Willkommen im User-Forum von mailbox.org
 

Paypal wird als Spam erkannt

6229182 hat dies geteilt, 20 Monaten her
unbeantwortet

Emails von paypal.com werden bei mir immer als SPAM markiert.

Kann ich was dagegen tun? Eine Whitelist habe ich nicht gefunden

Kommentare (13)

Foto
1

Was steht im "X-Spam-Status"-Header? Hast du den Spamfilter angepasst? Vielleicht Content spam filter auf Strict gesetzt?

Foto
1

af604f927245773ede992473624cbab1X-Spam Status steht:


X-Spam-Status: Yes, score=6.189 tagged_above=2 required=6

tests=[BAYES_00=-1.9, DKIM_ADSP_DISCARD=1.8, DKIM_SIGNED=0.1,

FREEMAIL_FROM=0.001, HTML_FONT_LOW_CONTRAST=0.001, HTML_MESSAGE=0.001,

RCVD_IN_DNSWL_NONE=-0.0001, RCVD_IN_MSPIKE_H5=-1,

RCVD_IN_MSPIKE_WL=-0.01, SARE_FORGED_PAYPAL=4,

SARE_FORGED_PAYPAL_C=1.3, SARE_SPOOF_BADURL=1.059,

SARE_SUB_ENC_UTF8=0.152, SPF_HELO_PASS=-0.001, SPF_SOFTFAIL=0.665,

T_DKIM_INVALID=0.01, T_REMOTE_IMAGE=0.01, URIBL_BLOCKED=0.001]

autolearn=no autolearn_force=no

Foto
1

Bist du dir sicher, dass es keine gefälschte Mail ist? Ich bekomme nämlich auch sehr gut aussehende Mails von Paypal auf einem anderen Mailkonto (also nicht bei Mailbox), bin aber gar nicht bei Paypal ;-)


Sofern du dir sicher bist, dass es sich um echte Mails von Paypal handelt, würde ich mal eine Mail (komplett incl. Header) an den Support weiter leiten.

Foto
1

Die E-Mail kommt sicher von Paypal? Paypal Nachrichten sind doch DKIM-Signed oder? Hier würde wahrscheinlich whitelist_from_dkim helfen. Eine eigene user_prefs wäre super.


Hmm, SARE?


https://wiki.apache.org/spamassassin/SareChannels


The SARE rules are broken to the point of being harmful. Do not use them.If you are using any SARE rules, remove them.

Foto
1

die Email ist echt.

Die mails von paypal.com wandern alle in den Spam. Die von paypal.de kommen normal durch

Foto
1

Komisch ist auch DKIM_ADSP_DISCARD


https://wiki.apache.org/spamassassin/Rules/DKIM_ADSP_DISCARD


Standard description: No valid author signature, domain signs all mail and suggests discarding the rest


ExplanationThe sender's domain says that it uses DKIM (http://www.dkim.org/) on all email, but no valid signature was found. The sender's domain policy suggests discarding this message.

That suggests that the message might not have originated with the purported sender.

Foto
1

Bitte poste mal alle Header der Email, du kannst ja deine eigene Empfängeradresse und den Betreff zensieren. Das ganze macht schon den Eindruck, dass die Mail nicht wirklich von Paypal kommt.

Foto
1

Anbei der Quelltext. Ich habe alles persönliche entfernt bzw. umbenannt.

Zum Verständnis: Paypal schickt die Email an meine live.de Adresse und live.de leitet diese an mailbox.org weiter. Die Mails werden bei live.de nicht als Spam markiert sondern ganz normal weitergereicht. Die Markierung erfolgt bei mailbox.org. Die Emails sind mMn echt, da der Inhalt sich auf aktuelle Paypal Fälle bezieht. Es ist also keine Werbung oder so, sondern sind Paypal Problemfälle. Und komischerweise passiert das immer nur bei den Paypal Problemfällen. Paypal "Bezahlemails" gehen normal durch, aber die kommen auch von paypal.de und nicht paypal.com.

------------------

Return-Path: <service@paypal.com>

Delivered-To: meinemail+Junk@mailbox.org

Received: from director-04.heinlein-hosting.de ([80.241.60.215])

by dobby23b.mgmt.heinlein-hosting.de with LMTP id GJawDwpVV1pGawAAbMLb6Q

for <meinemail+Junk@mailbox.org>; Thu, 11 Jan 2018 13:14:02 +0100

Received: from mx2.mailbox.org ([80.241.60.215])

(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))

by director-04.heinlein-hosting.de with LMTP id UJdmDApVV1rGogEAgupzMw

; Thu, 11 Jan 2018 13:14:02 +0100

Received: from spamfilter02.heinlein-hosting.de (spamfilter02.heinlein-hosting.de [80.241.56.116])

by mx2.mailbox.org (Postfix) with ESMTP id 16EF54109B

for <meinemail+Junk@mailbox.org>; Thu, 11 Jan 2018 13:14:02 +0100 (CET)

X-Virus-Scanned: amavisd-new at heinlein-support.de

X-Spam-Flag: YES

X-Spam-Score: 6.189

X-Spam-Level: ******

X-Spam-Status: Yes, score=6.189 tagged_above=2 required=6

tests=[BAYES_00=-1.9, DKIM_ADSP_DISCARD=1.8, DKIM_SIGNED=0.1,

FREEMAIL_FROM=0.001, HTML_FONT_LOW_CONTRAST=0.001, HTML_MESSAGE=0.001,

RCVD_IN_DNSWL_NONE=-0.0001, RCVD_IN_MSPIKE_H5=-1,

RCVD_IN_MSPIKE_WL=-0.01, SARE_FORGED_PAYPAL=4,

SARE_FORGED_PAYPAL_C=1.3, SARE_SPOOF_BADURL=1.059,

SARE_SUB_ENC_UTF8=0.152, SPF_HELO_PASS=-0.001, SPF_SOFTFAIL=0.665,

T_DKIM_INVALID=0.01, T_REMOTE_IMAGE=0.01, URIBL_BLOCKED=0.001]

autolearn=no autolearn_force=no

Authentication-Results: spamfilter02.heinlein-hosting.de (amavisd-new);

dkim=fail (2048-bit key) reason="fail (message has been altered)"

header.d=paypal.com

Received: from mx2.mailbox.org ([80.241.60.215])

by spamfilter02.heinlein-hosting.de (spamfilter02.heinlein-hosting.de [91.198.250.170]) (amavisd-new, port 10024)

with ESMTP id V-uoXSiibIN6 for <meinemail@mailbox.org>;

Thu, 11 Jan 2018 13:13:57 +0100 (CET)

Received: from EUR01-VE1-obe.outbound.protection.outlook.com (mail-oln040092066033.outbound.protection.outlook.com [40.92.66.33])

(using TLSv1.2 with cipher AES128-SHA256 (128/128 bits))

(No client certificate requested)

by mx2.mailbox.org (Postfix) with ESMTPS

for <meinemail@mailbox.org>; Thu, 11 Jan 2018 13:13:57 +0100 (CET)

Received: from HE1EUR01FT051.eop-EUR01.prod.protection.outlook.com

(10.152.0.59) by HE1EUR01HT037.eop-EUR01.prod.protection.outlook.com

(10.152.0.240) with Microsoft SMTP Server (version=TLS1_2,

cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.20.345.12; Thu, 11

Jan 2018 12:13:56 +0000

Received: from HE1P190MB0313.EURP190.PROD.OUTLOOK.COM (10.152.0.54) by

HE1EUR01FT051.mail.protection.outlook.com (10.152.1.71) with Microsoft SMTP

Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256) id

15.20.345.12 via Frontend Transport; Thu, 11 Jan 2018 12:13:57 +0000

Received: from HE1P190MB0313.EURP190.PROD.OUTLOOK.COM ([::1]) by

HE1P190MB0313.EURP190.PROD.OUTLOOK.COM ([fe80::8cda:360b:af25:f39b%13]) with

Microsoft SMTP Server id 15.20.0386.008; Thu, 11 Jan 2018 12:13:56 +0000

From: "service@paypal.com" <service@paypal.com>

To: Vorname Nachname <live_mail@live.de>

Subject: ***SPAM*** Neue Nachricht =?UTF-8?Q?=E2=80=93?= Fall

PP-123456789

Thread-Topic: =?utf-8?B?TmV1ZSBOYWNocmljaHQg4oCTIEZhbGwgUFAtMDA2LTUzMC02MzUtODMy?=

Date: Thu, 11 Jan 2018 12:13:55 +0000

Message-ID: <1515672835.17212@paypal.com>

X-MS-Has-Attach:

X-MS-Exchange-Inbox-Rules-Loop: live_mail@live.de

X-MS-TNEF-Correlator:

authentication-results: spf=pass (sender IP is 173.0.84.227)

smtp.mailfrom=paypal.com; live.de; dkim=pass (signature was verified)

header.d=paypal.com;live.de; dmarc=pass action=none header.from=paypal.com;

received-spf: Pass (protection.outlook.com: domain of paypal.com designates

173.0.84.227 as permitted sender) receiver=protection.outlook.com;

client-ip=173.0.84.227; helo=mx0.slc.paypal.com;

x-incomingtopheadermarker: OriginalChecksum:652E72B4284D424D6071A3E1FB5BF4F6E1B91BA729E69C60D391EF20B99E44FF;UpperCasedChecksum:2D077529449C9699BA38CCE0E5684635C1B441CF77149B1E0DD3FCA757BF84AB;SizeAsReceived:1301;Count:16

dkim-signature: v=1; a=rsa-sha256; d=paypal.com; s=pp-dkim1;

c=relaxed/relaxed; q=dns/txt; i=@paypal.com; t=1515672835;

h=From:From:Subject:Date:To:MIME-Version:Content-Type;

##################################################################

################PlainText habe ich hier entfernt##################

##################################################################

amq-delivery-message-id: EMAILDELIVERY-Notification_EmailDeliveryEvent-109-1515672829364-2849367348

x-pp-requested-time: 1515672827478

x-pp-email-transmission-id: e163edf6-f6c8-11e7-90d3-9c8e992ea258

pp-correlation-id: 6164fe9023180

x-maxcode-template: PPC000229

x-email-type-id: PPC000229

x-incomingheadercount: 65

x-eopattributedmessage: 1

x-eoptenantattributedmessage: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa:0

x-microsoft-exchange-diagnostics: 1;HE1EUR01HT037;5:/+XoltRLS8Xbliuw2cR8U6FOaRXj/jmC5p1mGO0Pw6KWHXIznu9WD+7EX7XoawdzwmvVA1LJkANQW7a3j80mF1v1DlUazz8j4Lr4xfXRlw0lb8QSsQEZyNvZ3LlWxbFSi3KU8ZXP+ILsrJ1/vsrlgEL64k76iw42IcoWoNYy8xo=;24:pNaxf//n1qSys04h3lBA2lXXnW4cWQ1SwZtIaogmAbF1lzy/3EuxpXtNQYceegmaj8l1ITFHNyMxvV77XE2KA4kS/k15kGrDFfY5DFQlO0s=;7:aSCkjyKIBNofUo8ZJs7DPxt+sK9K/3CmUwkRiH1nAEWs0oXGta5PHQ8R8f6FTf6L4kORQZea04KxghU25eVY3ML0je6t3G1+LqWdeyQeln/AAYEDamf8nyoV6xG3H7g5Fw0lk2I10kSGDL0yWOMWmT/SU9Ya3g/N8SZk9UC/NnYFzx3U7COFYXaQcsySM7Ui9L+br/qy6xH0pAaIkIyvL3XyGaAiv2g82sP+ftWWWrxHM7hZx9zrYdP/g7zsWGvb

x-forefront-antispam-report: EFV:NLI;SFV:NSPM;SFS:(98901004);DIR:INB;SFP:;SCL:1;SRVR:AM5EUR02HT134;H:mx0.slc.paypal.com;FPR:;SPF:None;LANG:;SFV:NSPM;SFS:(7070007)(98901004);DIR:OUT;SFP:1901;SCL:1;SRVR:HE1EUR01HT037;H:HE1P190MB0313.EURP190.PROD.OUTLOOK.COM;FPR:;SPF:None;LANG:;

x-ms-publictraffictype: Email

x-ms-office365-filtering-correlation-id: 27051607-e9fa-48be-4e14-08d558ecca20

x-microsoft-antispam: BCL:1;PCL:0;RULEID:(5000109)(4604075)(4605076)(610169)(650170)(651021)(8291501071);SRVR:AM5EUR02HT134;UriScan:;BCL:0;PCL:0;RULEID:(2017031320274)(201705091528075)(201702221075);SRVR:HE1EUR01HT037;

x-ms-traffictypediagnostic: AM5EUR02HT134:|HE1EUR01HT037:

x-ms-exchange-eopdirect: true

x-sender-ip: 173.0.84.227

x-sid-pra: SERVICE@PAYPAL.COM

x-sid-result: PASS

x-exchange-antispam-report-test: UriScan:(252895345309445)(236401367519767);

x-exchange-antispam-report-cfa-test: BCL:1;PCL:0;RULEID:(444111537)(1980499008)(595095)(82015058);SRVR:AM5EUR02HT134;BCL:1;PCL:0;RULEID:(100000803101)(100110400095);SRVR:AM5EUR02HT134;BCL:0;PCL:0;RULEID:(444000031);SRVR:HE1EUR01HT037;BCL:0;PCL:0;RULEID:(100000803101)(100110400095);SRVR:HE1EUR01HT037;

x-microsoft-antispam-message-info: DoVfZ8f13/tdVsOTO6V7tg+zc7tVzOpynGQue4exFTOgz+wqX/bO1zDmSjEaBKB0/K7QGaedBQ3tVl6ITh1iGKN0X/ORBxd47nD9D8adb7iOSDwV3q+DmwlDJmIYqdSf+BV41LCj4weUf0JpZcHOiQ==

spamdiagnosticoutput: 1:5

spamdiagnosticmetadata: Default:1:0

x-ms-exchange-crosstenant-originalarrivaltime: 11 Jan 2018 12:13:55.8724 (UTC)

x-ms-exchange-crosstenant-network-message-id: dc6ba7dc-5922-42ca-923a-08d558ecc9cb

x-ms-exchange-crosstenant-id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa

x-ms-exchange-crosstenant-fromentityheader: Internet

x-ms-exchange-transport-crosstenantheadersstamped: AM5EUR02HT134

x-ms-exchange-transport-endtoendlatency: 00:00:00.9147617

x-ms-exchange-processed-by-bccfoldering: 15.20.0386.006

Resent-From: <live_mail@live.de>

x-microsoft-exchange-diagnostics-untrusted: 1;AM5EUR02HT134;5:G9nMWNGwitNztGEU+cmH9oLL/qfLfmkv9ZwSaym80Onf38IXYGnKah60kfCy81jmdiXrnnso5AE7GtwVEbQ53JxMXxjyDcDhLcpNijZxI5R/Cw+y9JjG1wzFidBgIMa4WByUh2w2ouqNQeCuu/uSgdd/zW6DppZIS7DJlcI2FhQ=;24:2/bXlPK0Sx6gyF8Y1gpwVMr7FT504F8V8OsRD+FjJPhn/iBQ3CIOAuYLqqGphVtkM9UOfqvvgK3Q6svt4F77Q6gmS8+pVLiXoCyILBta6YE=;7:45kj8EDgNpl2KWNcl4IToMZj8kDKz3EfJbUc3GL0sakJ9h/VwbhDI08UxHNNsBHW15hUtrMqiTwJrC3MdpNPDCZL85gWWANq0TXP/umqYxnEowlMjeGKbFPXjkCqdoeumXdLiL7Sn1w/ri98KgSo5S45yLq2ErYO4Iqq2qwUqh4J+bE0C1iaG27pWmWESpGLxgTr6NQrc0puwArBEaxizi6nJf8naxIZEq7sGYBxw+9uTftpYqRdfqyEQ7nzS6Yw

x-ms-exchange-transport-crosstenantheadersstripped: HE1EUR01FT051.eop-EUR01.prod.protection.outlook.com

x-forefront-prvs: 0549E6FD50

Content-Type: multipart/alternative; boundary="_000_151567283517212paypalcom_"

MIME-Version: 1.0

X-OriginatorOrg: outlook.com

X-MS-Exchange-CrossTenant-Network-Message-Id: 27051607-e9fa-48be-4e14-08d558ecca20

X-MS-Exchange-CrossTenant-originalarrivaltime: 11 Jan 2018 12:13:56.8652

(UTC)

X-MS-Exchange-CrossTenant-fromentityheader: Internet

X-MS-Exchange-CrossTenant-id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa

X-MS-Exchange-Transport-CrossTenantHeadersStamped: HE1EUR01HT037

--_000_151567283517212paypalcom_

Content-Type: text/plain; charset="utf-8"

Content-Transfer-Encoding: base64

##################################################################

################PlainText habe ich hier entfernt##################

##################################################################

--_000_151567283517212paypalcom_--

Foto
1

Offenbar Weiterleitung mit kaputter DKIM Signatur.

Authentication-Results: spamfilter02.heinlein-hosting.de (amavisd-new);

dkim=fail (2048-bit key) reason="fail (message has been altered)"

header.d=paypal.com

Paypal Received Header fehlen. SPF kann nicht überprüft werden.


Hier hilft auch kein whitelist_from_dkim.

Was erwartest Du? Wieso lasst du dir die E-mail nicht direkt zustellen?

Foto
1

nun ja, das ist nun mal meine Adresse, die bei Paypal hinterlegt ist.

Du meinst das liegt allein an der Weiterleitung?

Foto
2

Wie Zapata richtig geschrieben hat (vielen Dank!) ist hier irgendwie die DKIM-Signatur "gebrochen". Heißt: Die Mail wurde inhaltlich irgendwo verändert (web.de?) und sie ist nicht mehr Orginal -- oder eben gefälscht.


Paypal selbst weist andere Provider in seinen DKIM-Regeln an, daß diese Mails als Spam behandelt und verworfen (oder abglehnt) werden sollen.


https://dmarcian.com/dmarc-inspector/paypal.com


Genau das tun wir hier. Das ist der Wille von Paypal.


Das ist auch gut so, denn das wird ja gemacht um gefährliches Phishing, Trojaner, Crypto-Viren und anderes zu verhindern. Das sind ja auch keine Lappalien. Darum hat man DKIM/DMARC ja erfunden und darum setzt Paypal ja auch diese Einstellungen.


web.de scheint die Mail inhaltlich zu verändern. Das ist halt ein absolutes NoGo und die Ursache für Dein Problem. Ansonsten kann ich nur zu dem Schluß kommen, daß hier alles sauber so funktioniert, wie es funktionieren "soll".

Foto
Foto
1

Die bei Paypal hinterlegte E-mail Adresse lässt sich einfach ändern! :-)

Wenn die Weiterleitung die Original-Nachricht dermaßen verändert, kann es halt passieren, dass die Nachricht nicht richtig erkannt wird. Vorallem wenn DKIM und SPF eingesetzt werden. Hast du die Original E-mail im Live-Konto noch? Dann kannst ja mal den Header vergleichen.


Spamassassin rät eigentlich von der Verwendung der SARE Regeln ab. Ich finde keine Archiv und kann daher zu den einzelnen Rules nichts sagen. Wahrscheinlich pflegt Mailbox.org die SARE Regeln lokal.

Foto
1

die Originalmail habe ich nicht mehr, aber ich werde mir die zukünftig aufheben und mal sehen was da verändert wird.

@Herr Heinlein: der andere Email Anbieter ist übrigens Outlook.com bzw. von live.de ;-)


OK, dann bedanke ich mich für die Hilfe und schaue, dass ich meine Mailweiterleitungen sukzessive "aufräume"