mit fail2ban Googlegroup scam fraud blocken

[shopuser]

Hallo,

habe das Problem mit der Googlegroup scam engine.

Wie könnte mal mit fail2ban den Googlegroup scam blocken ?
IPs Blocken ist schlecht möglich weil der Scam via Gmail Server versendet wird und ich dann keine mails mehr von gmail Kunden bekomme.
Hab schon via fail2ban im Bodycheck eine Filterregel für "googleusercontent.com" angelegt die funktioniert auch

Aber wie könnte man im Mailheader diesen Teil hier unten auswerten, speziell sobald die Spammerengine : googlegroups.com dort auftauscht, das lässt sich leider mit dem Bodycheck nicht machen.


Oder wie könnte man Alle mailadressen von Subdomains blocken ? das die googlegroup spammer immer mailadresse mit Subdomains verwenden.

<CAK+kXV5O3oJtnTKjysDrVAZ=HNCcYvazTLTecoYe6XxOkBQcGw@mail.gmail.com>
Subject: Wir wollen Ihre Gedanken! Fordern Sie Ihr Medicare-Set an
To: servoso@zoto.greenherbmedcenter.com
Content-Type: multipart/alternative; boundary="00000000000059d403062ab82bb8"
X-Original-Sender: support@zoto.greenherbmedcenter.com
X-Original-Authentication-Results: mx.google.com; dkim=pass
header.i=@zoto.greenherbmedcenter.com header.s=google header.b=Cj0ihXLQ;
spf=pass (google.com: domain of support@zoto.greenherbmedcenter.com
designates 209.85.220.41 as permitted sender)
smtp.mailfrom=support@zoto.greenherbmedcenter.com;
dara=pass header.i=@zoto.greenherbmedcenter.com
Precedence: list
Mailing-list: list ar@zoto.greenherbmedcenter.com;
contact ar+owners@zoto.greenherbmedcenter.com
List-ID: <ar.zoto.greenherbmedcenter.com>
X-Spam-Checked-In-Group: servoso@zoto.greenherbmedcenter.com
X-Google-Group-Id: 255525528759
List-Post:
<https://groups.google.com/a/zoto.greenherbmedcenter.com/group/ar/post>,
<mailto:ar@zoto.greenherbmedcenter.com>
List-Help:
<https://support.google.com/a/zoto.greenherbmedcenter.com/bin/topic.py?topic=25838>,
<mailto:ar+help@zoto.greenherbmedcenter.com>
List-Archive:
<https://groups.google.com/a/zoto.greenherbmedcenter.com/group/ar/>
List-Subscribe:
<https://groups.google.com/a/zoto.greenherbmedcenter.com/group/servoso/subscribe>,
<mailto:servoso+subscribe@zoto.greenherbmedcenter.com>
List-Unsubscribe:
<mailto:googlegroups-manage+255525528759+unsubscribe@googlegroups.com>,
<https://groups.google.com/a/zoto.greenherbmedcenter.com/group/ar/subscribe>

 

[GwenDragon]

Wenn du nichts von Google Groups willst, nimm doch einen Mail-Filter für den Header List-Unsubscribe in deinem Mailserver und weise das Mail sofort ab.

Postfix manual - header_checks(5)

 

[shopuser]

hab schon mal geschaut aber keine Beipsiele gefunden wie ich das einrichten kann.

 

[GwenDragon]

keine Beipsiele gefunden wie ich das einrichten kann

Erklär mal genauer was du machen willst?
In Postfix ein Filter, der bei bestimmten Header-Werten abweist?

In /etc/postfix/main.cf füge hinzu

header_checks = pcre:/etc/postfix/header_checks

Erzeuge eine Datei /etc/postfix/header_checks mit:

/^List-Unsubscribe:.*googlegroups.com/ REJECT Unsolicited mail

Lade header_checks neu mit postmap hash:/etc/postfix/header_checks
Starte Postfix neu mit systemctl restart postfix.service

Oder welche Header haben bei dir dann noch googlegroups.com intus?

 

[shopuser]

Ja danke ! das müsste dann funktionieren, header_checks hatte ich ja schon installiert und lief auch schon
aber wusste nicht das man so einfach auch solche Spamlisten blocken kann, hab immer nur /^Subject: und /^From: Regeln in der Datei

Mal sehen wann der Scammer wieder aktiv wird