Es geht nicht mehr nur um klassisches Phishing oder Casino-Spam. Die Flut an automatisierten Nachrichten von bekannten Desinformationsplattformen nimmt ebenso zu. Während diese Mails technisch oft „sauber“ sind (korrektes DKIM/SPF), ist ihr Inhalt oft ebenso unerwünscht.

Mit Rspamd und dem Multimap-Modul lässt sich eine geeignete Blacklist auf Basis von Community-Listen erstellen, um solche Absender gezielt mit Strafpunkten (Scores) zu belegen.

Die Quellen: Woher kommen die Listen?

Man muss das Rad nicht neu erfinden. Es gibt gute Community-Projekte, die Listen bekannter „Fake News“- und Desinformations-Hosts pflegen. Diese liegen meist im hosts-Format vor (0.0.0.0 gefolgt von der Domain).

• Steve Black’s Hosts-Lists: Eine der bekanntesten Quellen. Unter dem Tag fake-news finden sich tausende Domains.
  • Quelle: github.com/StevenBlack/hosts
• UT1 Blacklist (Universität Toulouse): Bietet sehr feingranulare Kategorien an, unter anderem publicite oder spezifische politische Desinformations-Kategorien.
  • Quelle: dsi.ut-capitole.fr/blacklists/

Die technische Umsetzung in Rspamd

Um eine solche Liste einzubinden, nutzt man das Multimap-Modul. Der wichtigste Aspekt ist hierbei ein sauberes Dateiformat und eine fehlerfreie Konfigurations-Syntax.

Schritt 1: Vorbereiten der Map-Datei

Rspamd benötigt eine einfache Liste von Domains (eine pro Zeile). Wenn man eine Datei im hosts-Format herunterläd, muss man diese bereinigen:

# Extrahiert Domains aus einer Hosts-Datei, entfernt Windows-Zeilenenden und Duplikate
grep '^0\.0\.0\.0' /tmp/quelle.md | awk '{print $2}' | tr -d '\r' | sort -u > /etc/rspamd/local.d/blacklist_desi.map

# Berechtigungen setzen (Wichtig für den Rspamd-User)
chown _rspamd:_rspamd /etc/rspamd/local.d/blacklist_desi.map
chmod 644 /etc/rspamd/local.d/blacklist_desi.map

Schritt 2: Konfiguration in multimap.conf

Man erstellt oder ergänzt die Datei /etc/rspamd/local.d/multimap.conf.

Wichtig: Auf die Semikolons bei Booleans (wie prefilter) achten in anderen Regeln der Datei, da Rspamd sonst die nachfolgenden Regeln ignorieren könnte.

# /etc/rspamd/local.d/multimap.conf

BLACKLIST_DESI {
    type = "from";
    filter = "email:domain";
    map = "/etc/rspamd/local.d/blacklist_desi.map";
    symbol = "SENDER_IN_FAKE_NEWS_LIST";
    dot_prepend = true;
    score = 5.0;
    description = "Lokale Blacklist für bekannte Desinformations-Seiten";
}

• dot_prepend = true: Sorgt dafür, dass auch Subdomains (z. B. sub.domain.com) erkannt werden, wenn nur domain.com in der Liste steht.
• filter = "email:domain": Prüft gezielt die Domain des Absenders.

3. Strategie beim Scoring (Die Qual der Wahl)

Wie hart soll man Desinformation bestrafen? Das hängt vom Einsatzzweck ab:

Empfehlung: Starten Sie mit 5.0. Das markiert die Mail deutlich, lässt aber Raum für echte Kommunikation, falls eine Domain fälschlicherweise auf der Liste landet.

4. Troubleshooting: Wenn die Map nicht lädt

Falls Rspamd die Regel ignoriert, helfen diese Befehle:

1. Syntax-Check:rspamadm configtest
   • Man sollte auf Meldungen wie cannot add rule achten. Dies deutet oft auf Syntaxfehler in der .conf hin.
2. Map-Check:rspamadm grep -l -s "domain.com" /etc/rspamd/local.d/blacklist_desi.map
   • Findet das interne Tool die Domain? Wenn nicht, dann prüft man die Datei mit cat -A auf unsichtbare Steuerzeichen.
3. Live-Test:printf "From: info@böseseite.com\nSubject: Test" | rspamc Erscheint das Symbol SENDER_IN_FAKE_NEWS_LIST im Output? Dann ist alles korrekt konfiguriert.

Mit einer Kombination aus Community-Listen und dem Multimap-Modul lässt sich Rspamd hervorragend individualisieren. So kann man Nutzer nicht nur vor technischem Spam schützen, sondern erhöhen auch die Qualität der zugestellten Informationen durch eine RSPAMD-Bewertung der E-Mails.