spamassassin - Domainfilter eigene Domain

[mikeemike]

Hallo Zusammen,
ich bin zu einem neuen Hoster gewechselt und habe seit dem massive Spamprobleme. Leider bekommen die es dort nicht in den Griff.
In erster Linie erhalten ich Mails, die bereits im "AN" eine völlig serverfremde Domain enthalten.

Ein Beispiel:
Auf dem Server liegt die Domain hans.de, es gibt ein Postfach info@hans.de.
Jetzt erhält das IMAP-Postfach eMails mit dem "AN" peter@drk-stuttgart.de. Folglich ist schon, ohne den Text weiter ansehen zu müssen klar,
dass die eMail nicht in dieses Postfach gehört. Mir ist klar, dass sich der "AN" beliebig fälschen lässt. Wäre mir aber egal, da ich ja eMails,
die meine Domain enthalten, durchlassen möchte.

Der Anbieter sagt mir allerdings, dass so eine Filterung nicht möglich ist mit Spamassassin. Ich müsste diese Regel für jeden einzeln in RoundCube erstellen. Was kann ich also tun, um nur eMails durchzulassen, die auch eine Domain im "AN" haben, die auf dem Server liegt ? Die Domainliste könnte ich von Hand pflegen, eine Blacklist macht keinen Sinn, da ich dann ja auch "echte" eMails, die VON @drk-stuttgart.de kommen, rauswerfen würde.

Gibt es tatsächlich keine Möglichkeit für so eine einfach und effektive Filterung oder wo ist mein Denkfehler bei dem Vorgehen ?

> FreeBSD dikile 12.0-RELEASE-p10 hostBSD 12.0-RELEASE-p10 DMR amd64

Danke für Ideen

 

[GwenDragon]

Mails für eine fremde Domain kannst du gar nicht empfangen, die würde ja dein Mailserver abweisen.

Das "An" (also der To-Header) lässt sich nicht fälschen. Bitte mal bei Zweifel den Mail-Quelltext ansehen.

Nur der Text vor der Mailadresse lässt sich ändern.
Also, wenn du ein Postfach hast hans1@example.org
Dann kann der To:-Header im Mail so sein:
To: Hans Mueller <hans1@example.org>
aber auch
To: Joe Stahl-In <hans1@example.org>

Sicher kann jemand im To:-Header was anderes rein schrieben und im CC: oder BCC: deine Mailadresse, die erreicht dich dann ja, und du siehst die nur falsche Adresse im An: je nach Mail-Programm.

Wichtig ist dann zum Prüfen, was im Mailheader Delivered-To: bzw. X-Delivered-To: steht, da ist dann wohl deine echte drin.

 

[Joe User]

@GwenDragon
To != Envelope-To ,)
To kann Alles enthalten was irgendwie nach Mailadresse aussieht, während Envelope-To die existierende echte Empfänger-Mailadresse enthalten muss.

@mikeemike
Dein FreeBSD ist völlig veraltet und unsupportet, bitte auf 12.4 oder besser gleich auf 13.1 updaten, danke.

 

[GwenDragon]

@Joe User Mist, den Header hab ich vergessen zu erwähnen. Hast du ja ergänzt.

 

[mikeemike]

Return-Path: <irkuwqb@ibilingers.hz.cz>
X-Spam-Checker-Version: SpamAssassin 3.4.4 (2020-01-24) on galactica
X-Spam-Level: ****
X-Spam-Status: No, score=4.6 required=5.0 tests=DKIM_SIGNED=0.1,
DKIM_VALID=-0.1,DKIM_VALID_AU=-0.1,HTML_FONT_SIZE_LARGE=0.001,
HTML_IMAGE_ONLY_24=1.282,HTML_IMAGE_RATIO_06=0.001,HTML_MESSAGE=0.001,
RCVD_IN_HOSTNETLO=1.5,SPF_HELO_NONE=0.001,SPF_PASS=-0.001,
T_TVD_MIME_EPI=0.01,URIBL_ABUSE_SURBL=1.948 shortcircuit=no
version=3.4.4
X-Spam-Languages: de
Received: from mx.ibilingers.hz.cz (mx.ibilingers.hz.cz [93.189.41.157])
by dikile.han-solo.net (8.15.2/8.15.2) with ESMTP id 2BE2mCVq035336
for <XXX@XXX.de>; Wed, 14 Dec 2022 03:48:13 +0100 (CET)
(envelope-from irkuwqb@ibilingers.hz.cz)
Received: from ibilingers.hz.cz (rorexov.one [194.61.0.57])
by mx.ibilingers.hz.cz (Postfix) with ESMTPA id 6965B807EAF;
Tue, 13 Dec 2022 21:29:27 +0200 (EET)
DKIM-Signature: v=1; a=rsa-sha256; c=simple; d=ibilingers.hz.cz;
s=key2; h=DomainKey-Signature:Message-ID:From:To:Subjectate:
MIME-Version:Content-Type; bh=3rtPDU2JmuApZu3/aVGWjxZMHSndZ2toO0
6SXJMZoaE=; b=czZMaK93lXE48VMJOZ8eEambXmBleknIySCHX5sxBWQox1i8BD
gZZodaQcOo5RecTUvQMgK5RHGZ8pPUO1n2OomdAEsJAKRXz9CI8iP8e+023XphZM
EMLbukTb00u4eygyNRcRreBajczEwQfGT/KG+ZLBH/4hEpoqcZiZcaIL8=
DomainKey-Signature: a=rsa-sha1; q=dns; c=simple;
s=key1; d=ibilingers.hz.cz;
h=Message-ID:From:To:Subjectate:MIME-Version:Content-Type;
b=e2xps/Dxo8VhjwNvy8wnHxq5Nhn3iANaGA6FC0c/YtALGazpUEjuoCzDOeP92MpWNE9LG8URXqVOs4s9ip+QcSSweeu3ipk2Iay89abGUeofng957ygTYP7Mep4LDcyZ4i1b3Aj9G3MtPY+98N1wOnH8Unn/9NChUVTI0816Iy0=;
Message-ID: <7002562738637048847256268614027874017386@ibilingers.hz.cz>
From: "Hondrofrost" <irkuwqb@ibilingers.hz.cz>
To: <barbara.anton@diakonie-koeln.de>
Subject: =?utf-8?B?SG9uZHJvZnJvc3Qg4oCUIERpZSBiZWhhbmRsdW5nIGRlciBnZWxlbmtlIGltIG1vbmF0c2R1cmNoc2Nobml0dCDigJNpc3QgZXMgcmVhbD8=?=
Date: Tue, 13 Dec 2022 20:29:10 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0006_01D90F2F.DD59A6E0"
X-KSD: <XXX@XXX.de>
X-Antivirus: Avast (VPS 221214-0, 14.12.2022), Inbound message
X-Antivirus-Status: Clean

Um dieses "to" ging es mir

 

[GwenDragon]

Du willst also eine Spamassassin-Regel, welche den Spamscore erhöht, wenn das To: nicht deine Domain enthält?
Oder deine Domain auf die Allowlist?
Geht so:
whitelist_to user@example.com
whitelist_to *@example.com als catchall-Regel für deine Domain geht auch.
https://spamassassin.apache.org/ful...sin_Conf.html#WHITELIST-AND-BLACKLIST-OPTIONS

Wie du an die Adressen der Mailboxen deiner Domain kommst, weiß ich nicht. Das ist je nach Mailserver, Mail-Benutzerdatenbank und Administrationsoberfläche verschieden. Aber vielleicht reicht ja auch ein *@.... als zulassen für deine Domain.

 

[mikeemike]

Also am Liebsten wäre mir, ich könnte sagen, alles was nicht als "TO" @meinedomain.de enthält, wird rausgeworfen. Geht das irgendwie ?

 

[GwenDragon]

Ich hab noch nie alles auf die Blockliste gesetzt, mein Anti-Spam-Konzept ist nicht so strikt.

//EDIT:
Musst du halt probieren:
score USER_IN_BLOCKLIST_TO 10
whitelist_to *@meinedomain.de
blacklist_to *@*
Das obige In die user_prefs deiner Mailbox.
Notfalls den Score anpassen, wenn der zu niedrig ist.

Damit werden alle Mails mit deiner Mailbox als kein Spam, alles anderen als Spam markiert.

//EDIT: Funktioniert gerade vor 30 Minuten ausprobiert

 

[GwenDragon]

@mikeemike Half das nun was ich schrieb? Feedback wäre schon nett für Helfende.