPAMD_EMAILBL_FAIL (0) [108dfubi.vp8ktvk58f9.afcs.be:query timed out]
FROM_NEQ_ENVFROM (0) [108dfubi@l4c4bf3r08p.afcs.be, bounces@afcs.be]
MIME_TRACE (0) [0:~]
REPLYTO_DOM_NEQ_FROM_DOM (0)
FORGED_SENDER (0) [108dfubi@l4c4bf3r08p.afcs.be, bounces@afcs.be]
DMARC_DNSFAIL (0) [afcs.be : query timed out]
TAGGED_FROM (0) [42prqqyr7j845asp]
ARC_SIGNED (0) [yumeihomassage.de:s=dkim:i=1]

Die zweite Mail kam etwa 10min später an die Domain Beispiel2.de
Diese wurde nicht abgewiesen (no action)
Hier das Protokoll dazu:

GLOBAL_RCPT_WL (0) [info@Beispiel2.de]
R_DKIM_NA (0)
FROM_HAS_DN (0)
REPLYTO_DOM_NEQ_FROM_DOM (0)
MIME_TRACE (0) [0:~]
R_SPF_NEUTRAL (0) [?all]
FROM_NEQ_ENVFROM (0) [108b4y0o@hrn6a0b772z.afcs.be, bounces@afcs.be]
HAS_REPLYTO (0) [108b4y0o@5s1z61n6u38.afcs.be]
TAGGED_FROM (0) [s4p4858019bz2ai5]
ASN (0) [asn:63949, ipnet:172.104.96.0/19, country:SG]
ARC_SIGNED (0) [Beispiel2.de:s=dkim:i=1]

Wie ist das möglich?
Wo kann ich die Konfig für Beispiel2.de so ändern, dass dort spammails ebenfalls abgewiesen werden?

esackbauer

Also die IPs von denen du den Spam oben bekommen hast, hätten die DNSBL die ich verwende geblockt.
Mailcow verwendet standardmäßig nur Sorbs und interserver.net, siehe datei /opt/mailcow-dockerized/data/conf/rspamd/local.d/rbl.conf

Ich verwende den Spamfilter nicht von Mailcow sondern von der vorgeschalteten Sophos Firewall.
Dort verwende ich folgende DNSBL:
b.barracudacentral.org
zen.spamhaus.org
ix.dnsbl.manitu.net
spam.dnsbl.anonmails.de

D4niel

esackbauer Mailcow verwendet standardmäßig nur Sorbs und interserver.net, siehe datei /opt/mailcow-dockerized/data/conf/rspamd/local.d/rbl.conf

Mailcow verwendet auch Postscreen mit einigen der genannten Filterlisten. Die meisten IPs werden eigentlich schon geblockt, bevor sie rspamd überhaupt erreichen.

oxiz

Danke für die Info´s!

Ich bin da jetzt noch einmal tiefer eingetaucht und habe in einem Whitelist-Eintrag eine Wildcard gefunden (sie da so nicht hingehört…), die zu dem erhöhten Spamaufkommen bei der einen Domain geführt hatte.

Wie heißt es doch so schön:
Kaum macht man es richtig, schon funktioniert es.

Danke!