Phishing-Keywords¶
Unter Phishing-Keywords werden Schlüsselwörter und Muster verwaltet, die auf Phishing-Versuche, Social-Engineering oder Business-Email-Compromise hindeuten. Treffer erhöhen den rspamd-Score.
Tabelle¶
| Spalte | Beschreibung |
|---|---|
| Muster | Suchtext oder regulärer Ausdruck |
| Regex | Ob das Muster als Regex interpretiert wird |
| Ziel | Welcher Mail-Teil geprüft wird |
| Sprache | Optionale Sprachbeschränkung (de, en, leer = alle) |
| Treffer | Anzahl der Erkennungen im gewählten Zeitraum |
| Eingebaut | Vom System mitgeliefertes Muster |
| Beschreibung | Optionaler Freitext |
| Aktiv | Muster ein-/ausschalten |
Formular¶
| Feld | Beschreibung |
|---|---|
| Muster | Suchtext (z. B. Passwort zurücksetzen) oder Regex (z. B. (?i)konto\s+gesperrt) |
| Regex | Muster als regulären Ausdruck auswerten |
| Ziel | Welcher Mail-Bereich geprüft wird (siehe unten) |
| Sprache | Optional: nur auf Mails in dieser Sprache anwenden |
| Beschreibung | Freitext |
| Aktiv | Sofort aktivieren |
Ziel-Optionen¶
| Ziel | Beschreibung |
|---|---|
subject |
Betreffzeile |
body |
Mail-Body (HTML und Plaintext) |
header_from |
Header-From-Adresse |
header_to |
Header-To-Adresse |
Regex-Tipps¶
Phishing-Keywords werden case-insensitive geprüft wenn die Regex-Option aktiv ist. Nützliche Muster:
# Dringlichkeitswörter (DE)
(?i)(sofort|dringend|unverzüglich|innerhalb\s+\d+\s+(stunden?|minuten?))
# Konto-Sperr-Muster (DE)
(?i)konto\s+(gesperrt|deaktiviert|gesperrt|eingeschränkt)
# Passwort-Reset-Muster (EN)
(?i)(reset|change|update)\s+your\s+(password|credentials)
# CEO-Fraud-Indikatoren
(?i)(wire\s+transfer|urgent\s+payment|bank\s+details)
Statistiken (Keyword-Treffer)¶
Die Statistik-Anzeige zeigt Treffer-Counts je Keyword für den gewählten Zeitraum (24h / 7d / 30d). Damit lässt sich erkennen:
- Welche Muster aktiv anschlagen
- Ob ein Muster zu viele False Positives erzeugt (hohe Trefferzahl bei Ham)
- Welche Muster nie anschlagen (ggf. deaktivieren)
Score-Tuning
Phishing-Keywords erzeugen rspamd-Symbole. Deren Score-Gewicht lässt sich in Mail-Konfiguration → Score-Tuning anpassen, ohne die Keywords zu löschen.
Vorinstallierte Keywords (Beispiele)¶
| Muster | Ziel | Beschreibung |
|---|---|---|
Konto gesperrt |
body | Typische DE-Phishing-Formulierung |
verify your account |
body | Typische EN-Phishing-Formulierung |
payment overdue |
subject | BEC/Invoice-Fraud-Muster |
click here to confirm |
body | Generischer Phishing-CTA |