Hallo Kay,
Am 07.11.2017 um 23:58 schrieb Kay Martinen:
> Die Wichtigere Frage ist doch: Bist du Paypal-Kunde?
> Ich bin es nicht, und darum ist jede Mail die mich von dort erreicht
> ganz klar entweder Spam oder etwas anderes das ich nicht will.
Ja, ich bin PayPal-Kunde und darum möchte ich diese Emails eigentlich
erhalten.
In meinem Fall reden wir also von false-positives.
Bei Spam könnte ich deine Argumentation noch nachvollziehen, aber bei
Virus nicht, denn die Mails enthalten definitiv keine Viren.
> Nun weiß ich auch nicht konkret was ggf. in den logs stünde aber: Wenn
> die mail empfangen wurde, sie also in einem (spam/virus) ordner
> einsortiert wurde, dann hat m.E. dein MTA, ClamAV, Antispam u.s.w. ihre
> Header bereits dort hinein geschrieben. Es müsste also dann nicht mehr
> erkennbar sein ob diese Header vom Provider kamen, oder von deinem
> Mailhost. Oder siehst du dabei Zeitstempel die vor dem Abruf der Mail
> datiert sind?
Hier mal ein aktuelles Beispiel:
Email-Header:
From
bounce-HP2v40000015f972...@mail.paypal.de Tue
Nov 07 17:01:08 2017
Return-path:
<
bounce-HP2v40000015f972...@mail.paypal.de>
Envelope-to:
sas...@pohl-bo.de
Delivery-date: Tue, 07 Nov 2017 17:01:08 +0100
Received: from
mta106b.pmx1.epsl1.com ([142.54.244.106])
by
mail.pohl-bo.de with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.89)
(envelope-from
<
bounce-HP2v40000015f972...@mail.paypal.de>)
id 1eC6JH-0002p1-5K
for
sas...@pohl-bo.de; Tue, 07 Nov 2017 17:01:07 +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=
mail.paypal.de;
s=pp-epsilon1; t=1510069261;
bh=3iDuG4Oby4DVP7MzV+HsCHl2q23H8aXKT4Pembiw6jw=;
h=MIME-Version:Subject:From:To:Date:Content-Type;
b=xklSAtVDvxJWOJn+cnuXDB1jvv1RgkZCS8cGjpeEbNghlLnkm6Gm3Q5/2Yligj7Dv
7CCGmGpPDZOhJAZErByWAoFQXJ/jETH/8JaeBx5s2W8KIsHErTMz0YwDMACYPSFpHQ
/FBeSx91UfskAVprPLOLxkxJaYoZNwwrHwz/SFv7KOrUODQGMRbJrY9cRchyGSRjQN
tt3iOPN/g5IyDYeTKqT53M/R3M61MHMAY+Hfxqq0h0kJN4RBu0afZ+NTjelptbFt1E
ONDPA51APmNQlCtPKJ2jyh1l2dN6wYIR9CMUaClUwj0J6ReFCS/sCyfcQJaKdPJMs2
sWzq9MLKtrU7Q==
Received: from [10.233.19.184] ([
10.233.19.184:34788])
by pc1udsmtn2n15 (envelope-from
<
bounce-HP2v40000015f972...@mail.paypal.de>)
(ecelerity 3.6.9.48312 r(Core:3.6.9.0)) with ECSTREAM
id 19/6E-47256-D04D10A5; Tue, 07 Nov 2017 15:41:01 +0000
List-Unsubscribe:
<mailto:
bounce-HP2v40000015f972...@mail.paypal.de?subject=list-unsubscribe>
Message-ID: <
HP2v40000015f9724546...@mail.paypal.de>
MIME-Version: 1.0
Reply-To: "
nor...@mail.paypal.de"
<
noreply-HP2v40000015f972...@mail.paypal.de>
From: "PayPal" <
pay...@mail.paypal.de>
To:
sas...@pohl-bo.de
Date: Tue, 7 Nov 2017 15:41:01 +0000
Content-Type: multipart/alternative;
boundary="-=Part.342bfdf.abe60da000f70239.15f9724569b.b7e2397c72c95d42=-"
X-Scan-Signature: 22e4276ea37fc34430da28faa3d0c9d5
X-Virus-Flag: YES
X-Virus: Heuristics.Phishing.Email.SpoofedDomain
Subject: *VIRUS* Sie haben Guthaben auf Ihrem PayPal-Konto
X-Original-Recipient:
sas...@pohl-bo.de
X-Antivirus: Avast (VPS 171107-0, 07.11.2017), Inbound message
X-Antivirus-Status: Clean
/var/log/clamd.log:
Tue Nov 7 17:01:07 2017 ->
/var/spool/exim/scan/1eC6JH-0002p1-5K/1eC6JH-0002p1-5K.eml:
Heuristics.Phishing.Email.SpoofedDomain FOUND
/var/log/messages:
Nov 7 17:01:07 server clamd[32087]:
/var/spool/exim/scan/1eC6JH-0002p1-5K/1eC6JH-0002p1-5K.eml:
Heuristics.Phishing.Email.SpoofedDomain FOUND
Daher bin ich mir sicher, dass der Fehler durch den ClamAV auf meinem
Server verursacht wird.
> Kay
Grüße,
Sascha