Phishing-Feeds¶
Externe Threat-Intelligence-Quellen. MailGuard pullt periodisch (stündlich) Listen bekannter Phishing-Domains/-URLs von OpenPhish, URLhaus und PhishTank.
Eingebaute Feeds¶
| Feed | Refresh | Status |
|---|---|---|
| OpenPhish | stündlich | aktiv (free) |
| URLhaus (abuse.ch) | stündlich | aktiv (free) |
| PhishTank | stündlich | inaktiv default — braucht eigenen API-Key |
Tabelle¶
Pro Feed:
- Name / Beschreibung
- URL — Pull-Endpoint
- Symbol — rspamd-Symbol das gefeuert wird bei Treffer (z.B.
OPENPHISH) - Refresh-Interval in Stunden
- API-Key (falls nötig — für PhishTank)
- Active-Toggle
- Last-Refresh + Letzter Status (success / failed / Anzahl Einträge)
Aktionen¶
- Plus — eigenen Feed hinzufügen (z.B. interner Threat-Feed des Unternehmens)
- Edit — URL, API-Key, Refresh-Interval
- Manual-Refresh — sofort einen Pull triggern (statt auf nächsten Cron-Tick zu warten)
- Delete
Score-Beitrag¶
Treffer in einem Phishing-Feed = +8.0 Score (Default). Kombiniert mit anderen Indikatoren (z.B. Suspicious-TLD oder URL-Shortener) übersteigt das fast immer die Quarantäne-Schwelle.
Cluster-Verhalten¶
Pull läuft auf einem ausgewählten Node (Sticky-Hash). Geparste Listen werden in der DB clusterweit verfügbar.