Genau das sieht man in den Kopfzeilen: Neben echten System-Absendern taucht eine List-ID wie kj.zf.thesparklebar.com auf; häufig sind weitere, dubiosere Gruppen-Domänen in der Kette zu finden, etwa ek.shirleyaraujo.com.br oder af.fluidcom.com.br. Die Gruppe ist der Dreh- und Angelpunkt: Sie nimmt Nachrichten aus allen Richtungen an – Spam, Autoresponder, legitime Tickets – und verteilt sie an alle eingetragenen Mitglieder. Ist die eigene Adresse (oder ein weitergeleiteter Alias) dort gelandet, spült es all das ins eigene Postfach.

Was da technisch im Hintergrund passiert

Google-Groups sind eigentlich praktische Verteiler. Wie offen eine Gruppe ist, entscheidet jedoch die Administration der jeweiligen Workspace-Domain. Viele ältere oder schlecht konfigurierte Gruppen erlauben das Hinzufügen externer Adressen ohne Verifizierung und akzeptieren Postings „von allen“. Trägt ein Bot dann ich@example.tld als Mitglied ein, liefert die Gruppe ab sofort alles an diese Adresse aus. Das wird seit Jahren für Spam- und Backscatter-Ketten missbraucht. Derzeit aber wieder akut und sehr stark über die oben genannten Gruppen.

In den Mail-Headern erkennt man das verlässlich: Neben der List-ID stehen häufig Sender: <gruppenname@…> und X-Google-Group-Id. Der eigentliche Inhalt kann von seriösen Systemen stammen (z. B. support@anbieter.example via anbieter.zdesk.example), deshalb bestehen SPF/DKIM/DMARC dort oft sogar mit „pass“. Der Fehlkonfigurations-Hotspot ist nicht der Absender, sondern die Gruppe dazwischen.

Übrigens: Der Return-Path enthält bei weitergeleiteten Mails oft ein SRS-Präfix wie SRS0=…@meinedomain.tld. Das ist lediglich die Absender-Umschreibung deines Mailservers beim Weiterleiten, kein Zeichen, dass du versendet hättest.

Ist Google für diesen Spam verantwortlich?

Kurz: meist nein. Google stellt die Plattform bereit, aber die Verantwortung für Mitgliedschaften und Posting-Regeln liegt bei den Gruppen-Betreibern (also der jeweiligen Workspace-Domain). Rechtlich ist das Plattform-/Hoster-Logik: Google bietet standardisierte Abmeldewege (List-Unsubscribe) und reagiert auf Abuse-Meldungen, doch die Fehlkonfiguration liegt beim Gruppen-Owner. Das Ergebnis ist trotzdem nervig – aber es ist kein „Google verschickt Spam“, sondern „eine fremde Gruppe verteilt zu großzügig“.

Woran man das erkennt

Ein Blick in die Header reicht. Typische Marker:

• List-Id: <kj.zf.thesparklebar.com> (oder ähnlich)
• Sender: kj@zf.thesparklebar.com
• X-Google-Group-Id: …
• List-Unsubscribe: <mailto:…+unsubscribe@googlegroups.com> und/oder https://groups.google.com/...
• Precedence: list

Sind diese Zeilen da, ist das Rätsel in der Regel gelöst.

Rauskommen: korrekt austragen – so findet man die Adresse

Der eleganteste Weg führt nicht über eine Antwort an die Gruppe, sonst erhältst du E-Mails, die du wahrscheinlich auch schon bekommen hast: „Stop Spamming“ oder „Unterlassen sie das!“ landet dann ebenfalls wieder bei ALLEN Empfängern der Gruppe. Nutze stattdessen die standardisierte List-Unsubscribe-Adresse, die ebenfalls im Header steht. Sie sieht typischerweise so aus:

List-Unsubscribe: <mailto:googlegroups-manage+XXXXXXXXXXXX+unsubscribe@googlegroups.com>

Man muss genau diese Adresse verwenden, die in DEINEM Header steht. Diese sieht vermutlich anders aus als die in meinem Beispiel! Das Schreiben an List-Post (die Gruppenadresse selbst) wäre kontraproduktiv – das würde nur in die Gruppe posten.

Wenn die betroffene Zieladresse ein Alias der eigenen Domain ist (z. B. alias@meinedomain.tld), kann man die Abmeldung direkt und „sauber“ vom eigenen Mailserver mit korrektem Envelope-Absender senden. Beispiel mit Postfix/Sendmail:

sendmail -f alias@meinedomain.tld \
  googlegroups-manage+XXXXXXXXXXXX+unsubscribe@googlegroups.com <<'EOF'
Subject: unsubscribe
From: alias@meinedomain.tld
To: googlegroups-manage+XXXXXXXXXXXX+unsubscribe@googlegroups.com

unsubscribe
EOF

Der Body kann leer bleiben; wichtig sind die Envelope-From-Adresse (-f alias@…) und die exakte Unsubscribe-Adresse. Je nach Gruppen-Einstellung erhält man entweder keine Rückfrage (sofort ausgetragen) oder eine kurze Bestätigungsmail, die man einmalig quittieren muss.

Wenn Austragen (noch) nicht greift: gezielt spam blocken statt Holzhammer

Pauschal „alle Google-Groups“ zu sperren, ist selten sinnvoll – es erwischt auch legitime Listen. Besser ist ein gezielter Schnitt auf die konkrete Gruppe, erkennbar an der List-Id.

• Postfix (serverseitig, präzise): # /etc/postfix/header_checks /^List-Id:\s*<kj\.zf\.thesparklebar\.com>$/ REJECT Unwanted Google Group In main.cf aktivieren: header_checks = regexp:/etc/postfix/header_checks Dann postfix reload.
• SpamAssassin (nur score erhöhen): header GGLGROUP_SPAM List-Id =~ /zf\.thesparklebar\.com/i score GGLGROUP_SPAM 6.0 describe GGLGROUP_SPAM Unwanted Google Group
• Client-seitig (z. B. Outlook 365):
  Eine Regel, die Nachrichten mit List-Id: kj.zf.thesparklebar.com in einen Ordner verschiebt oder löscht – als Sicherheitsleine, falls serverseitig nichts geändert werden soll.

Und vorbeugend?

Für die eigene Domain lohnt es sich ohnehin, die Hausaufgaben zu machen: DMARC konsequent auf p=reject, SPF/DKIM sauber halten, keine Catch-Alls, unbekannte Empfänger ablehnen und Logs im Blick behalten. Das verhindert nicht jede fremde Gruppen-Fehlkonfiguration, reduziert aber Backscatter generell und hilft beim Troubleshooting.

Fazit: Nicht dein Postfach ist „gehackt“, sondern eine fremde Google-Group verteilt zu großzügig – und deine Adresse hing oder hängt als Empfänger drin. Der Ausweg ist unspektakulär: List-Unsubscribe aus dem Header nehmen, austragen, fertig. Falls das (noch) nicht greift, hilft ein gezielter Header-Filter auf die konkrete List-Id. So bleibt der Rest deiner legitimen Gruppen unberührt – und das Postfach wieder ruhig.

The post Autoresponder-, Ticket- & Support-Spam? first appeared on NET73.

Was also tun?
In diesem Artikel zeige ich dir, wie du unter Mailcow solche Absender hart und sauber ablehnst, direkt auf SMTP-Ebene – und das elegant mit einem kleinen Shell-Script zur Verwaltung.

Warum nicht einfach filtern?

Natürlich könnte man mit Sieve-Filtern oder Roundcube-Regeln solche Mails in den Papierkorb werfen.
Aber:

• Das belastet trotzdem dein Postfach.
• Der Absender bekommt keine Fehlermeldung.
• Und du siehst sie eventuell noch in Quarantäne oder Logs.

Besser ist, sie gar nicht erst anzunehmen.
Damit wird die Mail schon beim Eingang mit einem „550 5.7.1 Message rejected as spam or unwanted mail“ abgewiesen.
Kein Speicherverbrauch, kein Logging-Müll, kein Ärger.

Schritt 1: Eigene Rspamd-Blockliste aktivieren

Mailcow bringt Rspamd bereits als Spamfilter mit.
Wir nutzen dessen multimap-Funktion, um eine eigene Blockliste zu definieren.

Editiere daher (in einer Standard-Mailcow-Installation die folgende Datei:

sudo vim /opt/mailcow-dockerized/data/conf/rspamd/local.d/multimap.conf

Inhalt:

block_senders {
    type = "from";
    map = "/etc/rspamd/local.d/blocked_senders.map";
    action = "reject";
    message = "550 5.7.1 Message rejected as spam or unwanted mail";
    description = "Custom sender blocklist";
}

Damit sagst du Rspamd:
„Schau in diese Map-Datei, und wenn der Absender dort gelistet ist – lehne die Mail ab.“

Schritt 2: Blockliste anlegen

Lege die Datei an, in der du deine geblockten Adressen pflegst:

sudo vim /opt/mailcow-dockerized/data/conf/rspamd/local.d/blocked_senders.map

Beispielinhalt:

*@nervfirma.tld
vertrieb@example.org
doofie*@example.org

Jede Zeile ist ein Eintrag.
Wildcards *@domain.tld sind erlaubt.

Schritt 3: Konfiguration prüfen und Rspamd neu starten

Jetzt sicherstellen, dass die Syntax stimmt und dann den Dienst neu starten:

cd /opt/mailcow-dockerized
docker compose exec rspamd-mailcow rspamadm configtest
docker compose restart rspamd-mailcow

Wenn syntax OK erscheint, ist alles gut.
Absender aus deiner Liste werden ab sofort auf SMTP-Ebene geblockt – sie bekommen also ein korrektes 550-Reject und die Mail landet nie bei dir.

Schritt 4: Komfortabler mit Shell-Script verwalten

Natürlich willst du nicht jedes Mal herumeditieren.
Deshalb hier ein kleines Script, das dich fragt, ob du einen Eintrag hinzufügen oder entfernen willst, und danach automatisch Rspamd neu startet.

Speichere dieses Script als
/opt/mailcow-dockerized/blocksender.sh
und mach es ausführbar:

chmod +x /opt/mailcow-dockerized/blocksender.sh

Inhalt:

#!/bin/bash
#
# blocksender.sh
# Kleine Helper-CLI zum Verwalten der Rspamd-Blockliste in Mailcow
# - Einträge hinzufügen/entfernen
# - rspamd neu starten bei Änderungen
#
# Voraussetzung:
#   - läuft auf dem Mailcow-Host
#   - wird aus /opt/mailcow-dockerized ausgeführt (oder wir cd'n dorthin)
#

MAILCOW_DIR="/opt/mailcow-dockerized"
BLOCKLIST_FILE="$MAILCOW_DIR/data/conf/rspamd/local.d/blocked_senders.map"
SERVICE_NAME="rspamd-mailcow"

cd "$MAILCOW_DIR" || { echo "Fehler: Konnte nicht nach $MAILCOW_DIR wechseln."; exit 1; }

if [ ! -f "$BLOCKLIST_FILE" ]; then
    echo "Fehler: Blocklisten-Datei $BLOCKLIST_FILE existiert nicht."
    exit 1
fi

restart_rspamd() {
    echo "Starte $SERVICE_NAME neu..."
    docker compose exec "$SERVICE_NAME" rspamadm configtest >/tmp/rspamd_configtest.out 2>&1
    if ! grep -q "syntax OK" /tmp/rspamd_configtest.out; then
        echo "WARNUNG: configtest meldet kein 'syntax OK'. Ausgabe:"
        cat /tmp/rspamd_configtest.out
        echo "Breche ab, kein Restart durchgeführt."
        exit 1
    fi

    docker compose restart "$SERVICE_NAME"
    if [ $? -ne 0 ]; then
        echo "Fehler: Neustart von $SERVICE_NAME fehlgeschlagen."
        exit 1
    fi

    echo "OK: $SERVICE_NAME neu gestartet."
}

echo "Was möchtest du tun?"
echo "[A] Hinzufügen"
echo "[R] Entfernen"
read -r -p "> " ACTION

case "$ACTION" in
    A|a)
        read -r -p "Bitte Absender/Domain eingeben (z.B. spam@firma.de oder *@nervfirma.de): " ENTRY
        if [ -z "$ENTRY" ]; then
            echo "Keine Eingabe. Abbruch."
            exit 1
        fi

        # Prüfen ob schon vorhanden (exakte Zeile)
        if grep -Fxq "$ENTRY" "$BLOCKLIST_FILE"; then
            echo "'$ENTRY' ist bereits in der Blockliste, keine Änderung."
            exit 0
        fi

        echo "$ENTRY" >> "$BLOCKLIST_FILE"
        if [ $? -ne 0 ]; then
            echo "Fehler: Konnte '$ENTRY' nicht in $BLOCKLIST_FILE schreiben."
            exit 1
        fi

        echo
        echo "Neuer Stand der Blockliste:"
        nl -ba "$BLOCKLIST_FILE"
        echo

        restart_rspamd
        ;;

    R|r)
        echo "Aktuelle Blockliste:"
        nl -ba "$BLOCKLIST_FILE"
        echo
        read -r -p "Welchen Eintrag exakt entfernen? (bitte exakt kopieren): " ENTRY
        if [ -z "$ENTRY" ]; then
            echo "Keine Eingabe. Abbruch."
            exit 1
        fi

        # Prüfen ob vorhanden
        if ! grep -Fxq "$ENTRY" "$BLOCKLIST_FILE"; then
            echo "Fehler: '$ENTRY' wurde nicht gefunden. Keine Änderung durchgeführt."
            exit 1
        fi

        # Temporäre Datei erstellen ohne diese Zeile
        TMPFILE=$(mktemp)
        grep -Fxv "$ENTRY" "$BLOCKLIST_FILE" > "$TMPFILE"

        if [ $? -ne 0 ]; then
            echo "Fehler beim Bearbeiten der Liste."
            rm -f "$TMPFILE"
            exit 1
        fi

        mv "$TMPFILE" "$BLOCKLIST_FILE"

        echo
        echo "'$ENTRY' entfernt. Neuer Stand:"
        nl -ba "$BLOCKLIST_FILE"
        echo

        restart_rspamd
        ;;

    *)
        echo "Ungültige Auswahl. Bitte A oder R."
        exit 1
        ;;
esac

exit 0

Anwendung

Starte das Script einfach mit:

cd /opt/containers/mailcow
./blocksender.sh

Dann wählst du A (add) oder R (remove) und gibst die Adresse ein.
Das Script prüft automatisch die Syntax und startet Rspamd nur neu, wenn alles korrekt ist.

Fazit

Mit dieser kleinen Ergänzung hast du dein Mailcow-System um ein richtig nützliches Feature erweitert:

• Du blockst gezielt Absender oder ganze Domains auf SMTP-Ebene.
• Der Spammer bekommt eine korrekte „550 5.7.1“-Antwort.
• Du hast keine Mails im Postfach, kein Quarantäne-Müll, keine Nacharbeit.
• Und dank des Scripts kannst du das Ganze bequem in Sekunden pflegen.

Kleine Änderung, große Wirkung!

The post Mailcow: Bestimmte Absender blockieren, ablehnen oder bouncen first appeared on NET73.

Was ist SearxNG?

SearxNG ist eine Abspaltung des Open-Source-Projekts SearX und wird aktiv weiterentwickelt. Die Software bietet Nutzern die Möglichkeit, über eine anpassbare Weboberfläche anonyme Suchanfragen an verschiedene Suchmaschinen zu stellen. Dabei wird die IP-Adresse nicht an die Dienste weitergegeben und Tracking-Skripte werden blockiert.

Ein wesentlicher Vorteil von SearxNG ist die Möglichkeit, eine eigene Instanz zu betreiben. Dadurch ist es möglich, selbst zu steuern, welche Suchanbieter genutzt werden und welche Daten erhoben werden.

Technische Grundlagen

SearxNG ist in Python geschrieben und verwendet das Flask-Webframework. Die Suchergebnisse werden durch sogenannte Engines aggregiert, die unterschiedliche Suchdienste anbinden. Neben klassischer Websuche unterstützt SearxNG auch Bilder, Nachrichten, Wissenschaft, Software-Downloads und viele weitere Kategorien.

Die Weboberfläche ist in Jinja2, HTML und JavaScript realisiert und ermöglicht eine umfangreiche Konfiguration.

SearxNG als Docker-Container betreiben

Die Installation von SearxNG kann je nach Umgebung manuell oder über Container-Management erfolgen. Eine einfache Möglichkeit zur Einrichtung bietet Docker.

Voraussetzungen

• Installiertes Docker und Docker Compose (bei Bedarf kann Docker auf dem System installiert werden).

Schritte zur Installation mit Docker

git clone https://github.com/searxng/searxng-docker.git 
cd searxng-docker

# Die Datei .env im Projektverzeichnis erlaubt Anpassungen. Standardmässig läuft SearxNG auf Port 8080
vim .env

# Die Instanz im Hintergrund starten:
compose up -d

Im Anschluss kannst du SearxNG über deinen Browser unter http://localhost:8080 aufrufen und nutzen.

Anpassung der Konfiguration

Die Datei searxng/settings.yml enthält zahlreiche Konfigurationsoptionen, etwa die Auswahl der genutzten Suchmaschinen oder das Aktivieren von Caching. Nach Änderungen kann der Container durch docker compose restart neugestartet werden, um die Anpassungen zu übernehmen.

Eigene SearxNG-Instanz nutzen

Wer eine öffentliche Instanz sucht, kann beispielsweise die von mir betriebene Instanz unter searx.net73.de nutzen. Dabei sollte jedoch bedacht werden, dass öffentliche Instanzen von Dritten betrieben werden und keine garantierte Verfügbarkeit bieten.

Für höchste Kontrolle empfiehlt sich der Betrieb einer eigenen Instanz, insbesondere wenn bestimmte Suchdienste priorisiert oder personalisierte Einstellungen genutzt werden sollen.

Fazit

SearxNG bietet eine interessante Alternative zu kommerziellen Suchmaschinen und ermöglicht eine anonyme Suche ohne Tracking. Die Möglichkeit, eine eigene Instanz zu betreiben, erlaubt eine individuelle Anpassung der Suchumgebung. Wer Wert auf Datenschutz legt und sich eine personalisierte, werbefreie Suchmaschine wünscht, findet in SearxNG eine flexible Lösung.

The post Let me searx that for you first appeared on NET73.

In der heutigen digitalen Welt ist der Schutz deines Computers vor Malware wichtiger denn je. Malware, eine Abkürzung für „malicious software“ (bösartige Software), umfasst Viren, Würmer, Trojaner und andere schädliche Programme, die darauf abzielen, deinen Computer zu schädigen, persönliche Daten zu stehlen oder dein Gerät für bösartige Aktivitäten zu nutzen.

Die Angreifer zielen es hierbei oftmals nicht nur auf große Unternehmen ab, sondern greifen auch sehr gerne Privatpersonen und kleinere Ziele an. Das perfide dabei: Oftmals will der Angreifer unbemerkt auf deinem System verweilen, um es so für Angriffe anderer Systeme als Ressource zu nutzen. Die folgenden 5 Grundsätze sind die absoluten Basics als Schritt in eine sichere IT. Zukünftige Blog-Beiträge werden sich mit den Themen noch etwas tief gehender beschäftigen.

1. Installiere ein Antivirenprogramm und halte es aktuell: Einer der grundlegendsten Schritte zur Malware-Prävention ist die Installation eines robusten Antivirenprogramms. Diese Software ist speziell dafür entwickelt, bekannte Malware zu erkennen und zu entfernen. Noch wichtiger ist, dass du dein Antivirenprogramm regelmäßig aktualisierst, da täglich neue Malware-Varianten entstehen und die Erkennungs-Signaturen so aktuell gehalten werden.

2. Halte dein Betriebssystem und Software aktuell: Sicherheitslücken in Betriebssystemen und Anwendungen sind ein häufiger Einfallsweg für Malware. Stelle daher sicher, dass du regelmäßige Updates für dein Betriebssystem und alle installierten Programme durchführst. Viele Betriebssysteme bieten die Möglichkeit, Updates automatisch zu installieren, was eine einfache und effektive Methode zur Erhöhung deiner Sicherheit ist.

3. Sei vorsichtig mit E-Mail-Anhängen und Links: Eine häufige Methode, Malware zu verbreiten, ist das Versenden infizierter E-Mail-Anhänge oder das Einbetten schädlicher Links in E-Mails. Öffne keine Anhänge oder klicke auf Links von unbekannten Absendern und sei auch bei Nachrichten von bekannten Kontakten vorsichtig, falls diese ungewöhnlich oder verdächtig erscheinen.

4. Nutze starke und einzigartige Passwörter und einen Passwort-Manager: Verwende für jeden deiner Online-Accounts ein starkes, einzigartiges Passwort und ändere diese regelmäßig. Dies verringert das Risiko, dass Hacker Zugang zu deinen Konten und somit potenziell zu deinem PC erhalten. Natürlich ist es schwierig, sich diese Passwörter dann zu merken – und nein: das Aufschreiben auf einen Notiz-Zettel ist nicht die Lösung. Es ist inzwischen UNERLÄSSLICH, sich die Vorzüge eines Passwort-Managers zu Nutze zu machen. Hier werden deine Passwörter an einem sicheren Ort verschlüsselt gespeichert. In einem späteren Beitrag stelle ich eine Liste verschiedener Passwort-Manager und deren Vor- und Nachteile vor.

5. Backup deiner Daten: Das hast du bestimmt schon genau so oft gehört, wie die ewige (aber leider wichtige und richtige) Rede zu den Passwörtern: Regelmäßige Backups deiner wichtigen Dateien können im Falle einer Malware-Infektion die letzte Rettung sein! Ich bemerke es immer wieder von Benutzern unterschiedlicher Expertenlevel, dass das Nachdenken über die Datensicherheit erst dann anfängt, wenn die Daten mal weg sind. Speichere deine Backups idealerweise an einem sicheren Ort, der vom Netzwerk getrennt ist, wie z.B. auf einer externen Festplatte.

Fazit: Durch die Befolgung dieser einfachen Bestandteile kannst du die Sicherheit deines PCs erheblich verbessern und das Risiko einer Malware-Infektion verkleinern. Denke daran, dass die beste Verteidigung gegen Malware ein proaktiver Ansatz ist, der regelmäßige Wartung und Vorsicht beim Surfen im Internet einschließt.

The post 5 Einfache Schritte zur Malware-Prävention first appeared on NET73.