Spam mit Google Groups

[ffischer]

Guten Morgen,
derzeit kommen wieder viele Mails rein mit Automatischen Antworten von Ticket Systemen oder Sammelpostfächern.
(Vielen Dank für Ihre Anfrage .........)
Schaut man sich den Header an, ist wieder zu erkennen, dass das ganze über mehrere Ecken von Internen Servern bis über Google zum eigentlichen Server kommt.

Ich habe ein NSP direkt am Internet für den Empfang, da kommen diese Mails sogut wie nicht mehr an.
Jedoch habe ich einen NSP Intern im Behördennetz, (Landkreis Netz) die Mail die eingeht, wird also nicht zu erst vom NSP Empfangen sondern vom Mail GW des Landratsamtes. Da kommen diese Mails noch durch.

Welche Möglichkeiten gibt es denn hier um das zu verbindern. Kan NSP den gesamten Header nicht auslesen und daraus den Versender der Mail erkennen und sperren?

 

[lukas]

Hi Frank,
ich habe das Problem ebenfalls, jedoch mit meinem NPS am Netz.
Hast du eine Idee was ich konfigurieren kann damit ich die google groups ausschließe?

Siehe: https://forum.nospamproxy.com/threads/header-basierte-filter-regeln.1589/

Grüße Lukas

 

[ffischer]

Hallo, Lukas,
die Letzte mail von Google mit Google Groups.
Wurde Abgelehnt.
Core Antispam Engine
und Reputationsfilter.
Am Ende hatte die Mail einen SCL von 5

Regeln alle korrekt ?
Die Mail die reingelassen wurde, war das eine Klassische Regel oder was angepasstes?

 

[JanJäschke]

Guten Morgen,
derzeit kommen wieder viele Mails rein mit Automatischen Antworten von Ticket Systemen oder Sammelpostfächern.
(Vielen Dank für Ihre Anfrage .........)
Schaut man sich den Header an, ist wieder zu erkennen, dass das ganze über mehrere Ecken von Internen Servern bis über Google zum eigentlichen Server kommt.

Ich habe ein NSP direkt am Internet für den Empfang, da kommen diese Mails sogut wie nicht mehr an.
Jedoch habe ich einen NSP Intern im Behördennetz, (Landkreis Netz) die Mail die eingeht, wird also nicht zu erst vom NSP Empfangen sondern vom Mail GW des Landratsamtes. Da kommen diese Mails noch durch.

Welche Möglichkeiten gibt es denn hier um das zu verbindern. Kan NSP den gesamten Header nicht auslesen und daraus den Versender der Mail erkennen und sperren?

Dem Behördennetz klar machen sie sollen eine gute Lösung einkaufen?

Ne im ernst, nachgelagerten haben wir es unfassbar schwer was sinnvolles zu machen.
Du kannst die mails anhand des Header durch einen anderen Konnektor umleiten oder am Ende im Exchange per Header verschieben, aber viel mehr Möglichkeiten fallen mir da grade auch nicht ein

 

[ffischer]

das mit der Lösung kommt vielleicht noch
Ist also nicht möglich, das der NSP den Mail Header durchgeht und nochmal danach schauen kann wo er herkommt?
So als Option wenn NSP nicht der erste ist der die Mail bekommt.

Das NSP noch so eine Option bekommt, wie Inhaltsfilter, suche nach Header informationen und wenn diese vorkommen, dann ablehnen etc.?

 

[JanJäschke]

das mit der Lösung kommt vielleicht noch
Ist also nicht möglich, das der NSP den Mail Header durchgeht und nochmal danach schauen kann wo er herkommt?
So als Option wenn NSP nicht der erste ist der die Mail bekommt.

Das NSP noch so eine Option bekommt, wie Inhaltsfilter, suche nach Header informationen und wenn diese vorkommen, dann ablehnen etc.?

Leider aktuell nicht, ihr könntet wenn das System davor es kann einen XCLIENT Header setzen und das im NSP aktivieren, dann können wir einiges noch prüfen.

Header basiertes Filtern war Tatsache mal ein Festure Request, aber kommt so selten auf, dass er aufgrund dessen erstmal zu den Akten gelegt wurde
(Halte die Anfrage aber mit fest)

 

[lukas]

Hallo, Lukas,
die Letzte mail von Google mit Google Groups.
Wurde Abgelehnt.
Core Antispam Engine
und Reputationsfilter.
Am Ende hatte die Mail einen SCL von 5

Regeln alle korrekt ?
Die Mail die reingelassen wurde, war das eine Klassische Regel oder was angepasstes?

Hi Frank
ja, mittlerweile werden die Mails von der konkreten Liste abgelehnt, die Core Antispam Engine sagt 8 SCL und "Classified as Spam"
Plus 5 SCL vom Reputationsfilter, in dem Fall wegen fehlendem DNS sowie keiner Mail im TO/CC.

Von dieser einen Mail-Adresse (.....@zf.thesparklebar.com) haben wir in den letzten 7 Tagen 1427 Mails bekommen die Großteils auch abgelehnt wurden. Aber in den ersten 2 Tagen gingen von den Dingern 32 Mails durch, was halt auch etwas unschön ist.


Genauso oder ähnlich wird es sicher dann auch aussehen, wenn es die nächste Domain/Mailingliste betrifft.. aktuell z.B. @gh.onlinebildunchkeiten.de. Hier gingen 7 Mails durch (nur 1 SCL wegen fehlenden To/CC), bevor es dann durch die Core Antispam Engine mit 8 SCL gecatched wurde.


Deswegen war die Idee Emails von den Google-Mailing-Listen generell zu blockieren.
Im Privatbereich war die Lösung den Header zu filtern:
Wenn das Keyword "List-Unsubscribe" den Inhalt "unsubscribe@googlegroups.com" hat -> Lehne ab.

Hier 2 Beispiele:

Mailing-list: list sie@ha.msw-bd.com; contact sie+owners@ha.msw-bd.com
List-ID: <sie.ha.msw-bd.com>
X-Spam-Checked-In-Group: susdhsdeesdsdsdort@ha.msw-bd.com
X-Google-Group-Id: 935902109903
List-Post: <https://groups.google.com/a/ha.msw-bd.com/group/sie/post>, <mailto:sie@ha.msw-bd.com>
List-Help: <https://support.google.com/a/ha.msw-bd.com/bin/topic.py?topic=25838>,
<mailto:sie+help@ha.msw-bd.com>
List-Archive: <https://groups.google.com/a/ha.msw-bd.com/group/sie/>
List-Subscribe: <https://groups.google.com/a/ha.msw-bd.com/group/susdhsdeesdsdsdort/subscribe>,
<mailto:susdhsdeesdsdsdort+subscribe@ha.msw-bd.com>
List-Unsubscribe: <mailto:googlegroups-manage+935902109903+unsubscribe@googlegroups.com>,
<https://groups.google.com/a/ha.msw-bd.com/group/sie/subscribe>
Return-Path: sie+bncBD7K3NMGYUCRBZP4RXDQMGQEDLYBSCI@ha.msw-bd.com

Mailing-list: list sh@gh.onlinebildunchkeiten.de; contact sh+owners@gh.onlinebildunchkeiten.de
List-ID: <sh.gh.onlinebildunchkeiten.de>
X-Spam-Checked-In-Group: suppsdhsdksdhee@gh.onlinebildunchkeiten.de
X-Google-Group-Id: 935902109903
List-Post: <https://groups.google.com/a/gh.onlinebildunchkeiten.de/group/sh/post>,
<mailto:sh@gh.onlinebildunchkeiten.de>
List-Help: <https://support.google.com/a/gh.onlinebildunchkeiten.de/bin/topic.py?topic=25838>,
<mailto:sh+help@gh.onlinebildunchkeiten.de>
List-Archive: <https://groups.google.com/a/gh.onlinebildunchkeiten.de/group/sh/>
List-Subscribe: <https://groups.google.com/a/gh.onlinebildunchkeiten.de/group/suppsdhsdksdhee/subscribe>,
<mailto:suppsdhsdksdhee+subscribe@gh.onlinebildunchkeiten.de>
List-Unsubscribe: <mailto:googlegroups-manage+935902109903+unsubscribe@googlegroups.com>,
<https://groups.google.com/a/gh.onlinebildunchkeiten.de/group/sh/subscribe>
Return-Path: sh+bncBDLYVLG4Z4BRBZUGT3DQMGQEJ5JTXUI@gh.onlinebildunchkeiten.de

Wenn der NSP hier keine Lösung liefert werde ich wohl im Exchange schauen müssen, zentral am NSP wäre mir aber deutlich lieber.

Grüße Lukas

 

[ffischer]

Hallo Lukas,
nach dem Header Suchen wäre das einfache, dann wäre das Problem schon weg um die Google Groups zu entfernen.
Wie gesagt, das meiste wenn der NSP im Freien ist, wird gefiltert, hier und da rutscht noch was durch.
Wenn der NSP hinter einem Mail GW steht, schwieriger.
Dann da wohl doch mit dem Exchange Filtern.

 

[869288141]

Hallo zusammen,
ein SMTP Relay/Proxy ist kein Selbstläufer. Es gilt wiederkehrend die Regeln, Filter, etc. zu prüfen und ggf. für vermeidliche Spam Fluten anzupassen/erweitern. Gerade in den ersten Tagen der Welle dauert es ein wenig bis die Filter und DNSBL angepasst wurden. Das passiert schließlich nicht von alleine. Die Communties und Betreiber müssen die Daten auswerten, Maßnahmen entwickeln und verteilen.

Das ist nichts anderes wie bei Internet Firewall, bei der IDS/IPS aktiviert ist. Der Admin sich aber wundert, warum neuartige Angriffsmuster nicht direkt erkannt und unterbunden werden. Auch hier muss regelmäßig Zeit investiert werden.

Es ist kein Selbstläufer. Das sollte doch inzwischen bei allen IT Verantwortlichen angekommen sein...


Gruß,
Daniel