Problem mit Whitelisting in rspamd

classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

Problem mit Whitelisting in rspamd

Frank Fiene
Moin!

Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie üblich sind die oft jenseits von Gut und Böse im Spam-Score.

Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen.

rspamdadm configdump liefert auch:

    whitelist {
        symbols {
            BLACKLIST_DKIM {
                description = "Mail comes from the whitelisted domain and has non-valid DKIM signature";
                weight = 2;
            }
            WHITELIST_SPF_DKIM {
                weight = -3;
                valid_spf = true;
                domains [
                    "amadeus.com",
                    "ctravelam.com",
                ]
                score = -6;
                valid_dkim = true;
                description = "Mail comes from the whitelisted domain and has valid SPF and DKIM policies";
            }
...


Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo:

[BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: 82.150.224.0/21(3.62), asn: 12888(2.90), country: DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org : 127.0.7.3;},FORGED_SENDER(0.30){[hidden email];[hidden email];},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, ipnet:82.150.224.0/21, country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){[hidden email];[hidden email];},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net : 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}])


Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig?

Nur in die Berechnung einbezogen wird meine Whitelist nicht!

Hilfe!



Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Whitelisting in rspamd

Carsten Rosenberg
-- Ups, resend to list

Hey,

die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){})

Viele Grüße

Carsten

On 09.01.19 09:18, Frank Fiene wrote:

> Moin!
>
> Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie üblich sind die oft jenseits von Gut und Böse im Spam-Score.
>
> Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen.
>
> rspamdadm configdump liefert auch:
>
>      whitelist {
>          symbols {
>              BLACKLIST_DKIM {
>                  description = "Mail comes from the whitelisted domain and has non-valid DKIM signature";
>                  weight = 2;
>              }
>              WHITELIST_SPF_DKIM {
>                  weight = -3;
>                  valid_spf = true;
>                  domains [
>                      "amadeus.com",
>                      "ctravelam.com",
>                  ]
>                  score = -6;
>                  valid_dkim = true;
>                  description = "Mail comes from the whitelisted domain and has valid SPF and DKIM policies";
>              }
> ...
>
>
> Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo:
>
> [BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: 82.150.224.0/21(3.62), asn: 12888(2.90), country: DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org : 127.0.7.3;},FORGED_SENDER(0.30){[hidden email];[hidden email];},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, ipnet:82.150.224.0/21, country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){[hidden email];[hidden email];},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net : 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}])
>
>
> Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig?
>
> Nur in die Berechnung einbezogen wird meine Whitelist nicht!
>
> Hilfe!
>
>
>
> Viele Grüße!
> Frank
>
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Whitelisting in rspamd

Frank Fiene
Ja, du hast natürlich Recht.

Hier noch eine Rückfrage:

Muss ich jetzt score oder weight benutzen?

Oder beides?

Muss dann beides negativ sein, macht ja mathematisch keinen Sinn. :-)


Viele Grüße! Frank


Am 09.01.2019 um 09:46 schrieb Carsten Rosenberg <[hidden email]>:

-- Ups, resend to list

Hey,

die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){})

Viele Grüße

Carsten

On 09.01.19 09:18, Frank Fiene wrote:
Moin!
Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie üblich sind die oft jenseits von Gut und Böse im Spam-Score.
Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen.
rspamdadm configdump liefert auch:
    whitelist {
        symbols {
            BLACKLIST_DKIM {
                description = "Mail comes from the whitelisted domain and has non-valid DKIM signature";
                weight = 2;
            }
            WHITELIST_SPF_DKIM {
                weight = -3;
                valid_spf = true;
                domains [
                    "amadeus.com",
                    "ctravelam.com",
                ]
                score = -6;
                valid_dkim = true;
                description = "Mail comes from the whitelisted domain and has valid SPF and DKIM policies";
            }
...
Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo:
[BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: 82.150.224.0/21(3.62), asn: 12888(2.90), country: DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org : 127.0.7.3;},FORGED_SENDER(0.30){[hidden email];[hidden email];},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, ipnet:82.150.224.0/21, country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){[hidden email];[hidden email];},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net : 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}])
Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig?
Nur in die Berechnung einbezogen wird meine Whitelist nicht!
Hilfe!
Viele Grüße!
Frank

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Whitelisting in rspamd

Ralph Meyer
In reply to this post by Frank Fiene

> Moin!

Hallo,
 
> Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie
> üblich sind die oft jenseits von Gut und Böse im Spam-Score.
>
> Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und
> angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen.

Schau dir doch mal multimap an. Wahlweise mit "action" oder "score".

https://rspamd.com/doc/modules/multimap.html

Ralph
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Whitelisting in rspamd

Frank Fiene
Ja, die kenne ich und nutze sie für File Extension Blocking.

Ich würde mir mit dem from-Filter email:domain eine Map SENDER_FROM_WHITELIST_DOMAIN erzeugen, richtig?

Dann kann ich aber nicht mehr SPF, DKIM oder DMARC dazu abhängig machen, oder?


Viele Grüße! Frank


Am 09.01.2019 um 11:16 schrieb Ralph Meyer <[hidden email]>:


Moin!

Hallo,

Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie
üblich sind die oft jenseits von Gut und Böse im Spam-Score.

Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und
angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen.

Schau dir doch mal multimap an. Wahlweise mit "action" oder "score".

https://rspamd.com/doc/modules/multimap.html

Ralph

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Whitelisting in rspamd

Ralph Meyer

> Ja, die kenne ich und nutze sie für File Extension Blocking.
>
> Ich würde mir mit dem from-Filter email:domain eine Map
> SENDER_FROM_WHITELIST_DOMAIN erzeugen, richtig?
>
> Dann kann ich aber nicht mehr SPF, DKIM oder DMARC dazu abhängig machen, oder?

Mit composites ? Würde ich zumindest probieren. Vielleicht gibt es auch einen
einfacheren Weg...

Ralph
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Whitelisting in rspamd

Carsten Rosenberg
In reply to this post by Frank Fiene
Hey,

weight in whitelist_groups.conf ist hier richtig. Der score in
whitelist.conf ist quasi der default und wird vom weight in der
whitelist group überschrieben.

VG c

On 09.01.19 10:58, Frank Fiene wrote:

> Ja, du hast natürlich Recht.
>
> Hier noch eine Rückfrage:
>
> Muss ich jetzt score oder weight benutzen?
>
> Oder beides?
>
> Muss dann beides negativ sein, macht ja mathematisch keinen Sinn. :-)
>
>
> Viele Grüße! Frank
>
>
>> Am 09.01.2019 um 09:46 schrieb Carsten Rosenberg <[hidden email]
>> <mailto:[hidden email]>>:
>>
>> -- Ups, resend to list
>>
>> Hey,
>>
>> die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){})
>>
>> Viele Grüße
>>
>> Carsten
>>
>> On 09.01.19 09:18, Frank Fiene wrote:
>>> Moin!
>>> Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu
>>> bekommen, wie üblich sind die oft jenseits von Gut und Böse im
>>> Spam-Score.
>>> Ich habe also die Datei scores.d/whitelist_group.conf nach local.d
>>> kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM
>>> und SPF passen.
>>> rspamdadm configdump liefert auch:
>>>     whitelist {
>>>         symbols {
>>>             BLACKLIST_DKIM {
>>>                 description = "Mail comes from the whitelisted domain
>>> and has non-valid DKIM signature";
>>>                 weight = 2;
>>>             }
>>>             WHITELIST_SPF_DKIM {
>>>                 weight = -3;
>>>                 valid_spf = true;
>>>                 domains [
>>>                     "amadeus.com <http://amadeus.com>",
>>>                     "ctravelam.com <http://ctravelam.com>",
>>>                 ]
>>>                 score = -6;
>>>                 valid_dkim = true;
>>>                 description = "Mail comes from the whitelisted domain
>>> and has valid SPF and DKIM policies";
>>>             }
>>> ...
>>> Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer
>>> noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo:
>>> [BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet:
>>> 82.150.224.0/21(3.62), asn: 12888(2.90), country:
>>> DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com
>>> <http://amadeus.com>;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org
>>> <http://list.dnswl.org> :
>>> 127.0.7.3;},FORGED_SENDER(0.30){[hidden email]
>>> <mailto:[hidden email]>;[hidden email]
>>> <mailto:[hidden email]>;},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888,
>>> ipnet:82.150.224.0/21,
>>> country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){[hidden email]
>>> <mailto:[hidden email]>;[hidden email]
>>> <mailto:[hidden email]>;},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net
>>> <http://rep.mailspike.net> :
>>> 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}])
>>> Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig?
>>> Nur in die Berechnung einbezogen wird meine Whitelist nicht!
>>> Hilfe!
>>> Viele Grüße!
>>> Frank
>
> Viele Grüße!
> i.A. Frank Fiene
> --
> Frank Fiene
> IT-Security Manager VEKA Group
>
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: [hidden email] <mailto:[hidden email]>
> http://www.veka.com
>
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
>
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
>
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
> Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster
>
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Whitelisting in rspamd

Frank Fiene
OK,

Verständnisfrage:

Wie wirkt sich dann die weight auf den Gesamtscore aus?
Ich hätte jetzt von Namen her mit einem Faktor gerechnet, aber wenn es keinen Score gibt, was nützt einem dann ein Faktor?


Frank

Am 09.01.2019 um 12:42 schrieb Carsten Rosenberg <[hidden email]>:

Hey,

weight in whitelist_groups.conf ist hier richtig. Der score in whitelist.conf ist quasi der default und wird vom weight in der whitelist group überschrieben.

VG c

On 09.01.19 10:58, Frank Fiene wrote:
Ja, du hast natürlich Recht.
Hier noch eine Rückfrage:
Muss ich jetzt score oder weight benutzen?
Oder beides?
Muss dann beides negativ sein, macht ja mathematisch keinen Sinn. :-)
Viele Grüße! Frank
Am 09.01.2019 um 09:46 schrieb Carsten Rosenberg <[hidden email] <[hidden email]>>:

-- Ups, resend to list

Hey,

die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){})

Viele Grüße

Carsten

On 09.01.19 09:18, Frank Fiene wrote:
Moin!
Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie üblich sind die oft jenseits von Gut und Böse im Spam-Score.
Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen.
rspamdadm configdump liefert auch:
    whitelist {
        symbols {
            BLACKLIST_DKIM {
                description = "Mail comes from the whitelisted domain and has non-valid DKIM signature";
                weight = 2;
            }
            WHITELIST_SPF_DKIM {
                weight = -3;
                valid_spf = true;
                domains [
                    "amadeus.com <http://amadeus.com>",
                    "ctravelam.com <http://ctravelam.com>",
                ]
                score = -6;
                valid_dkim = true;
                description = "Mail comes from the whitelisted domain and has valid SPF and DKIM policies";
            }
...
Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo:
[BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: 82.150.224.0/21(3.62), asn: 12888(2.90), country: DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com <http://amadeus.com>;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org <http://list.dnswl.org> : 127.0.7.3;},FORGED_SENDER(0.30){[hidden email] <[hidden email]>;[hidden email] <[hidden email]>;},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, ipnet:82.150.224.0/21, country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){[hidden email] <[hidden email]>;[hidden email] <[hidden email]>;},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net <http://rep.mailspike.net> : 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}])
Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig?
Nur in die Berechnung einbezogen wird meine Whitelist nicht!
Hilfe!
Viele Grüße!
Frank
Viele Grüße!
i.A. Frank Fiene
--
Frank Fiene
IT-Security Manager VEKA Group
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email] <[hidden email]>
http://www.veka.com
PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW
VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Whitelisting in rspamd

Carsten Rosenberg
Bei verschiedenen Plugins z.B. MimeTypes ergibt sich die Gesamtpunktzahl
aus gesetzten (dynamischen) score aus dem Plugin und dem weight vom
Symbol. Dort ist dann score * weight = Gesamtpunktzahl.

Beim Whitelist Plugin scheint weight den score aus der Plugin Config zu
überschreiben.

VG c

On 09.01.19 15:03, Frank Fiene wrote:

> OK,
>
> Verständnisfrage:
>
> Wie wirkt sich dann die weight auf den Gesamtscore aus?
> Ich hätte jetzt von Namen her mit einem Faktor gerechnet, aber wenn es
> keinen Score gibt, was nützt einem dann ein Faktor?
>
>
> Frank
>
>> Am 09.01.2019 um 12:42 schrieb Carsten Rosenberg <[hidden email]
>> <mailto:[hidden email]>>:
>>
>> Hey,
>>
>> weight in whitelist_groups.conf ist hier richtig. Der score in
>> whitelist.conf ist quasi der default und wird vom weight in der
>> whitelist group überschrieben.
>>
>> VG c
>>
>> On 09.01.19 10:58, Frank Fiene wrote:
>>> Ja, du hast natürlich Recht.
>>> Hier noch eine Rückfrage:
>>> Muss ich jetzt score oder weight benutzen?
>>> Oder beides?
>>> Muss dann beides negativ sein, macht ja mathematisch keinen Sinn. :-)
>>> Viele Grüße! Frank
>>>> Am 09.01.2019 um 09:46 schrieb Carsten Rosenberg <[hidden email]
>>>> <mailto:[hidden email]> <mailto:[hidden email]>>:
>>>>
>>>> -- Ups, resend to list
>>>>
>>>> Hey,
>>>>
>>>> die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){})
>>>>
>>>> Viele Grüße
>>>>
>>>> Carsten
>>>>
>>>> On 09.01.19 09:18, Frank Fiene wrote:
>>>>> Moin!
>>>>> Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu
>>>>> bekommen, wie üblich sind die oft jenseits von Gut und Böse im
>>>>> Spam-Score.
>>>>> Ich habe also die Datei scores.d/whitelist_group.conf nach local.d
>>>>> kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM
>>>>> und SPF passen.
>>>>> rspamdadm configdump liefert auch:
>>>>>     whitelist {
>>>>>         symbols {
>>>>>             BLACKLIST_DKIM {
>>>>>                 description = "Mail comes from the whitelisted
>>>>> domain and has non-valid DKIM signature";
>>>>>                 weight = 2;
>>>>>             }
>>>>>             WHITELIST_SPF_DKIM {
>>>>>                 weight = -3;
>>>>>                 valid_spf = true;
>>>>>                 domains [
>>>>>                     "amadeus.com <http://amadeus.com>
>>>>> <http://amadeus.com>",
>>>>>                     "ctravelam.com <http://ctravelam.com>
>>>>> <http://ctravelam.com>",
>>>>>                 ]
>>>>>                 score = -6;
>>>>>                 valid_dkim = true;
>>>>>                 description = "Mail comes from the whitelisted
>>>>> domain and has valid SPF and DKIM policies";
>>>>>             }
>>>>> ...
>>>>> Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden
>>>>> immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM
>>>>> nirgendwo:
>>>>> [BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet:
>>>>> 82.150.224.0/21(3.62), asn: 12888(2.90), country:
>>>>> DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com
>>>>> <http://amadeus.com>
>>>>> <http://amadeus.com>;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org
>>>>> <http://list.dnswl.org> <http://list.dnswl.org> :
>>>>> 127.0.7.3;},FORGED_SENDER(0.30){[hidden email]
>>>>> <mailto:[hidden email]>
>>>>> <mailto:[hidden email]>;[hidden email]
>>>>> <mailto:[hidden email]>
>>>>> <mailto:[hidden email]>;},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888,
>>>>> ipnet:82.150.224.0/21,
>>>>> country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){[hidden email]
>>>>> <mailto:[hidden email]>
>>>>> <mailto:[hidden email]>;[hidden email]
>>>>> <mailto:[hidden email]>
>>>>> <mailto:[hidden email]>;},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net
>>>>> <http://rep.mailspike.net> <http://rep.mailspike.net> :
>>>>> 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}])
>>>>> Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig?
>>>>> Nur in die Berechnung einbezogen wird meine Whitelist nicht!
>>>>> Hilfe!
>>>>> Viele Grüße!
>>>>> Frank
>>> Viele Grüße!
>>> i.A. Frank Fiene
>>> --
>>> Frank Fiene
>>> IT-Security Manager VEKA Group
>>> Fon: +49 2526 29-6200
>>> Fax: +49 2526 29-16-6200
>>> mailto: [hidden email] <mailto:[hidden email]> <mailto:[hidden email]>
>>> http://www.veka.com
>>> PGP-ID: 62112A51
>>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>>> Threema: VZK5NDWW
>>> VEKA AG
>>> Dieselstr. 8
>>> 48324 Sendenhorst
>>> Deutschland/Germany
>>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>>> Werner Schuler,
>>> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich
>>> Weimer
>>> HRB 8282 AG Münster/District Court of Münster
>
> Viele Grüße!
> i.A. Frank Fiene
> --
> Frank Fiene
> IT-Security Manager VEKA Group
>
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: [hidden email] <mailto:[hidden email]>
> http://www.veka.com
>
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
>
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
>
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
> Werner Schuler,
> Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
> HRB 8282 AG Münster/District Court of Münster
>
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Whitelisting in rspamd

Frank Fiene
OK, das ist also nicht ganz konsistent.

Das kommt davon wenn man zuviel darüber nachdenkt. :-D


Danke!


Viele Grüße! Frank

Am 09.01.2019 um 15:25 schrieb Carsten Rosenberg <[hidden email]>:

Bei verschiedenen Plugins z.B. MimeTypes ergibt sich die Gesamtpunktzahl aus gesetzten (dynamischen) score aus dem Plugin und dem weight vom Symbol. Dort ist dann score * weight = Gesamtpunktzahl.

Beim Whitelist Plugin scheint weight den score aus der Plugin Config zu überschreiben.

VG c

On 09.01.19 15:03, Frank Fiene wrote:
OK,
Verständnisfrage:
Wie wirkt sich dann die weight auf den Gesamtscore aus?
Ich hätte jetzt von Namen her mit einem Faktor gerechnet, aber wenn es keinen Score gibt, was nützt einem dann ein Faktor?
Frank
Am 09.01.2019 um 12:42 schrieb Carsten Rosenberg <[hidden email] <[hidden email]>>:

Hey,

weight in whitelist_groups.conf ist hier richtig. Der score in whitelist.conf ist quasi der default und wird vom weight in der whitelist group überschrieben.

VG c

On 09.01.19 10:58, Frank Fiene wrote:
Ja, du hast natürlich Recht.
Hier noch eine Rückfrage:
Muss ich jetzt score oder weight benutzen?
Oder beides?
Muss dann beides negativ sein, macht ja mathematisch keinen Sinn. :-)
Viele Grüße! Frank
Am 09.01.2019 um 09:46 schrieb Carsten Rosenberg <[hidden email] <[hidden email]> <[hidden email]>>:

-- Ups, resend to list

Hey,

die Mails scheinen nicht DKIM signiert zu sein (R_DKIM_NA(0.00){})

Viele Grüße

Carsten

On 09.01.19 09:18, Frank Fiene wrote:
Moin!
Ich versuche verzweifelt, eine Reiseagentur in eine Whitelist zu bekommen, wie üblich sind die oft jenseits von Gut und Böse im Spam-Score.
Ich habe also die Datei scores.d/whitelist_group.conf nach local.d kopiert und angepasst. Vorher habe ich überprüft, ob bei denen DKIM und SPF passen.
rspamdadm configdump liefert auch:
    whitelist {
        symbols {
            BLACKLIST_DKIM {
                description = "Mail comes from the whitelisted domain and has non-valid DKIM signature";
                weight = 2;
            }
            WHITELIST_SPF_DKIM {
                weight = -3;
                valid_spf = true;
                domains [
                    "amadeus.com <http://amadeus.com> <http://amadeus.com>",
                    "ctravelam.com <http://ctravelam.com> <http://ctravelam.com>",
                ]
                score = -6;
                valid_dkim = true;
                description = "Mail comes from the whitelisted domain and has valid SPF and DKIM policies";
            }
...
Irgendwie ist das Rspamd aber herzlich egal, denn Mails werden immer noch abgewiesen und ich sehe das Symbol WHITELIST_SPF_DKIM nirgendwo:
[BAYES_SPAM(5.10){100.00%;},IP_SCORE(2.75){ip: (7.25), ipnet: 82.150.224.0/21(3.62), asn: 12888(2.90), country: DE(-0.02);},SUBJ_ALL_CAPS(2.33){31;},FROM_EXCESS_BASE64(1.50){},SUBJ_EXCESS_BASE64(1.50){},URI_COUNT_ODD(1.00){5;},DMARC_POLICY_ALLOW(-0.50){amadeus.com <http://amadeus.com> <http://amadeus.com>;none;},RCVD_IN_DNSWL_HI(-0.50){79.225.150.82.list.dnswl.org <http://list.dnswl.org> <http://list.dnswl.org> : 127.0.7.3;},FORGED_SENDER(0.30){[hidden email] <[hidden email]> <[hidden email]>;[hidden email] <[hidden email]> <[hidden email]>;},R_SPF_ALLOW(-0.20){+ip4:82.150.225.79;},MIME_GOOD(-0.10){multipart/alternative;text/plain;},ARC_NA(0.00){},ASN(0.00){asn:12888, ipnet:82.150.224.0/21, country:DE;},FROM_HAS_DN(0.00){},FROM_NEQ_ENVFROM(0.00){[hidden email] <[hidden email]> <[hidden email]>;[hidden email] <[hidden email]> <[hidden email]>;},MIME_TRACE(0.00){0:+;1:+;},NEURAL_SPAM(0.00){1.000;0;},RCPT_COUNT_THREE(0.00){3;},RCVD_COUNT_TWO(0.00){2;},RCVD_TLS_LAST(0.00){},RWL_MAILSPIKE_POSSIBLE(0.00){79.225.150.82.rep.mailspike.net <http://rep.mailspike.net> <http://rep.mailspike.net> : 127.0.0.17;},R_DKIM_NA(0.00){},TO_DN_NONE(0.00){},TO_MATCH_ENVRCPT_SOME(0.00){}])
Anscheinend hätte ich auch das ganze in DMARC nutzen, können, richtig?
Nur in die Berechnung einbezogen wird meine Whitelist nicht!
Hilfe!
Viele Grüße!
Frank
Viele Grüße!
i.A. Frank Fiene
--
Frank Fiene
IT-Security Manager VEKA Group
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email] <[hidden email]> <[hidden email]>
http://www.veka.com
PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW
VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster
Viele Grüße!
i.A. Frank Fiene
--
Frank Fiene
IT-Security Manager VEKA Group
Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email] <[hidden email]>
http://www.veka.com
PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW
VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany
Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Viele Grüße!
i.A. Frank Fiene
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster