English
Chinese (Simplified)
French
German
Italian
Japanese
Russian
Spanish
Vietnamese
multi-level subdomain
-
Hello everyone,
Somehow, the flood of spam has increased significantly in recent days. This includes emails with multi-level subdomains such as 50127992706840200@igctwb.em.giftrush.christmas
I'm getting lots of DNS errors with various blacklist queries. Probably because of the multi-level subdomain.
Is there a way to only allow email addresses with a domain and a maximum of one subdomain?
Thanks,
Oliver
-
I would use extreme caution when blocking inbound messages based on the number of subdomains used. While it may not be common, it is allowed, and some domains use it. Just looking at our inbound logs for today I found a number of domains using more than 1 sub domain. For example:
@smtp-tls-reporting.bounces.google.com
@alerts.bounces.google.com
@gz5pet3x9z2iyczh.zsdpa.hu-3okqxmag.usa358.bnc.salesforce.comAnd there are others.... To be fair the sales force email was flagged as spam, but not because of the number of subdomains.
I'm getting lots of DNS errors with various blacklist queries. Probably because of the multi-level subdomain.
This is normal and expected. A domain not found response for a block list query indicates that the domain is not on the blocklist.
If you really want to block based on the number of sub-domains, you can do it using the addresss block list. Again, please use extreme caution as it can cause you to reject messages that are not spam. Just add an entry like the following:
*@*.*.*.*
This will block messages from addresses such as user@third.second.first.tld.
If you want to block another level add another ".*". For example:
*@*.*.*.*.*
And keep adding entries with a ".*" added on each time until you think you've blocked enough.
Again, I do not think this is a good idea, but it may work in your environment.
If you are interested in exploring other options for blocking spam, please post an inbound SMTP log snippet that shows a spam email being accepted.
-
Hello Arron,
Thank you for your reply.
I have attached an excerpt from the spam email.
The error message “DNS name contains an invalid character” is clearly visible here. This message does not appear in other emails, whether they are clean or dirty.My guess was multi-domain, but I agree with your reasoning.
The xxxx@xxx.xxx stands for the recipient's email address, which I have changed here in the public forum.
Thanks,
OliverTue 2025-07-22 18:36:01: ========== Skripte RCPT werden verarbeitet für Empfänger: xxxx@xxx.xxx
Tue 2025-07-22 18:36:01: -- Ausführen von: Blocklist --
Tue 2025-07-22 18:36:01: -- Ende: Blocklist (0.000308 Sekunden) --
Tue 2025-07-22 18:36:01: -- Ausführen von: Tarpitting --
Tue 2025-07-22 18:36:01: * Teergrube aktivieren
Tue 2025-07-22 18:36:01: -- Ende: Tarpitting (0.000126 Sekunden) --
Tue 2025-07-22 18:36:01: -- Ausführen von: Relaying Denied --
Tue 2025-07-22 18:36:01: -- Ende: Relaying Denied (0.000002 Sekunden) --
Tue 2025-07-22 18:36:01: -- Ausführen von: Invalid Recipient --
Tue 2025-07-22 18:36:01: -- Ende: Invalid Recipient (0.000001 Sekunden) --
Tue 2025-07-22 18:36:01: -- Ausführen von: Validate Local Sender --
Tue 2025-07-22 18:36:01: -- Ende: Validate Local Sender (0.000001 Sekunden) --
Tue 2025-07-22 18:36:01: -- Ausführen von: DNS Blocklists (Client IP) --
Tue 2025-07-22 18:36:01: * SpamCop - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:01: * Polspam Domain names - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:01: * Abusix Block - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:01: * Abusix Exploit - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:01: * Abusix Policy - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:01: * Abusix Newly Observed IPs - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:01: * Abusix noIP - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:01: * ImproWare Realtime Blacklist - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:01: * ImproWare Catched Spam - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:01: * Rspamd URIBL - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:02: * SPFBL - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:03: * Spam Eating Monkey SEM-URI - erfolgreich - IP-Adresse nicht gefunden
Tue 2025-07-22 18:36:03: -- Ende: DNS Blocklists (Client IP) (1.352822 Sekunden) --
Tue 2025-07-22 18:36:03: -- Ausführen von: SPF --
Tue 2025-07-22 18:36:03: Performing SPF lookup (returnuV8mdkiXXF1o7ggzLe8IaKwVT3SzH@alabs.org / 212.227.17.12)
Tue 2025-07-22 18:36:03: * Policy: v=spf1 ip4:116.203.25.168 ip6:2a01:4f8:1c1c:9f0c::/64 +all
Tue 2025-07-22 18:36:03: * Evaluating v=spf1:
Tue 2025-07-22 18:36:03: * Evaluating ip4:116.203.25.168: no match
Tue 2025-07-22 18:36:03: * Evaluating ip6:2a01:4f8:1c1c:9f0c::/64: no match
Tue 2025-07-22 18:36:03: * Evaluating +all: match
Tue 2025-07-22 18:36:03: * Ergebnis: pass
Tue 2025-07-22 18:36:03: -- Ende: SPF (0.020348 Sekunden) --
Tue 2025-07-22 18:36:03: ========== Skripte RCPT beendet
Tue 2025-07-22 18:36:03: --> 250 <xxxx@xxx.xxx>, Recipient ok
Tue 2025-07-22 18:36:03: <-- DATA
Tue 2025-07-22 18:36:03: --> 354 Enter mail, end with <CRLF>.<CRLF>
Tue 2025-07-22 18:36:03: Nachrichtengröße: 35130 Byte
Tue 2025-07-22 18:36:03: Nachrichten-ID: <JB.KvzHywqvMrkXuLk.0640631274055644476.jzBofnWNEIHwK@i-nABtoMp7wXdVploKz.mta2vrest.sd.prd.sparkpost>
Tue 2025-07-22 18:36:03: Message creation successful: C:\Program Files\MDaemon Technologies\SecurityGateway\Queues\Inbound\5f358b0fba294fe78e205358ca4f6f0a.MSG
Tue 2025-07-22 18:36:03: ========== Skripte DATA werden verarbeitet für Empfänger: xxxx@xxx.xxx
Tue 2025-07-22 18:36:03: -- Ausführen von: Blocklist --
Tue 2025-07-22 18:36:03: -- Ende: Blocklist (0.000148 Sekunden) --
Tue 2025-07-22 18:36:03: -- Ausführen von: Anti-Virus --
Tue 2025-07-22 18:36:03: Nachricht wird an Anti-Virus übergeben (Größe: 35130)...
Tue 2025-07-22 18:36:03: * Nachricht wird geprüft durch: ClamAV for SecurityGateway
Tue 2025-07-22 18:36:03: * Nachricht ist nicht infiziert (keine Viren festgestellt)
Tue 2025-07-22 18:36:03: * Nachricht wird geprüft durch: Ikarus Anti-Virus for SecurityGateway
Tue 2025-07-22 18:36:03: * Nachricht ist nicht infiziert (keine Viren festgestellt)
Tue 2025-07-22 18:36:03: -- Ende: Anti-Virus (0.106866 Sekunden) --
Tue 2025-07-22 18:36:03: -- Ausführen von: Outbreak Protection (Anti-Virus) --
Tue 2025-07-22 18:36:03: Nachricht wird an Outbreak Protection übergeben (Größe: 35130)...
Tue 2025-07-22 18:36:03: * Referenz-ID: str=0001.0A006371.687FBE11.0001,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
Tue 2025-07-22 18:36:03: * Spam-Einstufung: Clean
Tue 2025-07-22 18:36:03: * Viren-Einstufung: Clean
Tue 2025-07-22 18:36:03: -- Ende: Outbreak Protection (Anti-Virus) (0.358322 Sekunden) --
Tue 2025-07-22 18:36:03: -- Ausführen von: Outbreak Protection (Spam) --
Tue 2025-07-22 18:36:03: -- Ende: Outbreak Protection (Spam) (0.000191 Sekunden) --
Tue 2025-07-22 18:36:03: -- Ausführen von: DKIM --
Tue 2025-07-22 18:36:03: DKIM-Prüfung wird durchgeführt
Tue 2025-07-22 18:36:03: * DKIM-Signature 1: v=1; a=rsa-sha1; c=relaxed/relaxed; s=s2048; d=igctwb.em.giftrush.christmas; i=50127992706840200@igctwb.em.giftrush.christmas; <some tags are not logged>
Tue 2025-07-22 18:36:03: * Ergebnis der Prüfung: [0] good signature
Tue 2025-07-22 18:36:03: * Result: pass
Tue 2025-07-22 18:36:03: -- Ende: DKIM (0.093139 Sekunden) --
Tue 2025-07-22 18:36:03: -- Ausführen von: DMARC --
Tue 2025-07-22 18:36:03: DMARC-Verarbeitung wird durchgeführt
Tue 2025-07-22 18:36:03: * MessageID: <JB.KvzHywqvMrkXuLk.0640631274055644476.jzBofnWNEIHwK@i-nABtoMp7wXdVploKz.mta2vrest.sd.prd.sparkpost>
Tue 2025-07-22 18:36:03: * Author domain: igctwb.em.giftrush.christmas
Tue 2025-07-22 18:36:03: * Organizational domain: giftrush.christmas
Tue 2025-07-22 18:36:03: DMARC-Abfrage wird durchgeführt
Tue 2025-07-22 18:36:03: * Query domain: _dmarc.igctwb.em.giftrush.christmas
Tue 2025-07-22 18:36:04: * No DMARC policy record found
Tue 2025-07-22 18:36:04: * Query domain: _dmarc.giftrush.christmas
Tue 2025-07-22 18:36:04: * No DMARC policy record found
Tue 2025-07-22 18:36:04: * DMARC result none (take no action)
Tue 2025-07-22 18:36:04: -- Ende: DMARC (0.426523 Sekunden) --
Tue 2025-07-22 18:36:04: -- Ausführen von: URI Blocklists (URIBL) --
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * SURBL ABUSE - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.multi.surbl.org]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * SURBL ABUSE - DNS-Fehler ist aufgetreten [t.= latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * SURBL ABUSE - DNS-Fehler ist aufgetreten [t.latest.newsm= ax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * SURBL ABUSE - DNS-Fehler ist aufgetreten [t.latest.newsma= x.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * SURBL ABUSE - DNS-Fehler ist aufgetreten [= t.latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * SURBL ABUSE - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.multi.surbl.org]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * SURBL ABUSE - DNS-Fehler ist aufgetreten [images= newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL PH (Phishing) - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL PH (Phishing) - DNS-Fehler ist aufgetreten [t.= latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL PH (Phishing) - DNS-Fehler ist aufgetreten [t.latest.newsm= ax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL PH (Phishing) - DNS-Fehler ist aufgetreten [t.latest.newsma= x.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL PH (Phishing) - DNS-Fehler ist aufgetreten [= t.latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL PH (Phishing) - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL PH (Phishing) - DNS-Fehler ist aufgetreten [images= newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL MW (Malware) - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL MW (Malware) - DNS-Fehler ist aufgetreten [t.= latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL MW (Malware) - DNS-Fehler ist aufgetreten [t.latest.newsm= ax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL MW (Malware) - DNS-Fehler ist aufgetreten [t.latest.newsma= x.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL MW (Malware) - DNS-Fehler ist aufgetreten [= t.latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL MW (Malware) - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL MW (Malware) - DNS-Fehler ist aufgetreten [images= newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CR (Cracked) - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CR (Cracked) - DNS-Fehler ist aufgetreten [t.= latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CR (Cracked) - DNS-Fehler ist aufgetreten [t.latest.newsm= ax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CR (Cracked) - DNS-Fehler ist aufgetreten [t.latest.newsma= x.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CR (Cracked) - DNS-Fehler ist aufgetreten [= t.latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CR (Cracked) - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CR (Cracked) - DNS-Fehler ist aufgetreten [images= newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CT (Click tracker) - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CT (Click tracker) - DNS-Fehler ist aufgetreten [t.= latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CT (Click tracker) - DNS-Fehler ist aufgetreten [t.latest.newsm= ax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CT (Click tracker) - DNS-Fehler ist aufgetreten [t.latest.newsma= x.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CT (Click tracker) - DNS-Fehler ist aufgetreten [= t.latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CT (Click tracker) - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL CT (Click tracker) - DNS-Fehler ist aufgetreten [images= newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL DM (Disposable mail domains) - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL DM (Disposable mail domains) - DNS-Fehler ist aufgetreten [t.= latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL DM (Disposable mail domains) - DNS-Fehler ist aufgetreten [t.latest.newsm= ax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL DM (Disposable mail domains) - DNS-Fehler ist aufgetreten [t.latest.newsma= x.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL DM (Disposable mail domains) - DNS-Fehler ist aufgetreten [= t.latest.newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL DM (Disposable mail domains) - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.multi.surbl.org]
Tue 2025-07-22 18:36:04: * SURBL DM (Disposable mail domains) - DNS-Fehler ist aufgetreten [images= newsmax.com.multi.surbl.org]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * URIBL Black - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.multi.uribl.com]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * URIBL Black - DNS-Fehler ist aufgetreten [newsm= ax.com.multi.uribl.com]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * URIBL Black - DNS-Fehler ist aufgetreten [newsma= x.com.multi.uribl.com]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * URIBL Black - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.multi.uribl.com]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * URIBL Black - DNS-Fehler ist aufgetreten [images= newsmax.com.multi.uribl.com]
Tue 2025-07-22 18:36:04: * URIBL Grey - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.multi.uribl.com]
Tue 2025-07-22 18:36:04: * URIBL Grey - DNS-Fehler ist aufgetreten [newsm= ax.com.multi.uribl.com]
Tue 2025-07-22 18:36:04: * URIBL Grey - DNS-Fehler ist aufgetreten [newsma= x.com.multi.uribl.com]
Tue 2025-07-22 18:36:04: * URIBL Grey - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.multi.uribl.com]
Tue 2025-07-22 18:36:04: * URIBL Grey - DNS-Fehler ist aufgetreten [images= newsmax.com.multi.uribl.com]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * Swinog URIBL - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.uribl.swinog.ch]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * Swinog URIBL - DNS-Fehler ist aufgetreten [newsm= ax.com.uribl.swinog.ch]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * Swinog URIBL - DNS-Fehler ist aufgetreten [newsma= x.com.uribl.swinog.ch]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * Swinog URIBL - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.uribl.swinog.ch]
Tue 2025-07-22 18:36:04: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:04: * Swinog URIBL - DNS-Fehler ist aufgetreten [images= newsmax.com.uribl.swinog.ch]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Domain Block - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.<api key>.dblack.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Domain Block - DNS-Fehler ist aufgetreten [newsm= ax.com.<api key>.dblack.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Domain Block - DNS-Fehler ist aufgetreten [newsma= x.com.<api key>.dblack.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Domain Block - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.<api key>.dblack.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Domain Block - DNS-Fehler ist aufgetreten [images= newsmax.com.<api key>.dblack.mail.abusix.zone]
Tue 2025-07-22 18:36:05: * Abusix Domain Block (TEST) - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.<api key>.dblack.mail.abusix.zone]
Tue 2025-07-22 18:36:05: * Abusix Domain Block (TEST) - DNS-Fehler ist aufgetreten [newsm= ax.com.<api key>.dblack.mail.abusix.zone]
Tue 2025-07-22 18:36:05: * Abusix Domain Block (TEST) - DNS-Fehler ist aufgetreten [newsma= x.com.<api key>.dblack.mail.abusix.zone]
Tue 2025-07-22 18:36:05: * Abusix Domain Block (TEST) - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.<api key>.dblack.mail.abusix.zone]
Tue 2025-07-22 18:36:05: * Abusix Domain Block (TEST) - DNS-Fehler ist aufgetreten [images= newsmax.com.<api key>.dblack.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Newly Observed Domains - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.<api key>.nod.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Newly Observed Domains - DNS-Fehler ist aufgetreten [newsm= ax.com.<api key>.nod.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Newly Observed Domains - DNS-Fehler ist aufgetreten [newsma= x.com.<api key>.nod.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Newly Observed Domains - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.<api key>.nod.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Newly Observed Domains - DNS-Fehler ist aufgetreten [images= newsmax.com.<api key>.nod.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Shorthash - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.<api key>.shorthash.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Shorthash - DNS-Fehler ist aufgetreten [newsm= ax.com.<api key>.shorthash.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Shorthash - DNS-Fehler ist aufgetreten [newsma= x.com.<api key>.shorthash.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Shorthash - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.<api key>.shorthash.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Abusix Shorthash - DNS-Fehler ist aufgetreten [images= newsmax.com.<api key>.shorthash.mail.abusix.zone]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Polspam (Domänennamen) - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.rhsbl.rbl.polspam.pl]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Polspam (Domänennamen) - DNS-Fehler ist aufgetreten [newsm= ax.com.rhsbl.rbl.polspam.pl]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Polspam (Domänennamen) - DNS-Fehler ist aufgetreten [newsma= x.com.rhsbl.rbl.polspam.pl]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Polspam (Domänennamen) - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.rhsbl.rbl.polspam.pl]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Polspam (Domänennamen) - DNS-Fehler ist aufgetreten [images= newsmax.com.rhsbl.rbl.polspam.pl]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Polspam (Domänennamen bei der Erkennung) - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.rhsbl-h.rbl.polspam.pl]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Polspam (Domänennamen bei der Erkennung) - DNS-Fehler ist aufgetreten [newsm= ax.com.rhsbl-h.rbl.polspam.pl]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Polspam (Domänennamen bei der Erkennung) - DNS-Fehler ist aufgetreten [newsma= x.com.rhsbl-h.rbl.polspam.pl]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Polspam (Domänennamen bei der Erkennung) - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.rhsbl-h.rbl.polspam.pl]
Tue 2025-07-22 18:36:05: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:05: * Polspam (Domänennamen bei der Erkennung) - DNS-Fehler ist aufgetreten [images= newsmax.com.rhsbl-h.rbl.polspam.pl]
Tue 2025-07-22 18:36:06: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:06: * Polspam (Verdächtige Domänennamen) - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.rhsbl-v.rbl.polspam.pl]
Tue 2025-07-22 18:36:06: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:06: * Polspam (Verdächtige Domänennamen) - DNS-Fehler ist aufgetreten [newsm= ax.com.rhsbl-v.rbl.polspam.pl]
Tue 2025-07-22 18:36:06: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:06: * Polspam (Verdächtige Domänennamen) - DNS-Fehler ist aufgetreten [newsma= x.com.rhsbl-v.rbl.polspam.pl]
Tue 2025-07-22 18:36:06: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:06: * Polspam (Verdächtige Domänennamen) - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.rhsbl-v.rbl.polspam.pl]
Tue 2025-07-22 18:36:06: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:06: * Polspam (Verdächtige Domänennamen) - DNS-Fehler ist aufgetreten [images= newsmax.com.rhsbl-v.rbl.polspam.pl]
Tue 2025-07-22 18:36:06: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:06: * Polspam (Gefährliche Domänennamen) - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.rhsbl-danger.rbl.polspam.pl]
Tue 2025-07-22 18:36:06: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:06: * Polspam (Gefährliche Domänennamen) - DNS-Fehler ist aufgetreten [newsm= ax.com.rhsbl-danger.rbl.polspam.pl]
Tue 2025-07-22 18:36:06: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:06: * Polspam (Gefährliche Domänennamen) - DNS-Fehler ist aufgetreten [newsma= x.com.rhsbl-danger.rbl.polspam.pl]
Tue 2025-07-22 18:36:06: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:06: * Polspam (Gefährliche Domänennamen) - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.rhsbl-danger.rbl.polspam.pl]
Tue 2025-07-22 18:36:06: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:06: * Polspam (Gefährliche Domänennamen) - DNS-Fehler ist aufgetreten [images= newsmax.com.rhsbl-danger.rbl.polspam.pl]
Tue 2025-07-22 18:36:07: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:07: * SPFBL - DNS-Fehler ist aufgetreten [t.latest.newsmax.c= om.uribl.spfbl.net]
Tue 2025-07-22 18:36:07: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:07: * SPFBL - DNS-Fehler ist aufgetreten [newsm= ax.com.uribl.spfbl.net]
Tue 2025-07-22 18:36:07: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:07: * SPFBL - DNS-Fehler ist aufgetreten [newsma= x.com.uribl.spfbl.net]
Tue 2025-07-22 18:36:07: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:07: * SPFBL - DNS-Fehler ist aufgetreten [t.latest.newsmax.= com.uribl.spfbl.net]
Tue 2025-07-22 18:36:07: DNS-Name enthält ein ungültiges Zeichen. (9560)
Tue 2025-07-22 18:36:07: * SPFBL - DNS-Fehler ist aufgetreten [images= newsmax.com.uribl.spfbl.net]
Tue 2025-07-22 18:36:08: -- Ende: URI Blocklists (URIBL) (4.032733 Sekunden) --
Tue 2025-07-22 18:36:08: -- Ausführen von: SpamAssassin --
Tue 2025-07-22 18:36:08: Nachricht wird an SpamAssassin übergeben...
Tue 2025-07-22 18:36:08: * 0.0 FROM_LOCAL_DIGITS From: localpart has long digit sequence
Tue 2025-07-22 18:36:08: * 0.3 FROM_LOCAL_HEX From: localpart has long hexadecimal sequence
Tue 2025-07-22 18:36:08: * 0.0 HTML_MESSAGE BODY: HTML included in message
Tue 2025-07-22 18:36:08: * 0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
Tue 2025-07-22 18:36:08: * 2.2 HTML_TITLE_SUBJ_DIFF No description available.
Tue 2025-07-22 18:36:08: * 0.2 UNICODE_OBFU_ASC Obfuscating text with unicode
Tue 2025-07-22 18:36:08: ** 2.80 wird zu Nachrichten-Bewertung hinzugerechnet
Tue 2025-07-22 18:36:08: -- Ende: SpamAssassin (0.416366 Sekunden) --
Tue 2025-07-22 18:36:08: -- Ausführen von: Attachment Filtering --
Tue 2025-07-22 18:36:08: -- Ende: Attachment Filtering (0.000098 Sekunden) --
Tue 2025-07-22 18:36:08: -- Ausführen von: QR Code Detection --
Tue 2025-07-22 18:36:08: -- Ende: QR Code Detection (0.000003 Sekunden) --
Tue 2025-07-22 18:36:08: -- Ausführen von: Message Score --
Tue 2025-07-22 18:36:08: -- Ende: Message Score (0.000011 Sekunden) --
Tue 2025-07-22 18:36:08: * Endgültige Bewertung: 2.80
Tue 2025-07-22 18:36:08: ========== Skripte DATA beendet
-
Can you upload a copy of the EML file to me at https://mdaemon.sharefile.com/r-rc3922c1eed334d4dbf5e34f0bd04ccd6?
After you select the file, don't forget to click the Upload button.
Once the file is upload, please let me know the name of the file.
-
I have just uploaded the file SG00996031.EML to you.
-
Here is the list of domains that are being parsed from URIs in the message.
Thu 2025-07-24 08:47:21: # Found URI: igctwb.em.giftrush.christmasThu 2025-07-24 08:47:21: # Found URI: www.w3.orgThu 2025-07-24 08:47:21: * Skipping URI [www.w3.org] as it was found [w3.org] on URIDNSBL allowlistThu 2025-07-24 08:47:21: # Found URI: t.latest.newsmax.comThu 2025-07-24 08:47:21: # Found URI: t.latest.newsmax.c= omThu 2025-07-24 08:47:21: # Found URI: t.= latest.newsmax.comThu 2025-07-24 08:47:21: # Found URI: t.latest.newsm= ax.comThu 2025-07-24 08:47:21: # Found URI: t.latest.newsma= x.comThu 2025-07-24 08:47:21: # Found URI: images.newsmax.comThu 2025-07-24 08:47:21: # Found URI: = t.latest.newsmax.comThu 2025-07-24 08:47:21: # Found URI: t.latest.newsmax.= comThu 2025-07-24 08:47:21: # Found URI: images= newsmax.comThu 2025-07-24 08:47:21: # Found URI: t.latest.comThu 2025-07-24 08:47:21: # Found URI: click.email.hoppyoffers.beerThu 2025-07-24 08:47:21: # Found URI: igctwb.em.giftrush.christmasThu 2025-07-24 08:47:21: # Found URI: www.w3.orgThu 2025-07-24 08:47:21: * Skipping URI [www.w3.org] as it was found [w3.org] on URIDNSBL allowlistThu 2025-07-24 08:47:21: # Found URI: t.latest.newsmax.comThu 2025-07-24 08:47:21: # Found URI: t.latest.newsmax.c= omThu 2025-07-24 08:47:21: # Found URI: t.= latest.newsmax.comThu 2025-07-24 08:47:21: # Found URI: t.latest.newsm= ax.comThu 2025-07-24 08:47:21: # Found URI: t.latest.newsma= x.comThu 2025-07-24 08:47:21: # Found URI: images.newsmax.comThu 2025-07-24 08:47:21: # Found URI: = t.latest.newsmax.comThu 2025-07-24 08:47:21: # Found URI: t.latest.newsmax.= comThu 2025-07-24 08:47:21: # Found URI: images= newsmax.comThu 2025-07-24 08:47:21: # Found URI: t.latest.comThu 2025-07-24 08:47:21: # Found URI: click.email.hoppyoffers.beerYou can see that some of the domains include an = sign and they should not.
This is occurring because quoted printable encoding is being used in the body of the message, but the content-type is set to text/html and the Content-Transfer-Encoding is set to 7bit.
Content-Transfer-Encoding: 7bit
Content-Type: text/html; charset=UTF-8
We will look into expanding the capabilities of the parsing to detect this situation and handle it better for future versions.I have been adjusting the scores on spamassassin rules to be more aggressive. I will caution you, in some cases these scores are too agressive. It seems to vary some for each customer. I'd suggest testing them carefully before adjusting the scores in your live environment. If you'd like to try them out, simply edit the SecurityGateway\SpamAssassin\rules\local.cf using your favorite text editor (NOT Notepad.exe), and add the following:
score HEADER_FROM_DIFFERENT_DOMAINS 1.0
score MPART_ALT_DIFF 1.0
score URI_TRUNCATED 2.0
score HTML_FONT_LOW_CONTRAST 1.0
score MIME_HTML_ONLY 1.0
score URIBL_ABUSE_SURBL 3.0
score KHOP_HELO_FCRDNS 1.0
score UNPARSEABLE_RELAY 1.0
score SENDGRID_REDIR 2.0
score T_KAM_HTML_FONT_INVALID 1.0
score FROM_FMBLA_NEWDOM14 6.0
score HTML_MIME_NO_HTML_TAG 2.0
score FREEMAIL_FROM 1.0
score T_REMOTE_IMAGE 1.0
score RCVD_IN_IADB_SPF 0
score RCVD_IN_IADB_LISTED 0
score RCVD_IN_IADB_RDNS 0
score RCVD_IN_IADB_VOUCHED 0
score RCVD_IN_IADB_OPTIN 0
score URI_HEX 1.0
score BAYES_99 8.0
score T_HTML_ATTACH_HTML 3.0
score MIME_QP_LONG_LINE 1.0
score LOTS_OF_MONEY 0.5
score T_PDS_OTHER_BAD_TLD 1.0
score T_FILL_THIS_FORM_SHORT 1.0
score T_FREEMAIL_DOC_PDF 1.0
score RCVD_IN_VALIDITY_CERTIFIED -0.1
score RCVD_IN_VALIDITY_SAFE -0.1
score URI_PHISH 4.4
score CONTENT_AFTER_HTML 2.0
score XM_RANDOM 1.0
score URIBL_GREY 1.0
score TVD_RATWARE_MSGID_01 1.0
score SUBJ_DOLLARS 1.0
score RCVD_IN_DNSWL_MED 0
score DIET_1 2.0
score URI_GOOGLE_PROXY 4.0
score RCVD_IN_MSPIKE_L3 2.0
score RCVD_IN_MSPIKE_BL 5.0
score RCVD_IN_MSPIKE_H2 0
score HTTPS_HTTP_MISMATCH 2.0
score PDS_OTHER_BAD_TLD 2.0
score WEIRD_PORT 2.0
score AC_DIV_BONANZA 2.0
score T_HK_SPAMMY_FILENAME 2.0
score RCVD_IN_SORBS_WEB 3.0
score LONG_IMG_URI 2.0
score SPOOFED_FREEMAIL 2.0
score BAYES_999 2.0
score DIET_1 2.0
score FROM_FMBLA_NEWDOM 8.0
score RCVD_IN_MSPIKE_H2 0
score RCVD_IN_BL_SPAMCOP_NET 5.0
score FROM_LOCAL_NOVOWEL 2.0
score RCVD_IN_DNSWL_LOW 0
score DC_PNG_UNO_LARGO 2.0
score TO_IN_SUBJ 1.0
score HTML_SHORT_LINK_IMG_2 1.0
score HTML_TAG_BALANCE_BODY 1.0
score FROM_FMBLA_NEWDOM28 4.0
score FROM_EXCESS_BASE64 1.0
score INVESTMENT_ADVICE 1.0
score CK_HELO_GENERIC 1.0
score FREEMAIL_ENVFROM_END_DIGIT 1.0
score MIME_HEADER_CTYPE_ONLY 1.0
score TVD_SUBJ_ACC_NUM 1.0
score UPPERCASE_75_100 1.0
score SPOOFED_FREEM_REPTO 1.0
score FROM_LOCAL_HEX 1.0
score FROM_LOCAL_DIGITS 1.0
score MSGID_NOFQDN1 1.0
score AC_BR_BONANZA 1.0
score JOIN_MILLIONS 1.0
score TVD_PH_BODY_ACCOUNTS_POST 1.0
score BODY_SINGLE_URI 1.0
score BODY_SINGLE_WORD 1.0
score DC_IMAGE_SPAM_HTML 0.5
score DC_IMAGE_SPAM_TEXT 0.5
score MARKETING_PARTNERS 1.0
score HTML_IMAGE_RATIO_08 1.0
score HTML_IMAGE_RATIO_06 1.0
score HTML_IMAGE_RATIO_04 0.5
score HTML_IMAGE_RATIO_02 0.5
score MAILING_LIST_MULTI -0.1
score T_MONEY_PERCENT 1.0
score T_FREEMAIL_DOC_PDF_BCC 1.0
score URI_IMG_CWINDOWSNET 1.0
score HTML_OBFUSCATE_05_10 1.0
score T_SCC_IS_DMARC_REP -1.0
score HDRS_MISSP 1.0
score HTML_IMAGE_ONLY_04 1.0
score HTML_IMAGE_ONLY_08 1.0
score HTML_IMAGE_ONLY_12 1.0
score HTML_IMAGE_ONLY_16 0.5
score HTML_IMAGE_ONLY_20 0.5
score HTML_IMAGE_ONLY_24 0.5
score HTML_IMAGE_ONLY_28 0.5
score HTML_IMAGE_ONLY_32 0.5
score XM_UC_ONLY 1.0
score FROM_STARTS_WITH_NUMS 1.0
score GB_CUSTOM_HTM_URI 1.0
score HTML_FONT_SIZE_LARGE 0.5
score HTML_FONT_FACE_BAD 1.0
score BAD_ENC 1.0
score T_HTML_ATTACH 1.0
score T_OBFU_HTML_ATTACH 1.0
score TVD_SPACE_RATIO 1.0
score GB_FREEMAIL_DISPTO 1.0
score HK_RANDOM_ENVFROM 1.0
score HK_RANDOM_FROM 1.0
score T_OBFU_PDF_ATTACH 1.0
score T_US_DOLLARS_3 1.0
score FROM_MISSP_REPLYTO 1.0
score WEIRD_QUOTING 1.0
score T_TVD_MIME_NO_HEADERS 1.0
score BAD_ENC_HEADER 1.0
score T_PDS_TO_EQ_FROM_NAME 1.0
score HTML_FONT_SIZE_HUGE 1.0
score MSGID_FROM_MTA_HEADER 1.0
score ACT_NOW_CAPS 1.0
score NORMAL_HTTP_TO_IP 1.0
score GMD_PDF_EMPTY_BODY 1.0
score BAD_ENC_HEADER 1.0
score ADVANCE_FEE_3_NEW_MONEY 1.0
score MONEY_FREEMAIL_REPTO 1.0
score TVD_PH_BODY_ACCOUNTS_PRE 1.0
score MDAEMON_SPF_SOFTFAIL 3.0
score GOOG_REDIR_HTML_ONLY 1.0
score UNICODE_OBFU_ASC 1.0Save the file and restart SG.
-
Hello Arron,
Thank you very much for your support, I really appreciate it!
I will test it out.Best regards,
Oliver
