Mailfilter wie konfigurieren

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Norbert
Beiträge: 30
Registriert: Mo 28.11.2011, 12:11
Wohnort: Fürstenfeldbruck
Kontaktdaten:

Mailfilter wie konfigurieren

Beitrag von Norbert »

Hallo zusammen,

ich "kämpfe" jetzt seit einiger Zeit mit dem Mailfilter weil immer wieder Mails als [PROBABLY_SPAM] gekennzeichnet werden die es nicht. Andere werden geblockt obwohl die Mailadresse des Versenders in der Withelist ist und wieder andere sollen geblockt werden, werden es aber nicht.

Zur Konfiguration:

Der Empfang erfolgt über das Mailrelay auf einen eigenen Mailserver.

Ich habe z.B. den Mailversender abc.de. Hier werden viele Mails meistens korrekt zugestellt, einige wenige Mails werde gekennzeichnet mit [PROBABLY_SPAM], andere werden vollständig geblockt. Folgendes ist im Mailfilter erstellt:

Rang - Protokoll - Kathegorie - Aktion - Inhalt
1 - smtp - probably_spam - none - mail_from beinhaltet "abc.de"
2 - smtp - spam - block - any
3 - smtp - probably_spam - mark - any

Was mache ich hier falsch?

Auch der URL-Filter funktioniert nicht so wie ich es mir gerne wünsch. Ich bekomme leider immer wieder Spam von unterschiedlichen Versendern, immer mit dem gleichen Inhalt. Alles reiner Text und ein Link. Also habe ich im URL-Filter diesen Link n der Blacklist hinzugefügt in dem ich den Domannamen "domain.de" unterhalb von dem Fenster Blacklist eingetragen habe und hinzufügen anklicke. Die Domain tacht dann im Fenster der Blacklist auf. Leider werden die Mails mit dem Inhalt nicht geblockt.

Ich habe zwar das Wiki aufmerksam gelesen, finde aber leider nicht die richtigen einstellungen. Ein paar Beispieleinträge wären hier bestimmt recht hilfreich....

Kann mir hier jemand weiter helfen?

Grüße

Norbert

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

"mail_from" matcht auf das "MAIL FROM:" Command im SMTP-Dialog. Dieses enthält offenbar nicht den gleichen Eintrag, wie der "From:"-Header der Email. Das ist schlechter Stil seitens des Absenders.
Tauschen Sie doch einfach mal "mail_from"+"beinhaltet" gegen "Header" + "Feld: From" + "beinhaltet" und schauen, wie es sich verhält.

Zum URL-Filter:
Die korrekte Syntax wäre:

Code: Alles auswählen

*domain.com*

Norbert
Beiträge: 30
Registriert: Mo 28.11.2011, 12:11
Wohnort: Fürstenfeldbruck
Kontaktdaten:

Beitrag von Norbert »

Erik hat geschrieben:"mail_from" matcht auf das "MAIL FROM:" Command im SMTP-Dialog. Dieses enthält offenbar nicht den gleichen Eintrag, wie der "From:"-Header der Email. Das ist schlechter Stil seitens des Absenders.
Tauschen Sie doch einfach mal "mail_from"+"beinhaltet" gegen "Header" + "Feld: From" + "beinhaltet" und schauen, wie es sich verhält.

Zum URL-Filter:
Die korrekte Syntax wäre:

Code: Alles auswählen

*domain.com*
Habe ich mal eingestellt und werde es testen.

Wenn ich den Syntax *domain.com* in das Feld vom URL-Filter eintrage kommt die Meldung "Regulärer Ausdruck ist ungültig!" Es sind ausserdem stellenweise auch Mailadressen hinterlegt.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Hm... in der Tat möchte das Webinterface da gerne einen Regex, während das Backend mit der Sternchen-Syntax arbeitet. Danke für den Hinweis, wir werden das in der nächsten Version beheben.

Benutzeravatar
cjp
Beiträge: 39
Registriert: Di 27.12.2011, 16:05

Beitrag von cjp »

egal wie ich es versuche...

1 - smtp - spam - block - mail_from + beinhaltet "hugo@test.at"
header + beinhaltet "From" + "hugo@test.at"

die mailheader wurden überprüft und dementsprechend eingetragen aber weder das freischalten einzelner absender noch das blocken einzelner absender funktioniert.

gibt es eine möglichkeit die black und whitelist über ssh zu verwalten wie es auf anderen systemen üblich ist?
z.b.
/etc/smtp_blacklist

Code: Alles auswählen

from:hugo@test.at
from:willi@wunderlich.de
to:praktikant@firma.de
/etc/smtp_whitelist

Code: Alles auswählen

from:support@no-spam.de
to:erni@firma.de
was auch noch bedauerlicherweise hinzukommt:

über das mailadmin interface wo alle ein und ausgehenden nachrichten zu sehen sind gibt es die möglichkeit nach nachrichten zu suchen --> ok

will man nun eine einzelne nachricht erneut versenden weil der spamfilter falsch (oder noch nicht) konfiguriert ist wird immer nach der empfänger-mailadresse gefragt, trägt man die ein wird die mail versendet --> ok
was nicht schlau ist das sich der filter wieder zurückstellt und man erneut nach den nachrichten suchen muss um diese erneut zu versenden
mehrere nachrichten können nicht auf einmal versendet werden

Benutzeravatar
cjp
Beiträge: 39
Registriert: Di 27.12.2011, 16:05

Beitrag von cjp »

aktuell wird das problem für eine mailadresse mit einr portfilterregel gelöst:

Code: Alles auswählen

[mailserver_ip] --> external-interface --> smtp --> reject
funktioniert, nur ist das keine lösung

solange die spamfilterkonfiguration nicht astrein funktioniert ist es bedenklich die v11 bei einer größeren firma einzusetzen bzw. einen upgrade von v10 auf v11 durchzuführen!!!

ein paar beispiele im wiki oder hier im forum wären nicht schlecht, ich denke es ergeht nicht nur mir so.

um vorschläge wird gebeten

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Geben Sie dem admin-Benutzer mal bitte Mailfilter-Admin Berechtigungen, melden sich dann auf der SSH-Konsole an und führen aus: "mail archive get". Im Normalfall, steht die gerade versendete Testmail ganz unten. Ist dort die Spalte "Protokoll" leer? Wenn ja, konnte der Mailfilter die Email beim Empfang nicht parsen, dadurch das Protokoll-Feld nicht befüllen und dadurch matcht später auch kein Whitelist-Eintrag.
Im nächsten Release werden wir um solche kaputten Mails versuchen herum-zu-workarounden.

Benutzeravatar
cjp
Beiträge: 39
Registriert: Di 27.12.2011, 16:05

Beitrag von cjp »

das problem tritt weiterhin auf, bei dem befehl "mail archive get" wird überall das protokoll smtp angezeigt.

weiters gibt es immer noch massive probleme mit der whitelist des spamfilters.
z.b. ein absender wurde als ausnahme im spamfilter hinzugefügt, die mail wird jedoch als spam markiert und nicht weitergeleitet, die regeln welche hier im forum stehen habe ich schon alle probiert.

es wäre sehr hilfreich einige beispiele im wiki zu erklären.

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

lautet die Regel wirklich so?

Code: Alles auswählen

1 - smtp - spam - block - mail_from + beinhaltet	"hugo@test.at"
header + beinhaltet "From" + "hugo@test.at"	
Also wenn Sie alle Mails von dieser Absenderadresse blocken wollen versuchen Sie mal die Regel:

Protokoll: smtp
Kategorie: nullfilter
Aktion: block
+ Regel
Typ: header
Regel: beinhaltet
Header-Feld: from
Wert: @domain.de

Gruß Björn

R33p3r
Beiträge: 13
Registriert: Mi 18.06.2014, 11:46

Beitrag von R33p3r »

Wenn ich eine TLD blocken will wie z.B. .ru geht das so ???

Protokoll: smtp
Kategorie: nullfilter
Aktion: block
+ Regel
Typ: mail_from
Regel: beinhaltet
Wert: @*.*.ru

Antworten