Wie können bestimmte Absender geblockt werden ?

classic Classic list List threaded Threaded
9 messages Options
Reply | Threaded
Open this post in threaded view
|

Wie können bestimmte Absender geblockt werden ?

postfix_ml
Hallo zusammen,

wie kann ich ich Spam, der über outbound.protection.outlook.com
geschickt und als Absender [hidden email] hat, blocken?

Ich will/kann ja nicht komplett Microsoft blocken.

Auszug aus /var/log/maillog

May  9 18:29:38 odroidh2 postfix/smtpd[11196]: connect from
mail-eopbgr810082.outbound.protection.outlook.com[40.107.81.82]
May  9 18:29:39 odroidh2 postfix/smtpd[11196]: Anonymous TLS connection
established from
mail-eopbgr810082.outbound.protection.outlook.com[40.107.81.82]: TLSv1.2
with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
May  9 18:29:40 odroidh2 postfix/smtpd[11196]: A2B006253A:
client=mail-eopbgr810082.outbound.protection.outlook.com[40.107.81.82]
May  9 18:29:41 odroidh2 postfix/cleanup[11207]: A2B006253A:
message-id=<[hidden email]>
May  9 18:29:41 odroidh2 postfix/qmgr[21207]: A2B006253A:
from=<[hidden email]>, size=29858, nrcpt=1 (queue active)
May  9 18:29:41 odroidh2 postfix/smtpd[11196]: disconnect from
mail-eopbgr810082.outbound.protection.outlook.com[40.107.81.82]
May  9 18:29:47 odroidh2 postfix/smtpd[11214]: connect from
localhost.localdomain[127.0.0.1]
May  9 18:29:47 odroidh2 postfix/smtpd[11214]: 8BC406253B:
client=localhost.localdomain[127.0.0.1], orig_client=unknown[127.0.0.1]
May  9 18:29:47 odroidh2 postfix/cleanup[11207]: 8BC406253B:
message-id=<[hidden email]>
May  9 18:29:47 odroidh2 postfix/smtpd[11214]: disconnect from
localhost.localdomain[127.0.0.1]
May  9 18:29:47 odroidh2 postfix/qmgr[21207]: 8BC406253B:
from=<[hidden email]>, size=30310, nrcpt=1 (queue active)
May  9 18:29:47 odroidh2 amavis[8528]: (08528-03) Passed CLEAN
{RelayedOpenRelay}, [127.0.0.1] [13.84.45.239]
<[hidden email]> -> <[hidden email]>, Message-ID:
<[hidden email]>,
mail_id: SgbDxwitzLuK, Hits: 3.5, size: 29831, queued_as: 8BC406253B,
dkim_sd=selector1:sharepointonline.com, 6332 ms
May  9 18:29:47 odroidh2 postfix/smtp[11210]: A2B006253A:
to=<[hidden email]>, relay=127.0.0.1[127.0.0.1]:10024, delay=7.5,
delays=1.1/0.05/0.01/6.3, dsn=2.0.0, status=sent (250 2.0.0 from
MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8BC406253B)


Ein Eintrag (/\.sharepointonline.com$/    REJECT Mail from .sharepoint
not accepted) in der sender_access.regexp hilt schon mal nicht.


Gruss

Andreas

Reply | Threaded
Open this post in threaded view
|

Re: Wie können bestimmte Absender geblockt werden ?

Kai Fürstenberg
Hallo Andreas,

Am 09.05.2019 um 19:17 schrieb Andreas Reschke:

> Hallo zusammen,
>
> wie kann ich ich Spam, der über outbound.protection.outlook.com
> geschickt und als Absender [hidden email] hat, blocken?
>
> Ich will/kann ja nicht komplett Microsoft blocken.
>
> Auszug aus /var/log/maillog
>
> May  9 18:29:38 odroidh2 postfix/smtpd[11196]: connect from
> mail-eopbgr810082.outbound.protection.outlook.com[40.107.81.82]
> May  9 18:29:39 odroidh2 postfix/smtpd[11196]: Anonymous TLS connection
> established from
> mail-eopbgr810082.outbound.protection.outlook.com[40.107.81.82]: TLSv1.2
> with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
> May  9 18:29:40 odroidh2 postfix/smtpd[11196]: A2B006253A:
> client=mail-eopbgr810082.outbound.protection.outlook.com[40.107.81.82]
> May  9 18:29:41 odroidh2 postfix/cleanup[11207]: A2B006253A:
> message-id=<[hidden email]>
>
> May  9 18:29:41 odroidh2 postfix/qmgr[21207]: A2B006253A:
> from=<[hidden email]>, size=29858, nrcpt=1 (queue active)
> May  9 18:29:41 odroidh2 postfix/smtpd[11196]: disconnect from
> mail-eopbgr810082.outbound.protection.outlook.com[40.107.81.82]
> May  9 18:29:47 odroidh2 postfix/smtpd[11214]: connect from
> localhost.localdomain[127.0.0.1]
> May  9 18:29:47 odroidh2 postfix/smtpd[11214]: 8BC406253B:
> client=localhost.localdomain[127.0.0.1], orig_client=unknown[127.0.0.1]
> May  9 18:29:47 odroidh2 postfix/cleanup[11207]: 8BC406253B:
> message-id=<[hidden email]>
>
> May  9 18:29:47 odroidh2 postfix/smtpd[11214]: disconnect from
> localhost.localdomain[127.0.0.1]
> May  9 18:29:47 odroidh2 postfix/qmgr[21207]: 8BC406253B:
> from=<[hidden email]>, size=30310, nrcpt=1 (queue active)
> May  9 18:29:47 odroidh2 amavis[8528]: (08528-03) Passed CLEAN
> {RelayedOpenRelay}, [127.0.0.1] [13.84.45.239]
> <[hidden email]> -> <[hidden email]>, Message-ID:
> <[hidden email]>,
> mail_id: SgbDxwitzLuK, Hits: 3.5, size: 29831, queued_as: 8BC406253B,
> dkim_sd=selector1:sharepointonline.com, 6332 ms
> May  9 18:29:47 odroidh2 postfix/smtp[11210]: A2B006253A:
> to=<[hidden email]>, relay=127.0.0.1[127.0.0.1]:10024, delay=7.5,
> delays=1.1/0.05/0.01/6.3, dsn=2.0.0, status=sent (250 2.0.0 from
> MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8BC406253B)
>
>
> Ein Eintrag (/\.sharepointonline.com$/    REJECT Mail from .sharepoint
> not accepted) in der sender_access.regexp hilt schon mal nicht.

kann ja auch nicht. Die Adresse heißt ja auch nicht

no-reply@.sharepointonline.com

Du hast explizit nach einem Punkt vor "sharepointonline" gesucht.

Den Punkt vor dem "com" solltest du vielleicht du auch noch escapen.

Falls es immer noch nicht geht, poste mal die entsprechenden Dateien.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws
Reply | Threaded
Open this post in threaded view
|

Re: Wie können bestimmte Absender geblockt werden ?

Markus Winkler
In reply to this post by postfix_ml
Hallo Andreas,

On 09.05.19 19:17, Andreas Reschke wrote:
> Ein Eintrag (/\.sharepointonline.com$/    REJECT Mail from .sharepoint not

verwende mal bitte stattdessen:

/.sharepointonline.com$/

oder vielleicht besser:

/\@sharepointonline\.com$/

Gruß
Markus
Reply | Threaded
Open this post in threaded view
|

Re: Wie können bestimmte Absender geblockt werden ?

postfix_ml
Hallo Kai, Markus,

danke für die Korrektur. Habe es mal umgesetzt. Mal sehen, wann die
nächste Mail anschlägt.

Am 09.05.19 um 20:31 schrieb Markus Winkler:

> Hallo Andreas,
>
> On 09.05.19 19:17, Andreas Reschke wrote:
>> Ein Eintrag (/\.sharepointonline.com$/ REJECT Mail from .sharepoint not
>
> verwende mal bitte stattdessen:
>
> /.sharepointonline.com$/
>
> oder vielleicht besser:
>
> /\@sharepointonline\.com$/
>
> Gruß
> Markus
Reply | Threaded
Open this post in threaded view
|

Re: Wie können bestimmte Absender geblockt werden ?

Markus Winkler
Hallo Andreas,

On Fri, 10 May 2019 at 09:16:38AM +0200, Andreas Reschke wrote:
>Mal sehen, wann die nächste Mail anschlägt.

die Map selbst kannst Du auch schon so testen:

$ postmap -q [hidden email]
regexp:/etc/postfix/sender_access.regexp

da müsste dann "REJECT Mail from .sharepoint not accepted" ausgegeben
werden.

Gruß
Markus

Reply | Threaded
Open this post in threaded view
|

Re: Wie können bestimmte Absender geblockt werden ?

postfix_ml
Am 2019-05-10 09:32, schrieb Markus Winkler:

> Hallo Andreas,
>
> On Fri, 10 May 2019 at 09:16:38AM +0200, Andreas Reschke wrote:
>> Mal sehen, wann die nächste Mail anschlägt.
>
> die Map selbst kannst Du auch schon so testen:
>
> $ postmap -q [hidden email]
> regexp:/etc/postfix/sender_access.regexp
>
> da müsste dann "REJECT Mail from .sharepoint not accepted" ausgegeben
> werden.
>
> Gruß
> Markus

Hallo Markus,
danke für den tipp. Das mit dem testen wusste ich nicht. Hier die
Ausgabe:

[root@odroidh2 ~]# postmap -q [hidden email]
regexp:/etc/postfix/sender_access.regexp
[root@odroidh2 ~]#
Das heißt: es funktioniert so nicht.

Hier meine Datei:
[root@odroidh2 ~]# cat /etc/postfix/sender_access.regexp
/\.xyz$/           REJECT Mail from .xyz not accepted
/\.me$/            REJECT Mail from .me not accepted
/\.party$/         REJECT Mail from .party not accepted
/\.trade$/         REJECT Mail from .trade not accepted
/\.pw$/            REJECT Mail from .pw not accepted
/\.hk$/            REJECT Mail from .hk not accepted
/\.club$/          REJECT Mail from .club not accepted
/\.space$/         REJECT Mail from .space not accepted
/\.click$/         REJECT Mail from .click not accepted
/\.faith$/         REJECT Mail from .faith not accepted
/\.link$/          REJECT Mail from .link not accepted
/\.review$/        REJECT Mail from .review not accepted
/\.rocks$/         REJECT Mail from .rocks not accepted
/\.site$/          REJECT Mail from .site not accepted
/\.top$/           REJECT Mail from .top not accepted
/\.work$/          REJECT Mail from .work not accepted
/\.black$/         REJECT Mail from .black not accepted
/\.blue$/          REJECT Mail from .blue not accepted
/\.loan$/          REJECT Mail from .loan not accepted
/\.fyi$/           REJECT Mail from .fyi not accepted
/\.love$/          REJECT Mail from .love not accepted
/\.pro$/           REJECT Mail from .pro not accepted
/\.website$/       REJECT Mail from .website not accepted
/\.bid$/           REJECT Mail from .bid not accepted
/\.win$/           REJECT Mail from .win not accepted
/\.racing$/        REJECT Mail from .racing not accepted
/\.accountant$/    REJECT Mail from .accountant not accepted
/\.download$/      REJECT Mail from .download not accepted
/\.science$/       REJECT Mail from .science not accepted
/\.date$/          REJECT Mail from .date not accepted
/\.sharepointonline\.com$/    REJECT Mail from .sharepointonline.com not
accepted
Reply | Threaded
Open this post in threaded view
|

Re: Wie können bestimmte Absender geblockt werden ?

J. Fahrner
Am 2019-05-10 10:10, schrieb [hidden email]:
> [root@odroidh2 ~]# postmap -q [hidden email]
> regexp:/etc/postfix/sender_access.regexp
> [root@odroidh2 ~]#
> Das heißt: es funktioniert so nicht.
>
> Hier meine Datei:
> [root@odroidh2 ~]# cat /etc/postfix/sender_access.regexp
> /\.sharepointonline\.com$/    REJECT Mail from .sharepointonline.com
> not accepted

Kai Fürstenberg hatte doch schon drauf hingewiesen, der Punkt am Anfang
muss weg!
Reply | Threaded
Open this post in threaded view
|

Re: Wie können bestimmte Absender geblockt werden ?

Markus Winkler
In reply to this post by postfix_ml
Hallo Andreas,

On Fri, 10 May 2019 at 10:10:50AM +0200, [hidden email] wrote:
>Hier meine Datei:
>[root@odroidh2 ~]# cat /etc/postfix/sender_access.regexp
>/\.sharepointonline\.com$/    REJECT Mail from .sharepointonline.com
>not accepted

das kann auch nicht funktionieren, da Du ja weiterhin den Backslash
vor dem Punkt vor 'sharepointonline' drin hast:

/\.sharepointonline\.com$/

Und der ist dort falsch. Damit würde das nur bei:

no-reply@.sharepointonline.com
---------^

matchen - entscheidend ist der Punkt vor sharepointonline. Denn der
Backslash bedeutet: Interpretiere das folgende Zeichen nicht (als
Regex), sondern verwende es so, wie es da steht.

Ändere mal bitte die Zeile so ab, wie ich es schon geschrieben habe,
dann klappt das.

Gruß
Markus

Reply | Threaded
Open this post in threaded view
|

Re: Wie können bestimmte Absender geblockt werden ?

postfix_ml
Am 2019-05-10 10:33, schrieb Markus Winkler:

> Hallo Andreas,
>
> On Fri, 10 May 2019 at 10:10:50AM +0200, [hidden email] wrote:
>> Hier meine Datei:
>> [root@odroidh2 ~]# cat /etc/postfix/sender_access.regexp
>> /\.sharepointonline\.com$/    REJECT Mail from .sharepointonline.com
>> not accepted
>
> das kann auch nicht funktionieren, da Du ja weiterhin den Backslash
> vor dem Punkt vor 'sharepointonline' drin hast:
>
> /\.sharepointonline\.com$/
>
> Und der ist dort falsch. Damit würde das nur bei:
>
> no-reply@.sharepointonline.com
> ---------^
>
> matchen - entscheidend ist der Punkt vor sharepointonline. Denn der
> Backslash bedeutet: Interpretiere das folgende Zeichen nicht (als
> Regex), sondern verwende es so, wie es da steht.
>
> Ändere mal bitte die Zeile so ab, wie ich es schon geschrieben habe,
> dann klappt das.
>
> Gruß
> Markus

Jupp, das wars:
[root@odroidh2 ~]# postmap -q [hidden email]
regexp:/etc/postfix/sender_access.regexp
REJECT Mail from .sharepointonline.com not accepted
[root@odroidh2 ~]#

Ich hatte das @-Zeichen vergessen. So ist das richtig:
/\@sharepointonline\.com$/

Danke dir/euch.

Gruss
Andreas