Mailstation delivery reports?

[JdM]

Een van de gebruikers op mijn synology krijgt soms berichten in de inbox die ik niet kan plaatsen. Ik heb te weinig verstand hiervan om:
A. vast te stellen waar dit vandaan komt
B. vast te stellen of het kwaad kan en ik iets moet ondernemen

Wil iemand hier eens een balletje opgooien over wat er aan de hand is?
Overal waar "mijndomein" staat is door mij gewijzigd en daar stond dus de werkelijke domeinnaam
De xxx@ user is steeds dezelfde gebruikersnaam
In de spambox van mailstation krijgt de gebruiker af en toe ook een bericht wat door de gebruiker aan zichzelf gestuurd lijkt, als ik de bron moet geloven.
Alvast dank voor ieders input.

This is the mail system at host mijndomein.nl.

Your message was successfully delivered to the destination(s)
listed below. If the message was delivered to mailbox you will
receive no further notifications. Otherwise you may still receive
notifications of mail delivery errors from other systems.

                   The mail system

<xxx@mijndomein.nl>: delivery via local: delivered to command:
    /var/packages/MailServer/target/libexec/dovecot/dovecot-lda -f "$SENDER" -a
    "$RECIPIENT"
Reporting-MTA: dns; mijndomein.nl
X-Postfix-Queue-ID: F050D232A8E9
X-Postfix-Sender: rfc822; xxx@mijndomein.nl
Arrival-Date: Wed, 26 May 2021 12:28:46 +0200 (CEST)

Final-Recipient: rfc822; xxx@mijndomein.nl
Original-Recipient: rfc822; xxx@mijndomein.nl
Action: delivered
Status: 2.0.0
Diagnostic-Code: X-Postfix; delivery via local: delivered to command:
    /var/packages/MailServer/target/libexec/dovecot/dovecot-lda -f "$SENDER" -a
    "$RECIPIENT"
Return-Path: <xxx@mijndomein.nl>
Received: from mijndomein.nl (unknown [185.222.57.232]) DIT IS NIET MIJN IP ADRES
    by mijndomein.nl (Postfix) with ESMTP id B8C3D232A8D1
    for <xxx@mijndomein.nl>; Wed, 26 May 2021 12:28:46 +0200 (CEST)
From: Abuse Report <xxx@mijndomein.nl>
To: xxx@mijndomein.nl
Subject: *****SPAM***** =?UTF-8?B?6rK96rOgIO2GteyngDog?=xxx@mijndomein.nl =?UTF-8?B?6rKA7KadIO2VhOyalA==?=
Date: 26 May 2021 03:28:43 -0700
Message-ID: <20210526032843.D09DC21B3BDBC0FC@mijndomein.nl>
MIME-Version: 1.0
Content-Type: text/html;
    charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-MailScanner-ID: B8C3D232A8D1.A8198
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (not cached, score=16.398,
    required 5, autolearn=disabled, FROM_IN_TO_AND_SUBJ 1.00,
    HTML_MESSAGE 0.00, MIME_HTML_ONLY 1.10, RCVD_IN_BL_SPAMCOP_NET 1.25,
    RCVD_IN_MSPIKE_BL 0.01, RCVD_IN_MSPIKE_L5 2.57, RCVD_IN_SBL 2.60,
    RCVD_IN_SBL_CSS 3.56, RCVD_IN_XBL 0.72, RDNS_NONE 1.27,
    SPF_HELO_SOFTFAIL 0.90, SPF_SOFTFAIL 0.97, TO_EQ_FM_DIRECT_MX 0.45,
    TO_NO_BRKTS_NORDNS_HTML 0.00)
X-MailScanner-SpamScore: ssssssssssssssss
X-MailScanner-From: xxx@mijndomein.nl
X-Synology-Spam-Flag: Yes

[Briolet]

Het zal vast met de spamscore te maken hebben. De waarde is 16. (Het staat er als getal en als aantal s-jes)

De score is vooral hoog omdat hij op meerdere blocklists staat:

RCVD_IN_BL_SPAMCOP_NET 1.25,
    RCVD_IN_MSPIKE_BL 0.01, RCVD_IN_MSPIKE_L5 2.57, RCVD_IN_SBL 2.60,
    RCVD_IN_SBL_CSS 3.56

Het receiver IP is niet van jou, zoals je schrijft. Dat blijkt ook uit de SPF softfail. Het IP is volgens 'whois' geregistreerd in Bangladesh. Het zal dus iemand zijn die mail verstuurt met valse afzenders. En als returnadres jullie adres. Dan is er ook kans dat andere ontvangers een foutmelding sturen naar het returnadres uit de mail.

[Briolet]

Wat voor deze mail geholpen zou hebben is het instellen van een SPF 'Fail' i.p.v. een 'softfail' in je domein. En dan op de sas instellen dat een spf fail altijd geweigerd wordt.

Dan ben je van dit soort ongein af. Een enkele keer blokkeert hij dan ook een 'goed' mailtje. Ik zet goed tussen quotes, omdat de verzender dan de mail niet goed verstuurt. Je hebt nog steeds sukkels die aangeven dat de mail vanaf een specifiek IP moet komen, maar dan doodleuk hun mail vanaf een ander IP versturen. (Waarom stellen deze mensen dan een spf fail policy in?)

[JdM]

Ik had het IP adres ook opgezocht, maar kwam uit in Nederland (Amsterdam) als oorsprong met daarbij een vermelding naar Bangladesh op een IP-range waar deze tussen zit.

Maakt verder niet veel uit, ik begrijp nu dat het inderdaad SPAM is dank je.
Kan hier waarschijnlijk niks aan doen?

SPF fail instellen dus, ik ga daar eens achteraan.

[Briolet]

Je kunt in Mail Server ook instellen om softfail te blokkeren, maar mijn ervaring is dat zoveel verzenders dit verkeerd instellen, dat ook regelmatig gewenste mail geblokkeerd wordt.

In het begin was ik principieel, maar dan krijg je constand discussies over mensen die klagen dat de mail bij jou niet aankomt en bij anderen wel. Ze geven dan jou de schuld en weigeren die bij zichzelf te zoeken.

[JdM]

Ja dat is een discussie die je niet wint. Ik heb er weinig last van en gelukkig gebruikers die dit soort mails wel herkennen als "problematisch" waarop ze mij dan een bericht sturen ter verificatie.

Wat ik alleen nog niet helemaal begrijp is dat het bericht wat ik postte niet de daadwerkelijke bron is, maar het letterlijke mailtje wat werd toegestuurd. Is dit een poging om de ontvanger het idee te geven dat er iets van de eigen server afkomt? Er zit verder geen link of iets dergelijks in die zou verleiden om op te klikken, dus ik begrijp de bedoeling van dit mailbericht niet zo.

[Briolet]

Kan hier waarschijnlijk niks aan doen?

Mailscanner (Onderdeel van het mailserver pakket) heeft wel opties om spam direct weg te gooien i.p.v. in de spambox te plaatsen. Het is alleen niet via de GUI in te stellen. Wel door de template file te editten. Deze veranderen soms na een update, zodat je dit na elke update moet checken. Dat is dus niet voor elke gebruiker weggelegd.  Hier even een onderdeel uit de config file "mailscanner.template":

Code: [Selecteer]

#
# What to do with spam
# --------------------
#

# This is a list of actions to take when a message is spam.
# It can be any combination of the following:
#    deliver                 - deliver the message as normal
#    delete                  - delete the message
#    store                   - store the message in the (spam) quarantine
#    store-nonmcp            - store the message in the non-MCP quarantine
#    store-mcp               - store the message in the MCP quarantine
#    store-nonspam           - store the message in the non-spam quarantine
#    store-spam              - store the message in the spam quarantine
#    store-<directory-path>  - store the message in the <directory-path>
#    bounce                  - send a rejection message back to the sender
#    forward user@domain.com - forward a copy of the message to user@domain.com
#                              See the note below about the keywords that
#                              can be used.
#    striphtml               - convert all in-line HTML content to plain text.
#                              You need to specify "deliver" as well for the
#                              message to reach the original recipient.
#    attachment              - Convert the original message into an attachment
#                              of the message. This means the user has to take
#                              an extra step to open the spam, and stops "web
#                              bugs" very effectively.
#    notify                  - Send the recipients a short notification that
#                              spam addressed to them was not delivered. They
#                              can then take action to request retrieval of
#                              the original message if they think it was not
#                              spam.
#    header "name: value"    - Add the header
#                                name: value
#                              to the message. name must not contain any spaces.
#                              The "value" may contain the magic keyword "_TO_"
#                              anywhere in it. _TO_ will be replaced by a
#                              comma-separated list of the original recipients
#                              of the message. This is very useful if you just
#                              forward the message to a new address and don't
#                              use the "deliver" action, as otherwise the list
#                              of the original recipients may be lost.
#    custom(parameter)       - Call the CustomAction function in /usr/lib/Mail-
#                              Scanner/MailScanner/CustomFunctions/CustomAction
#                              .pm with the 'parameter' passed in. This can be
#                              used to implement any custom action you require.
#
# "forward" keywords
# ==================
# In an email address specified in the "forward" action, several keywords can
# be used which will be substituted with various properties of the message:
# _FROMUSER_   The left-hand side of the address of the sender.
# _FROMDOMAIN_ The right-hand side of the address of the sender.
# _TOUSER_     The left-hand side of each of the recipients in turn.
# _TODOMAIN_   The right-hand side of each of the recipients in turn.
# _DATE_       The date the message was received by MailScanner.
# _HOUR_       The hour the message was received by MailScanner.
# This means that you can forward messages to email addresses which show the
# original recipients of the message, which could be very useful when
# delivering into spam archive management systems.
#
# The default value I have set here enables Thunderbird to automatically
# handle spam when set to trust the "SpamAssassin" headers.
#
# This can also be the filename of a ruleset, in which case the filename
# must end in ".rule" or ".rules".
#Spam Actions = store forward anonymous@ecs.soton.ac.uk
#Spam Actions = deliver header "X-Spam-Status: Yes"

# This is just like the "Spam Actions" option above, except that it applies
# when the score from SpamAssassin is higher than the "High SpamAssassin Score"
# value.
#    deliver                 - deliver the message as normal
#    delete                  - delete the message
#    store                   - store the message in the (spam) quarantine
#    store-nonmcp            - store the message in the non-MCP quarantine
#    store-mcp               - store the message in the MCP quarantine
#    store-nonspam           - store the message in the non-spam quarantine
#    store-spam              - store the message in the spam quarantine
#    store-<directory-path>  - store the message in the <directory-path>
#    forward user@domain.com - forward a copy of the message to user@domain.com
#                              See the note below about the keywords that
#                              can be used.
#    striphtml               - convert all in-line HTML content to plain text.
#                              You need to specify "deliver" as well for the
#                              message to reach the original recipient.
#    attachment              - Convert the original message into an attachment
#                              of the message. This means the user has to take
#                              an extra step to open the spam, and stops "web
#                              bugs" very effectively.
#    notify                  - Send the recipients a short notification that
#                              spam addressed to them was not delivered. They
#                              can then take action to request retrieval of
#                              the original message if they think it was not
#                              spam.
#    header "name: value"    - Add the header
#                                name: value
#                              to the message. name must not contain any spaces.
#                              The "value" may contain the magic keyword "_TO_"
#                              anywhere in it. _TO_ will be replaced by a
#                              comma-separated list of the original recipients
#                              of the message. This is very useful if you just
#                              forward the message to a new address and don't
#                              use the "deliver" action, as otherwise the list
#                              of the original recipients may be lost.
#    custom(parameter)       - Call the CustomAction function in /usr/lib/Mail-
#                              Scanner/MailScanner/CustomFunctions/CustomAction
#                              .pm with the 'parameter' passed in. This can be
#                              used to implement any custom action you require.
#
# "forward" keywords
# ==================
# In an email address specified in the "forward" action, several keywords can
# be used which will be substituted with various properties of the message:
# _FROMUSER_   The left-hand side of the address of the sender.
# _FROMDOMAIN_ The right-hand side of the address of the sender.
# _TOUSER_     The left-hand side of each of the recipients in turn.
# _TODOMAIN_   The right-hand side of each of the recipients in turn.
# _DATE_       The date the message was received by MailScanner.
# _HOUR_       The hour the message was received by MailScanner.
# This means that you can forward messages to email addresses which show the
# original recipients of the message, which could be very useful when
# delivering into spam archive management systems.
#
# The default value I have set here enables Thunderbird to automatically
# handle spam when set to trust the "SpamAssassin" headers.
#
# This can also be the filename of a ruleset, in which case the filename
# must end in ".rule" or ".rules".
#High Scoring Spam Actions = store