Phishing-Feeds¶
Unter Phishing-Feeds werden URL-Blocklisten für bekannte Phishing-Seiten verwaltet. nmg lädt diese Listen regelmäßig herunter und prüft alle URLs in Mail-Bodys und Anhängen dagegen.
Tabelle¶
| Spalte | Beschreibung |
|---|---|
| Name | Bezeichnung des Feeds |
| URL | Download-URL der Feed-Datei |
| Symbol | rspamd-Symbolname, der bei einem Treffer gesetzt wird (z. B. NMG_PHISHING_OPENPHISH) |
| Aktualisierung | Update-Intervall in Stunden |
| Einträge | Anzahl der aktuell geladenen Phishing-URLs/Domains |
| Zuletzt geprüft | Zeitstempel des letzten Download-Versuchs |
| Status | Letztes Ergebnis: ok, error, empty |
| Eingebaut | Vom System mitgelieferter Feed — kann deaktiviert, aber nicht gelöscht werden |
| Aktiv | Feed ein-/ausschalten |
Formular (Feed hinzufügen/bearbeiten)¶
| Feld | Beschreibung |
|---|---|
| Name | Bezeichnung (frei wählbar) |
| URL | HTTP(S)-URL zur Feed-Datei |
| Symbol | Symbolname in Großbuchstaben ([A-Z0-9_]+), z. B. MY_PHISHING_FEED — wird als rspamd-Symbol registriert |
| API-Key | Optionaler HTTP-Header-Wert für zugangsbeschränkte Feeds (wird verschlüsselt gespeichert) |
| Update-Intervall | Stunden zwischen Download-Versuchen (Standard: 4) |
| Beschreibung | Optionaler Freitext |
| Aktiv | Feed beim nächsten Scheduler-Lauf sofort aktivieren |
Eingebaut mitgelieferte Feeds¶
| Feed | Typ | Update |
|---|---|---|
| OpenPhish Community | URL-Liste | 4 h |
| PhishTank | URL-Liste | 6 h |
Eingebaute Feeds decken den Großteil bekannter Phishing-Kampagnen ab. Eigene Feeds können hinzugefügt werden — z. B. interne Threat-Intelligence oder kommerzielle Feeds.
Feed-Formate¶
nmg unterstützt folgende Formate (automatisch erkannt):
| Format | Beispiel |
|---|---|
| Einfache URL-Liste | https://evil.com/login.html (eine URL pro Zeile) |
| Domain-Liste | evil.com (eine Domain pro Zeile) |
| CSV mit URL-Spalte | Erste Spalte = URL |
Score-Auswirkung¶
Jeder Feed hat ein eigenes rspamd-Symbol. Der Score-Beitrag des Symbols wird in Score-Tuning eingestellt. Standard: Treffer in einem aktiven Feed erhöhen den Score signifikant und führen typischerweise zur Quarantäne.
Statistik-Anzeige¶
Oben auf der Seite wird die Gesamtanzahl aller Einträge über alle aktiven Feeds angezeigt.
Update-Rhythmus
Der nmg-Scheduler lädt alle Feeds gemäß ihrem konfigurierten Intervall. Ein Feed mit refresh_hours: 4 wird frühestens 4 Stunden nach dem letzten erfolgreichen Download erneut geladen — nicht bei jedem Scheduler-Lauf.