Konstantin Filtschew

Google-Groups-Spam in Rspamd blockieren – mit einer einzigen Regel

von

Konstantin Filtschew
in ,

Spammer sind kreativ. Und einer ihrer aktuell beliebtesten Tricks: Google Groups als kostenlosen Relay missbrauchen. Gruppe erstellen, Opfer einladen, Werbemüll, Phishing und Betrugsmaschen durch Googles eigene Infrastruktur schicken – fertig. Weil die Mails direkt von Google-Servern kommen, bestehen SPF-, DKIM- und DMARC-Prüfungen anstandslos. Die meisten Filter rühren sich nicht. Wenn du keine legitimen Google-Groups-Mails auf deinem Mailserver erwartest, kannst du den ganzen Spaß mit einer einzigen kleinen Rspamd-Regel stoppen.

Warum Google-Groups-Spam so schwer zu fassen ist

Eine typische Spam-Welle über Google Groups kommt von einem mail-*.google.com-Server mit gültiger Authentifizierung. Der Envelope-Sender sieht ungefähr so aus: ad7+bncBCE4JP6LW4MBBZHTUXHQMGQEYI5O3BY@irgendeine-domain.tld – und der From:-Header zeigt auf eine unverdächtige Adresse auf derselben Domain. Standardregeln wie DBL_SPAM oder BAYES_SPAM erwischen vielleicht einen Teil davon, aber Spammer rotieren ihre Domains so schnell, dass sie unter dem kombinierten Score-Schwellenwert bleiben.

Das verlässliche Signal ist der X-Google-Group-Id-Header. Google fügt ihn jeder Nachricht hinzu, die über eine Google Group läuft – und du kannst ihn nicht per normalem SMTP fälschen. Die Nachricht muss tatsächlich durch die Google-Groups-Infrastruktur gelaufen sein.

Hier sind die relevanten Header aus einer echten Spam-Nachricht, die über Google Groups zugestellt wurde:

From: TechTrends Haushalt <techtrends@bn.hethbeauty.de>
Subject: Ich dachte, mein Kühlschrank ist sauber. Dann landete meine Familie
         in der Notaufnahme
Precedence: list
Mailing-list: list ad7@bn.hethbeauty.de; contact ad7+owners@bn.hethbeauty.de
List-ID: <ad7.bn.hethbeauty.de>
X-Google-Group-Id: 1059602057684
List-Post: <https://groups.google.com/a/bn.hethbeauty.de/group/ad7/post>,
           <mailto:ad7@bn.hethbeauty.de>

Der Rspamd-Score für diese Nachricht lag bei 14,61 – knapp unter dem Reject-Schwellenwert von 15,00. Ein kleiner Schubs hat gereicht, um sie durchzulassen. Den stopfen wir jetzt.

Die Lua-Regel

Lege eine neue lokale Lua-Datei an, damit du die mitgelieferten Rspamd-Regeln nicht anfasst:

root@server $ vim /etc/rspamd/lua.local.d/google_groups.lua

Und dann rein damit:

lua

rspamd_config:register_symbol({
  name = 'GOOGLE_GROUPS_SENDER',
  score = 15.0,
  description = 'Mail sent via Google Groups',
  group = 'blocklist',
  callback = function(task)
    if task:get_header('X-Google-Group-Id') then
      return true
    end
    return false
  end
})

Die Regel registriert ein neues Symbol GOOGLE_GROUPS_SENDER. Sobald der Callback true zurückgibt – also immer dann, wenn der Header vorhanden ist – wird das Symbol ausgelöst und sein Score zur Nachricht addiert.

Beim Score hast du die Wahl, wie hart du durchgreifen willst:

  • score = 15.0 trifft den Standard-Reject-Schwellenwert und blockiert die Nachricht sofort.
  • score = 8.0 lässt die Nachricht durch, schiebt sie aber sicher über den „Header hinzufügen“-Schwellenwert – sie landet dann im Junk-Ordner.

Wenn du Nutzer auf deinem Server hast, die legitim Google-Groups-Mailinglisten abonniert haben, fang mit dem niedrigeren Score an und beobachte erst, bevor du auf hartes Ablehnen umstellst.

Konfiguration testen und Rspamd neu laden

Vor dem Reload immer prüfen, ob die Konfiguration noch korrekt parsed:

root@server $ rspamadm configtest
syntax OK

Wenn der Test durchläuft, Rspamd neu laden:

root@server $ systemctl reload rspamd

Ein Reload reicht – kein vollständiger Neustart nötig.

Die Regel gegen eine echte Spam-Mail testen

Am schnellsten prüfst du, ob die Regel funktioniert, indem du eine gespeicherte .eml-Datei durch rspamc jagst. Du kannst eine Spam-Nachricht nehmen, die auf deinem Server angekommen ist, oder das Beispiel hier herunterladen:

Datei in ein Arbeitsverzeichnis legen und dann:

$ rspamc -v symbols ~/tmp/google-groups-spam-example.eml

In der Ausgabe sollte jetzt stehen:

Symbol: GOOGLE_GROUPS_SENDER (15.00)

Der Gesamtscore springt im Vergleich zu den ursprünglich aufgezeichneten Headern um 15 Punkte nach oben, und die Aktion sollte auf reject umschlagen.

Fazit

Ein einziger Header-Check reicht aus, um den größten Teil des Google-Groups-Spams zu stoppen. Der X-Google-Group-Id-Header wird von Google selbst gesetzt und kann von einem normalen SMTP-Sender nicht gefälscht werden – die Regel ist damit präzise und wartungsarm. Fang mit 8.0 an, wenn du dir bei legitimen Google-Groups-Mails auf deinem Server unsicher bist, oder geh direkt auf 15.0, wenn du einfach nur Ruhe haben willst.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Die folgenden im Rahmen der DSGVO notwendigen Bedingungen müssen gelesen und akzeptiert werden:

Informationspflicht

Durch Abschicken des Formulares wird dein Name, E-Mail-Adresse und eingegebene Text in der Datenbank gespeichert. Für weitere Informationen wirf bitte einen Blick in die Datenschutzerklärung.