Spam wird nicht gefiltert - auch kein x-spam im Header

ispcuser

ispcuser

New Member
Ich sitze nun seit mehreren Tagen an dem gleichem Problem. Ich nutze ISPConfig 3.1, habe ein Update laufen lassen, das System in Punkto Dienste ist also original.
Im ISPConfig habe ich folgende Einstellung:

SPAM Markierungslevel : -100
SPAM Markierungslevel 2 : 3.0
SPAM Markierungslevel Kill: 10.0
SPAM Markierungslevel DSN Cutoff: 5
SPAM Markierungslevel Quarantine Cutoff: 5
SPAM ändert Betreff:Ja
SPAM ändert Betreff: ***SPAMVERDACHT***

Der Virenscanner funktioniert einwandfrei, greylisting auch. Was nicht funktioniert, ist der Spamschutz. Zum einem gibt es bei eindeutigen Spammails keinen X-SPAM im Header, zum Anderem kommt jeder Scheiss an Spam durch.
Hier mal ein Headerbeispiel:

Return-Path: <alexisqnwexcekruckel@towmillion.com>
X-Original-To: ###
Delivered-To: ###
Received: from localhost (localhost [127.0.0.1])
by ### (Postfix) with ESMTP id 098D6384001F
for <###>; Mon, 2 Apr 2018 05:33:29 +0200 (CEST)
X-Virus-Scanned: Mailserver ###
Authentication-Results: ### (amavisd-new);
dkim=pass (1024-bit key) header.d=towmillion.com;
domainkeys=fail (1024-bit key)
reason="fail (message has been altered)"
header.from=alexisqnwexcekruckel@towmillion.com
header.d=towmillion.com
Received: from ### ([127.0.0.1])
by localhost (### [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 79FJ8y_4WatK for <###>;
Mon, 2 Apr 2018 05:33:28 +0200 (CEST)
X-Greylist: delayed 314 seconds by postgrey-1.35 at###; Mon, 02 Apr 2018 05:33:28 CEST
Received: from celery.towmillion.com (unknown [185.140.109.167])
by ### (Postfix) with ESMTP id DD8B73840005
for <###>; Mon, 2 Apr 2018 05:33:28 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=dkim; d=towmillion.com;
h=Date:To:From:Message-ID:Subject:MIME-Version:List-Unsubscribe:Content-Type:Content-Transfer-Encoding; i=alexisqnwexcekruckel@towmillion.com;
bh=LSZHi2T1FZYBSLcHyuxFNqlJ++o=;
b=L4JvMPK5LRfuZzf29dhzHxDm45yItPRBK+QZ50BVhU73QiF2kTyeFINKcKZzoM9FvJk1hMqM6Poy
uuOTSkDMuEgB4XZ8a/HXpaP0upA4X+4vPUyQXhd2wzAgshuaw6LX0GjY430cFZu5W0bS8InZvO5O
+wtvSimN350msVgwJ8I=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=dkim; d=towmillion.com;
b=Uh1+aKTuGT8o19DjdTsg1nT9HAYsdU+6zUB4g2ojZExtW3eHKVfNSYdTaZFC+uoqNT6DDB9OS22E
yB7o5F0yfJQUf0DsJUIe5Ba+KhehwAfnZnEzPr9rNncEIBzVzl4fS2FcmrhlblGE9M8vSGyUkglr
fpRCdupnf3CK+0TSO8M=;
Date: Mon, 2 Apr 2018 05:26:14 +0200
To: <###>
From: =?UTF-8?Q?Alexis_Kruckel?= <alexisqnwexcekruckel@towmillion.com>
Message-ID: <geeoaqeurpDLXZYAIHZCOZZWWKBZIAOSALVAZGNOD@ehjwft.towmillion.com>
Subject: =?UTF-8?Q?>>_Mit_Nagelpilz_ABRECHNEN:_schonender_Spray,_wirkt_schnell?=
MIME-Version: 1.0
X-Report-Abuse: <http://towmillion.com/aa.php?a=epsyl5429908r1qc3a5yynqg8bnhd9ybf833zph>
List-Unsubscribe: <http://towmillion.com/ub.php?b=epsyl5429908r1qc3a5yynqg8bnhd9ybf833zph>
Precedence: bulk
Content-Type: multipart/alternative; boundary=b1_hd987z4f1h.hoMq2; charset="UTF-8"
Content-Transfer-Encoding: 8bit

Die Mail: Stört dich Fuß mit Nagelpilz? Besprühe damit, Nagelpilz in 1 Woche weg
af704.jpg

>> Mit Nagelpilz ABRECHNEN: schonender Spray, wirkt schnell
BEKÄMPFT den Fuß-und Fingernagelpilz: Serum gegen Nagelpilz

So oder so änliche Emails bekommen wir unglaublich viele. Absender sind zig Server, die meisten IP Adressen sind sogar als Spamserver geblacklistet.
Ich weis nicht mehr weiter, mir gehen die Ideen aus.
PS: Hostname = Mailname etc.pp.
Der Server tut ansonsten was er soll.

Hat jemand eine Idee? Ich habe mal noch die interesanten Configs angehangen.

Ich danke vorab für jede Antwort. Ich habe heute rund 130 Spams auf eine einzige Emailadresse bekommen.

Liebe Grüße
 

Anhänge

  • 50-user.txt
    3,3 KB · Aufrufe: 345
  • 15-content_filter_mode.txt
    410 Bytes · Aufrufe: 288
ispcuser

ispcuser

New Member
Eben kam wieder eine Spammail rein:

Apr 3 14:17:00 244048 postfix/smtpd[24663]: warning: hostname server1.leotarot.com does not resolve to address 96.8.123.159
Apr 3 14:17:00 244048 postfix/smtpd[24663]: connect from unknown[96.8.123.159]
Apr 3 14:17:00 244048 postfix/smtpd[24663]: NOQUEUE: filter: RCPT from unknown[96.8.123.159]: <29836-30644-233629-5547-###@mail.buloboxx.bid>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<29836-30644-233629-5547###@mail.buloboxx.bid> to=<###> proto=ESMTP helo=<vista.buloboxx.bid>
Apr 3 14:17:00 244048 postfix/smtpd[24663]: NOQUEUE: filter: RCPT from unknown[96.8.123.159]: <29836-30644-233629-5547-###@mail.buloboxx.bid>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<29836-30644-233629-5547-###@mail.buloboxx.bid> to=<ronny@fam-brummer.de> proto=ESMTP helo=<vista.buloboxx.bid>
Apr 3 14:17:00 244048 postgrey[743]: action=pass, reason=triplet found, delay=9247, client_name=unknown, client_address=96.8.123.159, sender=29836-30644-233629-5547-ronny=fam-brummer.de@mail.buloboxx.bid, recipient=###
Apr 3 14:17:00 244048 postfix/smtpd[24663]: 69ED2384001F: client=unknown[96.8.123.159]
Apr 3 14:17:00 244048 postfix/cleanup[25896]: 69ED2384001F: message-id=<1w0jey3y297mikco-q4nw6fonq5u6em9i-77b4-3909d@specialgift.com>
Apr 3 14:17:00 244048 postfix/qmgr[1224]: 69ED2384001F: from=<29836-30644-233629-5547###@mail.buloboxx.bid>, size=5411, nrcpt=1 (queue active)
Apr 3 14:17:00 244048 postfix/smtpd[26874]: connect from localhost[127.0.0.1]
Apr 3 14:17:00 244048 postfix/smtpd[26874]: A06D938400BD: client=localhost[127.0.0.1]
Apr 3 14:17:00 244048 postfix/cleanup[25896]: A06D938400BD: message-id=<1w0jey3y297mikco-q4nw6fonq5u6em9i-77b4-3909d@specialgift.com>
Apr 3 14:17:00 244048 postfix/smtpd[26874]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Apr 3 14:17:00 244048 postfix/qmgr[1224]: A06D938400BD: from=<29836-30644-233629-5547-###@mail.buloboxx.bid>, size=5872, nrcpt=1 (queue active)
Apr 3 14:17:00 244048 amavis[27286]: (27286-06) Passed CLEAN {RelayedInbound}, [96.8.123.159]:51054 [96.8.123.159] <29836-30644-233629-5547-ronny=fam-brummer.de@mail.buloboxx.bid> -> <###>, Queue-ID: 69ED2384001F, Message-ID: <1w0jey3y297mikco-q4nw6fonq5u6em9i-77b4-3909d@specialgift.com>, mail_id: RyeZsGNHyR4n, Hits: -, size: 5409, queued_as: A06D938400BD, 106 ms
Apr 3 14:17:00 244048 postfix/smtp[22561]: 69ED2384001F: to=<###>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.26, delays=0.15/0/0/0.11, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as A06D938400BD)
Apr 3 14:17:00 244048 postfix/qmgr[1224]: 69ED2384001F: removed

und der Mailheader:

Return-Path: <29836-30644-233629-5547-ronny=fam-brummer.de@mail.buloboxx.bid>
X-Original-To: ###
Delivered-To: ###
Received: from localhost (localhost [127.0.0.1])
by ### (Postfix) with ESMTP id A06D938400BD
for <###>; Tue, 3 Apr 2018 14:17:00 +0200 (CEST)
X-Virus-Scanned: Mailserver ###
Received: from ### ([127.0.0.1])
by localhost (###[127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id RyeZsGNHyR4n for <###>;
Tue, 3 Apr 2018 14:17:00 +0200 (CEST)
X-Greylist: delayed 9247 seconds by postgrey-1.35 at ###; Tue, 03 Apr 2018 14:17:00 CEST
Received: from vista.buloboxx.bid (unknown [96.8.123.159])
by ### (Postfix) with ESMTP id 69ED2384001F
for <###>; Tue, 3 Apr 2018 14:17:00 +0200 (CEST)
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary="195c1b2fee380661563324f647af4b56_77b4_3909d"
Date: Tue, 3 Apr 2018 05:39:16 -0400
From: "Bulu Box" <contact@specialgift.com>
Reply-To: "Bulu Box" <support@specialgift.com>
Subject: Get monthly Bulu Box for just $8.99 a month!
To: <###>
Message-ID: <1w0jey3y297mikco-q4nw6fonq5u6em9i-77b4-3909d@specialgift.com>

und die Email dazu:

mbJaJg9NhsGRZIoYLQbWrws4gt6ZHGVvknYrOseYBR-41G8i


Get monthly Bulu Box for just $8.99 a month!















coordinate, decreases like 1/R2. This result proves that radiation fields are obtained only from a time-derivative of the 4-potentials. Since the 4-potentials depend on the velocity of the electric charges, one finds that due to the time-derivative, an acceleration of the charged particles at the source is a necessary condition for radiation. Furthermore, electromagnetic fields satisfy the wave equation. Therefore, the actual radiation emitted from a source is determined by the interference of the fields that are associated with the accelerating charges at the source. (A common misconception states that charge-acceleration is a sufficient condition for radiation. This is not true. For example, take the elec
mbJaJg9NhsGRZIoYLQbWrws4gt6ZHGVvknYrOseYBR-41G8i
tric current that flows along a circular conductor which is connected to a battery. The ring itself is motionless. However, charges of the electric current accelerate towards the ring’s center. Moreover, the system is time-independent, and for this reason it transfers no electromagnetic energy to the environment. Hence, this system contains accelerating charged particles, but it emits no radiation. This is an example where a destructive interference cancels the entire radiation.)
 
ispcuser

ispcuser

New Member
Ja, auch dort ist sie aktiviert.
Auch als Spamfilterbenutzer ist zum einen die Domain drinnen mit der richtigen Policy und auch die Emailadresse selber.

Eine Frage. Die Domains selbst ist dem Admin zugeordnet und hat keinen Benutzer (Reseller). Kann das das Problem sein? Ist es nicht, die anderen Domains haben das selbe Problem. Kein X-SPAM Status im Header, überall die Policys kontrolliert - alles in Ordnung.
 
Zuletzt bearbeitet:
ispcuser

ispcuser

New Member
Niemand eine Idee? Ich würde auch kostenpflichtigen Support in Anspruch nehmen, hauptsache die Sache ist geklärt.

Ich habe gerade bemerkt, dass der Spamfilter bei einer neu angelegten Emailadresse zumindest Einträge macht ober wohl nicht funktioniert:

Return-Path: <29859-30644-233629-5541-###@mail.monstrrgolf.bid>
X-Original-To: spam@
Delivered-To: spam@
Received: from localhost (localhost [127.0.0.1])
by ### (Postfix) with ESMTP id E4D8A38400BD
for <spam@###>; Tue, 3 Apr 2018 17:06:54 +0200 (CEST)
X-Envelope-To: <###>
X-Envelope-To-Blocked:
X-Quarantine-ID: <nT0BrMh6zCU8>
X-Amavis-Alert: BAD HEADER SECTION, MIME error: error: part did not end with
expected boundary; ; error: unexpected end of parts before epilogue
X-Spam-Flag: NO
X-Spam-Score: 0
X-Spam-Level:
X-Spam-Status: No, score=x tag=x tag2=x kill=x tests=[] autolearn=unavailable
Received: from ### ([127.0.0.1])
by localhost (### [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id nT0BrMh6zCU8 for <###>;
Tue, 3 Apr 2018 17:06:54 +0200 (CEST)
X-Greylist: delayed 901 seconds by postgrey-1.35 at asterix.medisax.com; Tue, 03 Apr 2018 17:06:54 CEST
Received: from fiber.monstrrgolf.bid (unknown [96.8.123.162])
by asterix.medisax.com (Postfix) with ESMTP id A96A0384001F
for <###>; Tue, 3 Apr 2018 17:06:54 +0200 (CEST)
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary=" ba4d22342078226a05df34111839de1c_77b4_3909d"
Date: Tue, 3 Apr 2018 09:55:50 -0400
From: "Golf Swing" <support@gollfswing.com>
Reply-To: "The Monster Golf Swing" <info@gollfswing.com>
Subject: Weird tip adds up to 70 yards to your drives?
To: <ronny@fam-brummer.de>
Message-ID: <ac1geoh9o5s6f1fz-bzhtwu7juod4l58m-77b4-3909d@gollfswing.com>
 
Zuletzt bearbeitet:
ispcuser

ispcuser

New Member
Ich bin weiter, so bald ich eine policy auf einer neuen email aktiviere, verschwindet der x-spam status. Nehme ich die Policy wieder raus, sieht der Header wie oben aus.
 
T

Till

Administrator
Dann liegt es an Deiner Policy. Vielleicht hast Du ja spam lover in der policy an oder etwas ähnliches. non-paying ist ja eine der policies um nicht zahlende Kunden vom spam scannen auszuschließen.
 
ispcuser

ispcuser

New Member
Egal was für ein Lover steht auf "NEIN". Straffer kann man es nicht einstellen. Oder täusche ich mich da.
 
T

Till

Administrator
Auf was steht denn "SPAM Markierungslevel" bei Dir? Wenn der score der mail nicht über diesem level ist, steht garnichts im header.
 
T

Till

Administrator
Den kannst Du z.B. auch auf -1 stellen. Der Level der für den Spam Schwellenwert (also spam oder nicht spam) verantwortlich ist, ist der "SPAM Markierungslevel 2".
 
ispcuser

ispcuser

New Member
Habe alle Einstellungen als Bild angehangen. Ich sehe keinen Fehler. Aktuell bekomme ich wieder irre viel Spam. Ich hoffe, jemand hat die zündende Idee.
 

Anhänge

  • 1.jpg
    1.jpg
    95,7 KB · Aufrufe: 427
  • 1.jpg
    1.jpg
    95,7 KB · Aufrufe: 400
  • 5.jpg
    5.jpg
    116,7 KB · Aufrufe: 436
  • 4.jpg
    4.jpg
    133,1 KB · Aufrufe: 426
  • 3.jpg
    3.jpg
    151,7 KB · Aufrufe: 385
  • 2.jpg
    2.jpg
    113,1 KB · Aufrufe: 370
  • 6.jpg
    6.jpg
    146,4 KB · Aufrufe: 382
  • 7.jpg
    7.jpg
    168,1 KB · Aufrufe: 399
T

Till

Administrator
Wie ich ja in #10 geeschrieben hatte ist die non paying policy ja eine spam deaktivierende policy, keine ahnung warum Du die als Grundlage zum spam Filtern genommen hast anstatt der normal policy. Die von Florian genannte Einstellung ist ene Voreinstellung des policy typs, die kannst Du nur mit phpmyadmin in der Tabellee spamfilter_policy direkt ändern.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Werbung

Top