Ankündigung

Einklappen
Keine Ankündigung bisher.

funktioniert der SPAM-Filter bei df?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    funktioniert der SPAM-Filter bei df?

    Hallo,
    seit mehreren Wochen bekomme ich täglich SPAM-Mails von der Sparkasse. Obwohl ich im Thunderbird als SPAM markiere und im df Kundenmenü den Spamschutz aktiviert habe "MailfilterEASY", "Reverse-DNS-Prüfung", "SPF", landen täglich neue Sparkasse-Mails im normalen Posteingang. Ich frage mich, ob der Spamfilter bei df überhaupt was taugt?
    Wieso lernt der df-Spamfilter nicht dazu? - Ein anderes E-Mail Konto bei einem anderen Provider habe ich nicht solche Probleme.

    #2
    Meine Mail Postfächer werden auch in den letzten Wochen mit Sparkasse, Raifeisenbank, DHL Phishingmails / Spam zugemüllt. Bin auch immer artig via Webmail (Horde) am reporten und wundere mich genauso, dass das nicht mal irgendwann zieht.

    Kommentar


      #3
      Zitat von roibush Beitrag anzeigen
      Hallo,
      seit mehreren Wochen bekomme ich täglich SPAM-Mails von der Sparkasse. Obwohl ich im Thunderbird als SPAM markiere und im df Kundenmenü den Spamschutz aktiviert habe "MailfilterEASY", "Reverse-DNS-Prüfung", "SPF", landen täglich neue Sparkasse-Mails im normalen Posteingang. Ich frage mich, ob der Spamfilter bei df überhaupt was taugt?
      Wieso lernt der df-Spamfilter nicht dazu? - Ein anderes E-Mail Konto bei einem anderen Provider habe ich nicht solche Probleme.
      Ironisch: Sie können ihn ja einmal abschalten und schauen, was dann für eine Flut kommt.

      Wenn wir nicht gefilterten SPAM gemeldet bekommen, versuchen wir natürlich die Filter entsprechend zu verbessern. Wenn er SPAM sehr gut gemacht ist, ist das leider ein Katz und Maus Spiel. Wir versuchen natürlich weiterhin da Verbesserungen zu erreichen. Können sie einmal einen Header einer solchen E-Mail hier (um die eigenen Adressen bereinigt) hier posten?

      Mit freundlichen Grüßen

      Nils Dornblut
      Blog - Facebook - Twitter
      Communitybetreiber: domainfactory GmbH
      Impressum / Pflichtangaben

      Kommentar


        #4
        Hallo Nils,

        Diese Sparkassenpest betrifft mich auch. Hier ein Mailheader:

        Delivery-date: Sat, 06 Nov 2021 03:24:09 +0100
        Received: from [80.67.18.11] (helo=mx11.ispgateway.de)
        by mailcluster2-2.ispgateway.de with esmtps (TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
        (Exim 4.94.2)
        (envelope-from <[email protected]>)
        id 1mjBNJ-0008GG-DI; Sat, 06 Nov 2021 03:24:09 +0100
        Return-path: <[email protected]>
        X-Envelope-to: MEINE EMAIL
        Received: from [103.69.126.182] (helo=mail.municipality.gov.np)
        by mx11.ispgateway.de with esmtps (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
        (Exim 4.94.2)
        (envelope-from <[email protected]>)
        id 1mjBNI-0005fL-KS
        for MEINE EMAIL; Sat, 06 Nov 2021 03:24:09 +0100
        Received: from mail.municipality.gov.np (localhost [127.0.0.1])
        by mail.municipality.gov.np (Postfix) with ESMTP id 4HmKrh1zZgz5VFMR
        for <MEINE EMAIL>; Sat, 6 Nov 2021 07:28:00 +0545 (+0545)
        Authentication-Results: mail.municipality.gov.np (amavisd-new); dkim=pass
        reason="pass (just generated, assumed good)"
        header.d=mailadmin.municipality.gov.np
        DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=
        mailadmin.municipality.gov.np; h=x-mailer:to:date:message-id
        :subject:mime-version:content-type:content-transfer-encoding
        :from; s=dkim; t=1636162979; x=1638754980; bh=cWx4VhDug9wZZy66N/
        2U7STUb5aj6qjHmobH3ohMzu4=; b=dfGBfANiVzKHhY8WmPLyUwlXXTvJE+6EnA
        WufgeWhx5+c7qzCfNHbsIS4jAl0bQGise5uUnhe1rrYLRlw3Ns Z/3wQgrkLgNduR
        us/FegFQZFKvf4+qi50/PbBb7Q0L3pSAb7+WtaK1Y05+EUqvnZf2lRaRoJVWoUpl
        cue1qzhIc=
        X-Virus-Scanned: amavisd-new at mail.municipality.gov.np
        Received: from mail.municipality.gov.np ([127.0.0.1])
        by mail.municipality.gov.np (mail.municipality.gov.np [127.0.0.1]) (amavisd-new, port 10026)
        with ESMTP id 5MuhxB0ZO0Sm for <MEINE EMAIL>;
        Sat, 6 Nov 2021 07:27:59 +0545 (+0545)
        Received: from [127.0.0.1] (unknown [87.116.190.174])
        by mail.municipality.gov.np (Postfix) with ESMTPSA id 4HmKQC5rwsz5gJGH
        for <MEINE EMAIL>; Sat, 6 Nov 2021 07:08:31 +0545 (+0545)
        From: "Sparkasse" <[email protected]>
        Content-Transfer-Encoding: quoted-printable
        Content-Type: text/html; charset=UTF-8
        Mime-Version: 1.0 (1.0)
        Subject: [SPAM][Sender] Wichtige Mitteilung
        Message-Id: <[email protected]>
        Date: Fri, 5 Nov 2021 18:23:31 -0700
        To: MEINE EMAIL
        X-Mailer: iPhone Mail (13E238)
        X-Received-SPF: pass ( mx11.ispgateway.de: domain of kaudenamun.gov.np designates 103.69.126.182 as permitted sender )
        X-DKIM: DKIM passed: mailadmin.municipality.gov.np (invalid), but signature is invalid.
        X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
        spamfilter23.ispgateway.de
        X-Spam-Level:
        X-Spam-Status: No, hits=0.0 required=9999.0 tests=BAYES_50 autolearn=disabled
        version=3.4.0
        X-Spam-CMAETAG: v=2.2 cv=e6t2ceh/ c=1 sm=1 tr=0
        a=gwXnkNJ5zGr4WpeiL6nyuQ==:17 a=IkcTkHD0fZMA:10 a=vIxV3rELxO4A:10
        a=E2DIB_NtAAAA:8 a=dDVoubgXAAAA:8 a=jmwd8cfD5UQHUnbIWj8A:9
        a=BXFcJaqe_NfxfzIP:21 a=frz4AuCg-hUA:10 a=_W_S_7VecoQA:10
        a=QEXdDO2ut3YA:10 a=JyVIWLulXEHBfb_g_MZE:22 a=2tR1ZK7CIDcVdsBNTDAx:22
        X-Spam-CMAECATEGORY:
        X-Spam-CMAESUBCATEGORY:
        X-Spam-CMAESCORE:

        <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http:/=
        /www.w3.org/TR/html4/loose.dtd">
        <html lang=3D"de">

        usw usw
        Ich fürchte nur, damit kann man nicht viel anfangen. Sowohl die Absenderadressen als auch die Routingpfade variieren ständig,
        und der Header ist wahrscheinlich sowieso gefakt. Das [SPAM][Sender] im Subject stammt von mir; ich habe inzwischen einen Mailfilter
        konfiguriert, der alles killt, was ein "Sparkasse" im Absendernamen hat.

        Viele Grüße
        Ungeduld

        Kommentar


          #5
          Gleiches bei mir und meiner Frau. DF kann das scheinbar nicht filtern. Dabei ist im From Header immer eine Adresse die keiner Sparkasse zuzuordnen ist. Man könnte ja mal eine Liste der Sparkassen-Domains erstellen (oder von den Sparkassen erfragen). Und wenn eine Mail im Subject das Wort "Sparkasse" im Text-Teil hat und nicht im Domainteil eine echte Sparkasse steht, rausschmeissen. Aber kann ja nicht sein, dass da ein unwissender Kunde drauf kommen muß bevor die Spam-Experten das kapieren, oder?

          Wenn man die Domains nicht hat, dann notfalls Crawlen. Wenn auf der Webseite hinter der Domain (zB aus dem oberen Beispiel kaudenamun.gov.np) das Wort "Sparkasse" nicht auftaucht, dann raus damit. Oder zum Start mal alle Absender-Top-Level-Domains rauswerfen die nicht .de oder .at sind (wie im beispiel .np). Woanders gibt es sowieso keine Sparkassen. Es könnte so einfach sein...

          Kommentar


            #6
            Noch eine Idee: Die Kolleg*innen von DF könnten doch die Regeln angucken, die Admins in den letzten Tagen so anlegen. Zumindest als Indikator, was da gerade los ist...

            Kommentar


              #7
              Zitat von Kukulkan Beitrag anzeigen
              Noch eine Idee: Die Kolleg*innen von DF könnten doch die Regeln angucken, die Admins in den letzten Tagen so anlegen. Zumindest als Indikator, was da gerade los ist...
              Bitte nicht, "meine" Regeln gehen dF nur dann etwas an, wenn ich den Zugriff freigebe. Es gibt ja nicht nur Spam Regeln...
              Es grüßt freundlich
              Ihr Benutzername

              Kommentar


                #8
                Zitat von Benutzername Beitrag anzeigen

                Bitte nicht, "meine" Regeln gehen dF nur dann etwas an, wenn ich den Zugriff freigebe. Es gibt ja nicht nur Spam Regeln...
                Ich verstehe das, aber Dir ist bewusst, dass vermutlich alle Admins der DF deine Regeln jederzeit sehen können, ja? Wenn das ein Problem ist, solltest Du vermutlich eher einen eigenen Mailserver aufsetzen (hab gelesen, dass mailcow ganz gut sein soll).

                Grüße,

                Kukulkan

                Kommentar


                  #9
                  Also seit gut einer Woche ist die Sparkasse auch bei uns auf allen DF Paketen omnipräsent. Dafür hab ich lange nix mehr von Alexandr gehört. Gehts dem eigentlich noch gut?
                  Entschuldigung für den Sarkasmus.

                  Kommentar


                    #10
                    Bei uns ging der Sparkassen-Phishing-Tango am 7. September schon los. Seither sind alleine auf meinem eigenen privaten Account ca. 40 solcher Mails eingangen...

                    Stimmt, Alexandr ist seit einer Weile still. Muß man sich Sorgen um Ihn machen?

                    Kommentar


                      #11
                      Zitat von Kukulkan Beitrag anzeigen

                      Ich verstehe das, aber Dir ist bewusst, dass vermutlich alle Admins der DF deine Regeln jederzeit sehen können, ja?
                      Du hast interessante Ansichten über die Funktionen und Befugnisse eines Systemadministrators.
                      Besser wir vertiefen das nicht.

                      MfG,
                      masterframe

                      Kommentar


                        #12
                        Zitat von masterframe Beitrag anzeigen
                        Du hast interessante Ansichten über die Funktionen und Befugnisse eines Systemadministrators.
                        Wer Zugriff auf die DF-Systeme hat (zB VM-Konsole, SSH etc) kann auf die Konfig-Datenbank des Systems zugreifen. Und damit auch auf die Konfig der Regeln. Ohne die Details im Aufbau zu kennen, werden beispielsweise Admins welche Root-Zugriff auf das Management-GUI-System haben auch diese Daten sehen können, wenn sie denn wollen. Was sie "dürfen" steht auf einem anderen Blatt Papier...

                        Wenn Du glaubst, dass man ein System konfigurieren und einrichten kann ohne auf die dort liegenden Daten zugreifen zu können, dann sind deine Ansichten interessant. Es gibt reihenweise Tools und Ansätze, den Zugriff von System-Admins zu reduzieren. Aber letztlich kann man nur Überwachen (zB SSH-Sessions mitschreiben bzw den VM-Host protokollieren lassen). Verhindern geht letztlich nicht, denn sonst kann der Systemadmin seinen Job nicht mehr machen. Wie will er denn ein Backup einrichten auf Daten, auf die er nicht zugreifen kann? Und wenn er das doch schafft, kann er auf das Backup zugreifen. Denn die Zugangsdaten für den Speicherort muß er kennen. Und so weiter und so weiter...

                        Ein Lösungsabieter listet das ganz nett auf: https://www.ekransystem.com/en/blog/...administrators Schau dort mal den Abschnitt "How sysadmins can abuse their privileges" an. Und darunter die Lösungen (Monitoring, also wie erwähnt mitschreiben und protokollieren lassen). Aber das wird selten so umgesetzt und ist nie 100% sicher. Letztlich muß man dem/der Admin (bzw der DomainFactory) trauen oder es selber machen.

                        Bin mir nicht sicher, aber ich meine, dass ich vor ca. zwei Jahren mal mit den Regeln ein Thema hatte und sogar der Supporter am Telefon auf meine Regeln gucken konnte. Also in sofern...

                        Kommentar


                          #13
                          Zitat von Kukulkan Beitrag anzeigen
                          Ich verstehe das, aber Dir ist bewusst, dass vermutlich alle Admins der DF deine Regeln jederzeit sehen können, ja? Wenn das ein Problem ist, solltest Du vermutlich eher einen eigenen Mailserver aufsetzen (hab gelesen, dass mailcow ganz gut sein soll).
                          Selbst wenn Sie es können sollten, heisst das nicht, dass sie es tun. Seit der "Datenpanne" ist dF vermutlich etwas vorsichtiger mit den Zugriffen. Aber ja, es ist eine US-Konzenrn Mutter und ich ziehe seit Jahren meine Projekte hier Stück für Stück weg. Das letzte wird vermutlich Mitte 2022 weg ziehen, vielleicht stellst Du Deinen Wunsch dann noch einmal?
                          Zuletzt geändert von Benutzername; 09.11.2021, 11:16.
                          Es grüßt freundlich
                          Ihr Benutzername

                          Kommentar


                            #14
                            Zitat von Kukulkan Beitrag anzeigen
                            sogar der Supporter am Telefon auf meine Regeln gucken konnte.
                            Das kann der Support nur wenn er sich vorher auf deinen Account aufgeschaltet hat.
                            Aufschalten kann er sich nur wenn du diesen Zugriff mit deinem Telefonpasswort autorisierst.
                            Ansonsten sieht der Support gar nix.

                            Über das Tun & Lassen von Sysadmins spekuliere ich nicht.
                            PS: Man kann sehr wohl Backups von Daten anlegen auf welche man physisch keinen Zugriff hat und diesen auch gar nicht braucht. Man klont statt dessen einfach den gesamten Datenträger inkl. Verschlüsselung oder eben die VM 😉
                            Zuletzt geändert von masterframe; 09.11.2021, 12:10.
                            MfG,
                            masterframe

                            Kommentar


                              #15
                              Zitat von masterframe Beitrag anzeigen
                              Über das Tun & Lassen von Sysadmins spekuliere ich nicht.
                              Okay... 🤷‍♂️

                              Zitat von masterframe Beitrag anzeigen
                              PS: Man kann sehr wohl Backups von Daten anlegen auf welche man physisch keinen Zugriff hat und diesen auch gar nicht braucht. Man klont statt dessen einfach den gesamten Datenträger inkl. Verschlüsselung oder eben die VM 😉
                              Aber nicht gerade effizient 😉

                              Kommentar

                              Lädt...
                              X