Hallo zusammen,
täglich kommen bei meinen User ca. 5 Mails mit Sparkasse Spam bzw. Pishing an. Mein rspamd lässt viele davon leider durch.
Was kann kann ich ändern bzw. wie Abhilfe leisten?
So zeigt rspamd dies über das Webinterface an: Symbols
Sort by:
*RSPAMD_URIBL* (4.5) [yomegosmr.com:url] *RECEIVED_SPAMHAUS_XBL* (3) [92.80.251.71:received] *OLD_X_MAILER* (2) *AUTH_NA* (1) *R_MIXED_CHARSET* (0.833333) [subject] *MV_CASE* (0.5) *MIME_HTML_ONLY* (0.2) *RCVD_NO_TLS_LAST* (0.1) *FROM_HAS_DN* (0) *TO_DN_NONE* (0) *ARC_NA* (0) *RCVD_VIA_SMTP_AUTH* (0) *RCVD_COUNT_TWO* (0) [2] *RECEIVED_SPAMHAUS_PBL* (0) [92.80.251.71:received] *R_SPF_NA* (0) [no SPF record] *MIME_TRACE* (0) [0:~] *TO_MATCH_ENVRCPT_ALL* (0) *FROM_EQ_ENVFROM* (0) *DMARC_NA* (0) [carsystem.co.rs] *MID_RHS_MATCH_FROM* (0) *GREYLIST* (0) [pass,body] *RCPT_COUNT_ONE* (0) [1] *R_DKIM_NA* (0) *ASN* (0) [asn:203877, ipnet:185.102.236.0/22, country:RS]
*PREVIOUSLY_DELIVERED* (0) [xxx@xxx.de]
subject = Wir ändern unsere Verfahren oder Sparkasse Sicherheitshinweis
Gruß
Andreas
Am 09.11.21 um 16:45 schrieb Andreas Reschke:
Hallo zusammen,
täglich kommen bei meinen User ca. 5 Mails mit Sparkasse Spam bzw. Pishing an. Mein rspamd lässt viele davon leider durch.
Was kann kann ich ändern bzw. wie Abhilfe leisten?
So zeigt rspamd dies über das Webinterface an: Symbols
Sort by:
*RSPAMD_URIBL* (4.5) [yomegosmr.com:url] *RECEIVED_SPAMHAUS_XBL* (3) [92.80.251.71:received] *OLD_X_MAILER* (2) *AUTH_NA* (1) *R_MIXED_CHARSET* (0.833333) [subject] *MV_CASE* (0.5) *MIME_HTML_ONLY* (0.2) *RCVD_NO_TLS_LAST* (0.1) *FROM_HAS_DN* (0) *TO_DN_NONE* (0) *ARC_NA* (0) *RCVD_VIA_SMTP_AUTH* (0) *RCVD_COUNT_TWO* (0) [2] *RECEIVED_SPAMHAUS_PBL* (0) [92.80.251.71:received] *R_SPF_NA* (0) [no SPF record] *MIME_TRACE* (0) [0:~] *TO_MATCH_ENVRCPT_ALL* (0) *FROM_EQ_ENVFROM* (0) *DMARC_NA* (0) [carsystem.co.rs] *MID_RHS_MATCH_FROM* (0) *GREYLIST* (0) [pass,body] *RCPT_COUNT_ONE* (0) [1] *R_DKIM_NA* (0) *ASN* (0) [asn:203877, ipnet:185.102.236.0/22, country:RS]
*PREVIOUSLY_DELIVERED* (0) [xxx@xxx.de]
subject = Wir ändern unsere Verfahren oder Sparkasse Sicherheitshinweis
Gruß
Andreas
Kann ich dir natuerlich nicht garantieren aber clamav-milter mit
https://sanesecurity.com/usage/signatures/
war da eigentlich immer ganz gut ansonsten besser mal auf der rspamd liste fragen mit Beispielen , oder eben an ein paar parameter drehen
On 09.11.21 18:23, Robert Schetterer wrote:
Am 09.11.21 um 16:45 schrieb Andreas Reschke:
Hallo zusammen,
täglich kommen bei meinen User ca. 5 Mails mit Sparkasse Spam bzw. Pishing an. Mein rspamd lässt viele davon leider durch.
Was kann kann ich ändern bzw. wie Abhilfe leisten?
So zeigt rspamd dies über das Webinterface an: Symbols
Sort by:
*RSPAMD_URIBL* (4.5) [yomegosmr.com:url] *RECEIVED_SPAMHAUS_XBL* (3) [92.80.251.71:received] *OLD_X_MAILER* (2) *AUTH_NA* (1) *R_MIXED_CHARSET* (0.833333) [subject] *MV_CASE* (0.5) *MIME_HTML_ONLY* (0.2) *RCVD_NO_TLS_LAST* (0.1) *FROM_HAS_DN* (0) *TO_DN_NONE* (0) *ARC_NA* (0) *RCVD_VIA_SMTP_AUTH* (0) *RCVD_COUNT_TWO* (0) [2] *RECEIVED_SPAMHAUS_PBL* (0) [92.80.251.71:received] *R_SPF_NA* (0) [no SPF record] *MIME_TRACE* (0) [0:~] *TO_MATCH_ENVRCPT_ALL* (0) *FROM_EQ_ENVFROM* (0) *DMARC_NA* (0) [carsystem.co.rs] *MID_RHS_MATCH_FROM* (0) *GREYLIST* (0) [pass,body] *RCPT_COUNT_ONE* (0) [1] *R_DKIM_NA* (0) *ASN* (0) [asn:203877, ipnet:185.102.236.0/22, country:RS]
*PREVIOUSLY_DELIVERED* (0) [xxx@xxx.de]
subject = Wir ändern unsere Verfahren oder Sparkasse Sicherheitshinweis
Gruß
Andreas
Kann ich dir natuerlich nicht garantieren aber clamav-milter mit
https://sanesecurity.com/usage/signatures/
war da eigentlich immer ganz gut ansonsten besser mal auf der rspamd liste fragen mit Beispielen , oder eben an ein paar parameter drehen
Moin,
Sanesecurity und Securiteinfo als extra Signaturen für ClamAV kann ich auch nur empfehlen.
Für die Sparkassen Spams bzw für alle Spams mit etwas mehr Text, macht sich anlernen im Bayes und Fuzzy ganz gut.
Vor allem Fuzzy solltest du dir anschauen: https://rspamd.com/doc/workers/fuzzy_storage.html#configuration https://rspamd.com/doc/modules/fuzzy_check.html
Wenn du danach die Mails mit einer hohen Gewichtung anlernst, bekommst du schnell eine gute Erkennung:
rspamc -f 1 -w 50 fuzzy_add /path/to/spammail
Bei deinem Beispiel könntest du auch eine Composite Rule bauen:
https://rspamd.com/doc/configuration/composites.html
z.B.
SPK_SPAM { expression = "RSPAMD_URIBL & RECEIVED_SPAMHAUS_XBL"; score = 20; policy = "leave"; description = "Sparkassen Spam" }
Oder dir auch die force_actions angucken, die vom matching ähnlich funktionieren.
Viele Grüße
Carsten
Am 2021-11-09 20:00, schrieb Carsten Rosenberg:
Für die Sparkassen Spams bzw für alle Spams mit etwas mehr Text, macht sich anlernen im Bayes und Fuzzy ganz gut.
Vor allem Fuzzy solltest du dir anschauen: https://rspamd.com/doc/workers/fuzzy_storage.html#configuration https://rspamd.com/doc/modules/fuzzy_check.html
Das mit dem fuzzy check hört sich interessant an, wollte ich längst mal aktivieren, hab aber immer aufgegeben weil ich die Doku nicht verstehe. Gibts da irgendwo eine idiotensichere Anleitung?
Wenn ich das richtig sehe gibt es da 2 Module welche konfiguriert werden müssen, 1. den Teil der die Hashes einsammelt, und 2 den Teil der die Prüfungen macht. Richtig?
Gibts da ein autolearn wie bei Bayes? Wie aktiviert man das?
Wie genau müssen die Konfig-Files dafür aussehen? Muss ich die im 1. Link genannte Sqlite-DB von Hand anlegen (wenn ja wie?) oder macht er das automatisch? Ich kapiers einfach nicht.
Jochen
Wir machen die mit einem Dutzend Regeln in den Header-checks von Postfix alle weg.
Gruss,
Ludi
Von: postfix-users postfix-users-bounces+ludicree=gmail.com@de.postfix.org Im Auftrag von Andreas Reschke Gesendet: Dienstag, 9. November 2021 16:45 An: postfix-users@de.postfix.org Betreff: Sparkassenspam
Hallo zusammen,
täglich kommen bei meinen User ca. 5 Mails mit Sparkasse Spam bzw. Pishing an. Mein rspamd lässt viele davon leider durch.
Was kann kann ich ändern bzw. wie Abhilfe leisten?
So zeigt rspamd dies über das Webinterface an: Symbols
Sort by:
RSPAMD_URIBL (4.5) [yomegosmr.com:url] RECEIVED_SPAMHAUS_XBL (3) [92.80.251.71:received] OLD_X_MAILER (2) AUTH_NA (1) R_MIXED_CHARSET (0.833333) [subject] MV_CASE (0.5) MIME_HTML_ONLY (0.2) RCVD_NO_TLS_LAST (0.1) FROM_HAS_DN (0) TO_DN_NONE (0) ARC_NA (0) RCVD_VIA_SMTP_AUTH (0) RCVD_COUNT_TWO (0) [2] RECEIVED_SPAMHAUS_PBL (0) [92.80.251.71:received] R_SPF_NA (0) [no SPF record] MIME_TRACE (0) [0:~] TO_MATCH_ENVRCPT_ALL (0) FROM_EQ_ENVFROM (0) DMARC_NA (0) [carsystem.co.rs] MID_RHS_MATCH_FROM (0) GREYLIST (0) [pass,body] RCPT_COUNT_ONE (0) [1] R_DKIM_NA (0) ASN (0) [asn:203877, ipnet:185.102.236.0/22, country:RS]
PREVIOUSLY_DELIVERED (0) [xxx@xxx.de mailto:xxx@xxx.de ]
subject = Wir ändern unsere Verfahren oder Sparkasse Sicherheitshinweis
Gruß
Andreas
participants (5)
-
Andreas Reschke -
Carsten Rosenberg -
J. Fahrner -
Ludi Cree -
Robert Schetterer