Sparkassenspam
Carsten Rosenberg
cr at ncxs.de
Di Nov 9 20:00:49 CET 2021
On 09.11.21 18:23, Robert Schetterer wrote:
> Am 09.11.21 um 16:45 schrieb Andreas Reschke:
>> Hallo zusammen,
>>
>> täglich kommen bei meinen User ca. 5 Mails mit Sparkasse Spam bzw.
>> Pishing an. Mein rspamd lässt viele davon leider durch.
>>
>> Was kann kann ich ändern bzw. wie Abhilfe leisten?
>>
>> So zeigt rspamd dies über das Webinterface an:
>> Symbols
>>
>> Sort by:
>>
>> *RSPAMD_URIBL* (4.5) [yomegosmr.com:url]
>> *RECEIVED_SPAMHAUS_XBL* (3) [92.80.251.71:received]
>> *OLD_X_MAILER* (2)
>> *AUTH_NA* (1)
>> *R_MIXED_CHARSET* (0.833333) [subject]
>> *MV_CASE* (0.5)
>> *MIME_HTML_ONLY* (0.2)
>> *RCVD_NO_TLS_LAST* (0.1)
>> *FROM_HAS_DN* (0)
>> *TO_DN_NONE* (0)
>> *ARC_NA* (0)
>> *RCVD_VIA_SMTP_AUTH* (0)
>> *RCVD_COUNT_TWO* (0) [2]
>> *RECEIVED_SPAMHAUS_PBL* (0) [92.80.251.71:received]
>> *R_SPF_NA* (0) [no SPF record]
>> *MIME_TRACE* (0) [0:~]
>> *TO_MATCH_ENVRCPT_ALL* (0)
>> *FROM_EQ_ENVFROM* (0)
>> *DMARC_NA* (0) [carsystem.co.rs]
>> *MID_RHS_MATCH_FROM* (0)
>> *GREYLIST* (0) [pass,body]
>> *RCPT_COUNT_ONE* (0) [1]
>> *R_DKIM_NA* (0)
>> *ASN* (0) [asn:203877, ipnet:185.102.236.0/22, country:RS]
>>
>> *PREVIOUSLY_DELIVERED* (0) [xxx at xxx.de]
>>
>> subject = Wir ändern unsere Verfahren oder Sparkasse Sicherheitshinweis
>>
>>
>> Gruß
>>
>> Andreas
>>
>
> Kann ich dir natuerlich nicht garantieren
> aber clamav-milter mit
>
> https://sanesecurity.com/usage/signatures/
>
> war da eigentlich immer ganz gut
> ansonsten besser mal auf der rspamd liste fragen
> mit Beispielen , oder eben an ein paar parameter drehen
>
Moin,
Sanesecurity und Securiteinfo als extra Signaturen für ClamAV kann ich
auch nur empfehlen.
Für die Sparkassen Spams bzw für alle Spams mit etwas mehr Text, macht
sich anlernen im Bayes und Fuzzy ganz gut.
Vor allem Fuzzy solltest du dir anschauen:
https://rspamd.com/doc/workers/fuzzy_storage.html#configuration
https://rspamd.com/doc/modules/fuzzy_check.html
Wenn du danach die Mails mit einer hohen Gewichtung anlernst, bekommst
du schnell eine gute Erkennung:
rspamc -f 1 -w 50 fuzzy_add /path/to/spammail
Bei deinem Beispiel könntest du auch eine Composite Rule bauen:
https://rspamd.com/doc/configuration/composites.html
z.B.
SPK_SPAM {
expression = "RSPAMD_URIBL & RECEIVED_SPAMHAUS_XBL";
score = 20;
policy = "leave";
description = "Sparkassen Spam"
}
Oder dir auch die force_actions angucken, die vom matching ähnlich
funktionieren.
Viele Grüße
Carsten
Mehr Informationen über die Mailingliste postfix-users