Filter & Regeln¶
nmg bietet mehrere Schichten von Filter-Regeln, alle über das Management-UI verwaltet und sofort an alle Cluster-Nodes repliziert.
Sender-Filter¶
Unter Mail-Filter → Sender-Filter werden explizite Freigabe- und Sperr-Regeln für Absender definiert.
Felder¶
| Feld | Beschreibung |
|---|---|
| Typ | whitelist (freigeben) oder blacklist (sperren) |
| Domain | Gilt nur für diese Empfänger-Domain — oder global (kein Domain-Filter) |
| Empfänger (user_email) | Gilt nur für mails an diese eine Adresse (per-Empfänger-Scope) |
| Match-Typ | Was verglichen wird: sender (Absender-Adresse), sender_domain (Absender-Domain), ip (IP-Adresse) |
| Match-Modus | exact (exakter Treffer), wildcard (z. B. *@example.com), regex (regulärer Ausdruck) |
| Match-Quelle | envelope (SMTP-Envelope-From), header (From-Header), both (beides) |
| Wert | Der zu prüfende Wert (E-Mail-Adresse, Domain, IP, CIDR) |
| Beschreibung | Optionaler Freitext |
| Aktiv | Filter ein-/ausschalten |
| Auch Sandbox-Whitelist | Legt gleichzeitig einen passenden Eintrag in der Sandbox-Whitelist an — der Absender umgeht dann auch den YARA-Scan. Nur für globale Whitelist-Einträge verfügbar (kein Domain-Scope, kein Empfänger-Scope, kein Regex-Modus). |
Aktion automatisch gesetzt
Die Aktion wird automatisch aus dem Typ abgeleitet: whitelist → accept, blacklist → reject. Sie kann nicht manuell überschrieben werden.
Auch Sandbox-Whitelist
Aktiviere Auch Sandbox-Whitelist beim Anlegen einer globalen Whitelist, wenn der Absender sowohl den rspamd-Filter als auch den YARA-Scan umgehen soll. Beim Löschen des Sender-Filters wird der zugehörige Sandbox-Whitelist-Eintrag automatisch mitentfernt.
Scope-Hierarchie¶
- Global: Gilt für alle eingehenden Mails, unabhängig von Domain und Empfänger
- Domain-Scope: Gilt nur für Mails an Empfänger dieser Domain
- Empfänger-Scope (user_email): Gilt nur für Mails an genau diese eine Adresse
Endbenutzer-Selfservice-Whitelists (z. B. aus dem Quarantäne-Portal) landen ebenfalls als empfänger-spezifische Filter hier.
Match-Quelle: envelope vs. header
envelope prüft den technischen SMTP-Absender (Bounce-Adresse). header prüft den im E-Mail-Header sichtbaren Absender. Bei Mailing-Listen und Weiterleitungen können diese unterschiedlich sein. both schützt gegen Spoofing-Versuche die eine der beiden Quellen manipulieren.
Content-Filter¶
Unter Mail-Filter → Content-Filter werden inhaltsbasierte Regeln definiert.
Felder¶
| Feld | Beschreibung |
|---|---|
| Scope | global, domain oder user |
| Domain | Bei domain/user-Scope: welche Domain |
| Empfänger | Bei user-Scope: welche E-Mail-Adresse |
| Filter-Typ | Was geprüft wird (siehe Tabelle unten) |
| Match-Modus | contains (Teilstring), regex, exact |
| Pattern | Suchmuster |
| Aktion | reject, quarantine, discard, add_header, accept |
| Header-Name / -Wert | Nur bei add_header: Name und Wert des hinzuzufügenden Headers |
| Priorität | Reihenfolge bei mehreren Regeln (niedriger = höhere Priorität) |
Filter-Typen¶
| Typ | Prüft |
|---|---|
body_keyword |
Text im Mail-Body (HTML und Plaintext) |
subject_keyword |
Betreffzeile |
attachment_type |
MIME-Typ des Anhangs (z. B. application/x-msdownload) |
attachment_name |
Dateiname des Anhangs (z. B. *.exe) |
header_match |
Beliebiger Header (kombiniert mit Header-Name/Wert) |
sender |
Absender-Adresse (wie Sender-Filter, aber im Content-Filter-Kontext) |
Überwachte Domains (Watched Domains)¶
Domains, für die bei jeder eingehenden Mail eine Benachrichtigung gesendet wird. Nützlich zur Überwachung kritischer Partner-Domains oder bei Verdacht auf Domain-Spoofing. Zu finden unter Mail-Filter → Überwachte Domains.
RBL (DNS-Blocklisten)¶
Unter RBL werden die verwendeten DNS-Blocklists verwaltet.
| Spalte | Beschreibung |
|---|---|
| Name | Bezeichnung der RBL |
| Hostname | DNS-Abfragehost (z. B. zen.spamhaus.org) |
| Score | rspamd-Score-Beitrag bei Treffer |
| Aktiv | RBL ein-/ausschalten |
Vorinstallierte RBLs: Spamhaus ZEN, Barracuda, SURBL, URIBL. Eigene RBLs können hinzugefügt werden.
Composites (Kombinations-Regeln)¶
Unter Composites werden rspamd Composite-Regeln verwaltet. Eine Composite-Regel kombiniert mehrere rspamd-Symbole mit boolescher Logik zu einem neuen Symbol mit eigenem Score.
Beispiel:
Phishing-Feeds¶
Unter Phishing-Feeds werden URL-Blocklisten für bekannte Phishing-Seiten verwaltet. nmg prüft alle URLs in Mail-Bodys und Anhängen gegen aktive Feeds.
| Feed | Beschreibung |
|---|---|
| OpenPhish | Automatisch aktualisierte Phishing-URL-Liste |
| PhishTank | Community-basierte Phishing-Liste |
| Eigene Feeds | Custom URL-Listen (CSV oder TXT) |
Phishing-Keywords¶
Schlüsselwörter, die auf Phishing-Versuche hindeuten. Keywords können als Regex eingetragen werden, mit optionalem Score-Beitrag und Sprachen-Filter.
Verdächtige TLDs¶
TLDs die statistisch häufig für Spam und Phishing missbraucht werden, können mit einem Malus-Score versehen werden. Standard-Malus-TLDs: .xyz, .top, .click, .loan, .win, .gq, .tk.
URL-Shortener¶
nmg löst URL-Shortener-Links (z. B. bit.ly, t.co) automatisch auf und prüft die Ziel-URL gegen Phishing-Feeds. Unter URL-Shortener wird die Liste der Shortener-Domains verwaltet.
Sandbox-Whitelist¶
Absender, deren Anhänge nicht durch die YARA-Sandbox laufen sollen, werden unter Sandbox → Sandbox-Whitelist gepflegt (seit v1.10.26 — nicht mehr unter Mail-Filter).