Zum Inhalt

Composites

rspamd-Composites — Score-Multiplikatoren bei Symbol-Kombinationen. Statt „SPF-Fail = +5 Score" sagen Composites: „SPF-Fail + DKIM-Fail + RBL-Hit zusammen = +18 Score" (Bonus weil die Kombination schwerer wiegt als die Summe der Einzelwerte).

Eingebaute Composites

ab Werk aktiv (gespiegelt aus EdgeGuard-Plugins, dem Schwesterprodukt für Web-Application-Firewall):

Name Expression Score Bedeutung
STRONG_SPOOFING R_SPF_FAIL & R_DKIM_REJECT & RBL_HIT +12.0 Klare Spoofing-Indikatoren in 3 Schichten
MULTI_RBL_HIT RBL_HIT & URIBL_HIT +6.0 Sender-IP UND URL im Body geflaggt
PHISH_PROFILE DACH_PHISHING_SUBJECT & FISHY_TLD & URL_REDIRECTOR +15.0 DACH-Phishing-Pattern + Suspicious-TLD + URL-Shortener — typisches DACH-Phishing-Profil
MISSING_AUTH !R_DKIM_ALLOW & !R_SPF_ALLOW & !ARC_ALLOW +4.0 Keine der Auth-Methoden bestanden
HEADER_ANOMALY_BURST HFILTER_HELO_BAREIP & HFILTER_FROMHOST_NORESOLVE_MX +8.0 Mehrere Header-Anomalien gleichzeitig
SANDBOX_MALICIOUS MAIL_HAS_SANDBOX_VERDICT_MALICIOUS +20.0 Sandbox-Detonation hat Schadcode bestätigt

Eigenen Composite anlegen

Plus-Button → Form:

  • Name — eindeutiger Identifier (z.B. INTERNAL_PHISH_PATTERN)
  • Expression — logischer Ausdruck mit & (UND), | (ODER), ! (NICHT). Symbole sind alle rspamd-Symbole — sichtbar im Mail-Logs Detail-View.
  • Score — Total-Score wenn die Composite matched
  • Group-Name — Gruppierung für Score-Tuning (Default: policies)

Beispiel:

Expression: SPF_ALLOW & DKIM_REJECT & FISHY_TLD
Score:      +10.0

→ Mails mit gültigem SPF aber fehlgeschlagenem DKIM von einer Suspicious-TLD bekommen +10 Score zusätzlich.

Score-Tuning für Composites

Wenn ein Composite zu sensibel ist (False-Positives), zwei Wege:

  1. Score senken im Composite-Edit-Dialog
  2. Symbol-Beitrag senken im Score-Tuning-Tab — wenn ein einzelnes Symbol zu stark gewichtet ist (z.B. FISHY_TLD ist auf +5 voreingestellt; bei einer Mandanten-Domain die regelmäßig legitime Mails von .xyz-Domains bekommt: lokal auf +2 senken)

Cluster-Verhalten

Composites sind clusterweit. Änderungen replizieren per mTLS-Fan-Out. rspamd lädt die Composite-Konfiguration nach jedem Edit neu.

Anti-Pattern: zu viele Composites

Composites sind teuer (jede Mail wird gegen jede Expression evaluiert). Pragmatik: bei mehr als 30-40 Composites verschlechtert sich die Mail-Verarbeitungs-Latenz spürbar. Wenn man so viele braucht, ist meist eine Konsolidierung in weniger, breitere Expressions sinnvoller.

Verwandte Pages

Home Features Preise Kontakt Impressum Datenschutz
© 2026 NetCell IT — NetCell MailGuard ist ein Produkt von NetCell-IT.