Quarantäne¶
Die quarantänen Mails clusterweit. Die Quarantäne ist die native Postfix-Hold-Queue — keine zusätzliche DB-Spiegelung. Mails landen hier wenn der Detection-Score über der Quarantäne-Schwelle liegt (pro Domain konfigurierbar, Default 12.0) oder wenn die Sandbox eine Detection-Regel matcht.
Liste¶
Die Tabelle zeigt pro Mail:
- Host — auf welchem Cluster-Node die Mail physisch in der Hold-Queue liegt
- Sender / Recipient — From-Address und To-Address
- Subject
- Score — der rspamd-Score plus Tooltip mit Symbol-Liste (welche Detection-Regeln gefeuert haben)
- Reason — die führende Detection-Begründung (Spam, Phishing-Pattern, Sandbox-Verdict, RBL-Match, etc.)
- Arrived — Zeitpunkt der Mail-Annahme
- Actions — Vorschau, Headers, Release, Verwerfen, als Spam markieren, als Ham markieren
Cluster-Sicht¶
Die Liste aggregiert per mTLS über alle Cluster-Nodes — der Admin sieht alle Mails egal auf welchem Knoten sie physisch liegen. Aktionen (Release, Discard) routen automatisch zum Owner-Node.
Aktionen¶
| Aktion | Wirkung |
|---|---|
| Vorschau (Augen-Icon) | Öffnet Modal mit Mail-Body, Headers, Anhang-Liste. Sandbox-Verdicts werden mit Detection-Regel-Treffern angezeigt. |
| Release (Häkchen-Icon) | Mail wird aus der Hold-Queue an den Empfänger zugestellt. Optional: Sender automatisch whitelisten. |
| Verwerfen (Mülltonne) | Mail wird gelöscht. Optional: Sender automatisch blocklisten. |
| Als Spam (Flagge) | Mail wird als Spam markiert + an den Klassifikator als Spam-Sample gefüttert. |
| Als Ham (Buch) | Mail wird freigegeben + als Ham-Sample gefüttert. |
| Download | EML-Datei herunterladen für forensische Analyse. |
Bulk-Aktionen¶
Mehrere Mails per Checkbox auswählen, dann: - Alle ausgewählten freigeben - Alle ausgewählten verwerfen - Sender aller ausgewählten Mails whitelisten / blocklisten
Filter¶
Über den Filter-Bereich oben: - Empfänger-Domain — nur Mails an eine bestimmte Domain - Sender-Domain — alle Mails von einem bestimmten Absender - Score-Range — z.B. nur Mails mit Score zwischen 10–15 (Soft-Quarantäne-Bereich) - Reason — nur Phishing, nur Sandbox-Hits, nur RBL-Treffer - Zeitraum — letzte 24h / 7 Tage / 30 Tage / Custom
Cluster-Aktionen routen zum Owner¶
Die Hold-Queue ist auf jedem Node lokal — wenn die Mail auf Node-2 liegt und der Admin auf Node-1 die UI bedient, schickt die UI per mTLS an Node-2 ein postsuper -H/-d. Der Operator merkt nichts davon, alles läuft transparent.
Verwandte Pages¶
- Spam-Bursts — Schnellansicht plötzlicher Spam-Wellen
- Training — Mail-Klassifikator mit Spam/Ham-Samples trainieren
- Sandbox — Detail-Logs der Anhangs-Detonationen
- End-User-Quarantäne-Portal — was der End-Nutzer sieht