Rspamd rejects

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

Rspamd rejects

Frank Fiene
N‘Abend!

Ich hätte da auch noch mal eine Frage an die Rspamd-Experten.

Ich blockiere recht früh mit einem Wert von 8 anstatt bei 6 in den Header zu schreiben und bei 15 zu rejecten.

Das funktioniert eigentlich gut.

Jezt habe ich häufiger das Problem, dass SBL_URIBL (also surbl.org) bei einigen Mails mit 6.5 reinschlägt und wenn ich auf surbl.org die Domain überprüfe, die da angemeckert wird, sagt die Liste, dass die Domain da gar nicht gelistet sei.

Dann schlägt noch BAYES an und dann ist die Mail schon weit über dem Reject-Wert.
Natürlich hat der Absender (heute ein paar aus Indien) weder SPF noch DKIM oder DMARC konfiguriert, um seinen Score zu verringern. :-(

Stimmt was mit surbl.org nicht oder ist eine so niedrige Schwelle eine schlechte Idee.
Ich blockiere lieber als wenn die Mail beim Empfänger in einem Ordner blind gelöscht werden wenn die Mailbox voll ist.

Hilfe!


Viele Grüße! Frank
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com
PGP-ID: 20419C64
PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD  EAB5 BBB4 435F 2041 9C64

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster
Reply | Threaded
Open this post in threaded view
|

Re: Rspamd rejects

Carsten Rosenberg
Welche Domain prüfst du? Die die in den Symbol Infos steht?

Im Allgemeinen finde ich 8 sehr niedrig. Ich würde vermuten, dass zu
wenig Rspamd Module aktiv sind. (Neural, IPScore, MXCheck etc ?). Ggf
schau mal mit debugging nach. Der MXCheck möchte z.B. connects auf Port
25 machen.

Die 15 Punkte im Standard sind nach meiner Erfahrung eigentlich ein
guter Wert.

> Ich blockiere lieber als wenn die Mail beim Empfänger in einem Ordner blind gelöscht werden wenn die Mailbox voll ist.

Mailbox voll hat jetzt aber weniger mit dem Rspamd zu tun ;)

VG c

On 21.12.18 16:50, Frank fiene wrote:

> N‘Abend!
>
> Ich hätte da auch noch mal eine Frage an die Rspamd-Experten.
>
> Ich blockiere recht früh mit einem Wert von 8 anstatt bei 6 in den Header zu schreiben und bei 15 zu rejecten.
>
> Das funktioniert eigentlich gut.
>
> Jezt habe ich häufiger das Problem, dass SBL_URIBL (also surbl.org) bei einigen Mails mit 6.5 reinschlägt und wenn ich auf surbl.org die Domain überprüfe, die da angemeckert wird, sagt die Liste, dass die Domain da gar nicht gelistet sei.
>
> Dann schlägt noch BAYES an und dann ist die Mail schon weit über dem Reject-Wert.
> Natürlich hat der Absender (heute ein paar aus Indien) weder SPF noch DKIM oder DMARC konfiguriert, um seinen Score zu verringern. :-(
>
> Stimmt was mit surbl.org nicht oder ist eine so niedrige Schwelle eine schlechte Idee.
> Ich blockiere lieber als wenn die Mail beim Empfänger in einem Ordner blind gelöscht werden wenn die Mailbox voll ist.
>
> Hilfe!
>
>
> Viele Grüße! Frank
>
Reply | Threaded
Open this post in threaded view
|

Re: Rspamd rejects

Frank Fiene

> Am 21.12.2018 um 20:42 schrieb Carsten Rosenberg <[hidden email]>:
>
> Welche Domain prüfst du? Die die in den Symbol Infos steht?

Die, die direkt hinter URIBL_SBL in Klammern steht, ja.

> Im Allgemeinen finde ich 8 sehr niedrig. Ich würde vermuten, dass zu wenig Rspamd Module aktiv sind. (Neural, IPScore, MXCheck etc ?). Ggf schau mal mit debugging nach. Der MXCheck möchte z.B. connects auf Port 25 machen.

Ubuntu Standard-Konfig + 2 x AV.
IPScore ist aber dabei, hab ich schon gesehen.

> Die 15 Punkte im Standard sind nach meiner Erfahrung eigentlich ein guter Wert.
>
>> Ich blockiere lieber als wenn die Mail beim Empfänger in einem Ordner blind gelöscht werden wenn die Mailbox voll ist.
>
> Mailbox voll hat jetzt aber weniger mit dem Rspamd zu tun ;)

Das ist war, wir haben Quotas im Backend und in einen Spam-Ordner schaut niemand rein, es sei denn, die Mailbox ist voll. Und dann heißt es CTRL-A (oder Cmd-A) und <delete>.
Reply | Threaded
Open this post in threaded view
|

Re: Rspamd rejects

Frank Fiene
Ich habe es mal übersichtlich gemacht:

Das veka.in muss im zitierten Text gewesen sein, dass ist unsere Domain in Indien.


[URIBL_SBL(6.50){veka.in;},
BAYES_SPAM(5.10){100.00%;},
AUTH_NA(1.00){},
IP_SCORE(0.55){ip: (2.06), ipnet: 46.4.0.0/16(0.55), asn: 24940(0.18), country: DE(-0.02);},
MIME_GOOD(-0.10){multipart/related;multipart/alternative;text/plain;},
RCVD_NO_TLS_LAST(0.10){},

ARC_NA(0.00){},
ASN(0.00){asn:24940, ipnet:46.4.0.0/16, country:DE;},
DMARC_NA(0.00){elumatecindia.com;},
FROM_EQ_ENVFROM(0.00){},
FROM_HAS_DN(0.00){},
MID_RHS_MATCH_FROM(0.00){},
MIME_TRACE(0.00){0:+;1:+;2:+;},
NEURAL_SPAM(0.00){1.000;0;},
RCPT_COUNT_THREE(0.00){4;},
RCVD_COUNT_FIVE(0.00){5;},
RCVD_IN_DNSWL_NONE(0.00){43.4.4.46.list.dnswl.org : 127.0.10.0;},
RCVD_VIA_SMTP_AUTH(0.00){},
RECEIVED_SPAMHAUS_PBL(0.00){107.186.63.120.zen.spamhaus.org : 127.0.0.11;},
R_DKIM_NA(0.00){},
R_SPF_NA(0.00){},
TO_DN_SOME(0.00){},
TO_MATCH_ENVRCPT_SOME(0.00){}]



> Am 21.12.2018 um 23:53 schrieb Frank fiene <[hidden email]>:
>
>
>> Am 21.12.2018 um 20:42 schrieb Carsten Rosenberg <[hidden email]>:
>>
>> Welche Domain prüfst du? Die die in den Symbol Infos steht?
>
> Die, die direkt hinter URIBL_SBL in Klammern steht, ja.
>
>> Im Allgemeinen finde ich 8 sehr niedrig. Ich würde vermuten, dass zu wenig Rspamd Module aktiv sind. (Neural, IPScore, MXCheck etc ?). Ggf schau mal mit debugging nach. Der MXCheck möchte z.B. connects auf Port 25 machen.
>
> Ubuntu Standard-Konfig + 2 x AV.
> IPScore ist aber dabei, hab ich schon gesehen.
>
>> Die 15 Punkte im Standard sind nach meiner Erfahrung eigentlich ein guter Wert.
>>
>>> Ich blockiere lieber als wenn die Mail beim Empfänger in einem Ordner blind gelöscht werden wenn die Mailbox voll ist.
>>
>> Mailbox voll hat jetzt aber weniger mit dem Rspamd zu tun ;)
>
> Das ist war, wir haben Quotas im Backend und in einen Spam-Ordner schaut niemand rein, es sei denn, die Mailbox ist voll. Und dann heißt es CTRL-A (oder Cmd-A) und <delete>.