ubuntuusers.de

Hallo zusammen, ich betreibe einen MX-Server (postfix), der E-Mails annimmt und an einen anderen SMTP-Server (ebenfalls postfix) weiterleitet. Sozusagen ein store-and-forward-Server. Unter anderem muss dieser MX-Server die eingelieferten E-Mails auf SPAM prüfen und ggf. in Echtzeit rejecten. Dazu habe ich rspamd eingerichtet. Meiner Kenntnis nach funktioniert rspamd nach der Installation schon recht gut.

In der postfix-Konfiguration habe ich rspamd wie folgt eingebunden:

smtpd_milters = inet:localhost:11332
non_smtpd_milters = inet:localhost:11332
milter_protocol = 6
milter_mail_macros =  i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_default_action = accept

In der Datei /etc/rspamd/actions ist definiert, dass ab einem Score von 4 greylisting durchgeführt werden soll:

actions {
    reject = 15; # Reject when reaching this score
    add_header = 6; # Add header when reaching this score
    greylist = 4; # Apply greylisting when reaching this score (will emit `soft reject action`)

    #unknown_weight = 1.0; # Enable if need to set score for all symbols implicitly
    # Each new symbol is added multiplied by gf^N, where N is the number of spammy symbols
    #grow_factor = 1.1;
    # Set rewrite subject to this value (%s is replaced by the original subject)
    #subject = "***SPAM*** %s"

    .include(try=true; priority=1; duplicate=merge) "$LOCAL_CONFDIR/local.d/actions.conf"
    .include(try=true; priority=10) "$LOCAL_CONFDIR/override.d/actions.conf"

Nachdem ich die beiden Dienste neu gestartet habe, habe ich einen Test von einem entfernten Server gemacht:

root@server:~# telnet mx.engelbracht.com 25
Trying 116.202.182.238...
Connected to mx.engelbracht.com.
Escape character is '^]'.
220 mx.engelbracht.com ESMTP Postfix
EHLO mail.web.de
250-mx.engelbracht.com
250-PIPELINING
250-SIZE 51200000
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250-SMTPUTF8
250 CHUNKING
MAIL FROM:<info@web.de>
250 2.1.0 Ok
RCPT TO:<info@engelbracht.com>
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
bla bla bla
hier steht richtiger mist
hund katze maus, und so weiter

.
250 2.0.0 Ok: queued as 3CF1D1964E2

500 5.5.2 Error: bad syntax
QUIT
221 2.0.0 Bye
Connection closed by foreign host.

Normalerweise sollte die E-Mail eigentlich als SPAM erkannt werden, aber der MX nimmt sie entgegen und leitet sie an den anderen SMTP-Server weiter. Die Zeile 500 5.5.2 Error: bad syntax kommt daher, weil ich den anderen SMTP-Server zu Testzwecken deaktiviert habe, die E-Mail konnte also nicht weitergeleitet werden.

Hat jemand eine Idee, warum die rspamd-Konfiguration auf dem MX-Server scheinbar nicht greift?

Liebe Grüße,

frechdachs

frechdachs schrieb:

Normalerweise sollte die E-Mail eigentlich als SPAM erkannt werden, aber der MX nimmt sie entgegen und leitet sie an den anderen SMTP-Server weiter.

Warum sollte die Mail jedenfalls als SPAM erkannt werden?

Ich stimme dir schon zu, dass bei einem SPF fail die Mails direkt abgewiesen werden soll, aber ist der rspamd entsprechend konfiguriert?

sebix schrieb:

frechdachs schrieb:

Normalerweise sollte die E-Mail eigentlich als SPAM erkannt werden, aber der MX nimmt sie entgegen und leitet sie an den anderen SMTP-Server weiter.

Warum sollte die Mail jedenfalls als SPAM erkannt werden?

Der MX hat die E-Mail ja angenommen und an den SMTP-Server weitergeleitet. Wenn ich mir die E-Mail dort anschaue, dann sieht das wie folgt aus:

Received: from was-auch-immer.domain.tld (was-auch-immer.domain.tld [11.22.33.44])
        by mx.engelbracht.com (Postfix) with ESMTP id 815C41964E2
        for <info@engelbracht.com>; Mon, 23 Jan 2023 13:24:26 +0000 (UTC)
X-Spam-Level: ***********
X-Spamd-Bar: +++++++++++

wrtgwrtgtwgwrtgwrtgwrtgwrtgwrt
grtgrtwgrtwgrtgrtwgrtwgtrwgrtw
gtrwgrtwgrtgrtgrtgrttgrtgrtwgrt
bzw4srbfdhrz56zht54z4hrtsgrthrt
rsgz6ghrzhzhrtwzrthrrthhrthrt

Sprich: Im telnet-Dialog hätte ich eigentlich ein "4xx - you are greylisted, come back later" oder ähnliches erwartet. Aber die E-Mail wurde "ohne Murren" vom MX angenommen und weitergeleitet.

Ich stimme dir schon zu, dass bei einem SPF fail die Mails direkt abgewiesen werden soll, aber ist der rspamd entsprechend konfiguriert?

Das muss ich nochmal prüfen.

Aber primär geht es mir um die SPAM-Thematik: Warum wurde die E-Mail angenommen, obwohl der Score 11 beträgt? Ich war immer der Meinung, dass rspamd direkt nach der Installation schon gut funktioniert - mit der Basis-Konfiguration. Natürlich müssen für spezielle Sachen (DKIM-Signing etc.) die rspam-Konfiguration angepasst werden, aber SPAM-Check funktioniert meiner Kenntnis nach out-of-the-box.

Liebe Grüße,

frechdachs

Hallo zusammen,

mein Problem hat sich mittlerweile erledigt.

Ich habe keine Idee, warum das nicht funktioniert hat - aber später habe ich Anpassungen an der postfix- und an der rspamd-Konfiguration gemacht. Nun klappt alles problemlos...

Ich verstehe es zwar nicht. Aber Hauptsache, dass es erledigt ist.

Liebe Grüße,

frechdachs