Microsoft 365 Spam blocken

Carsten Rosenberg cr at ncxs.de
Fr Dez 22 15:48:54 CET 2023 

Hey,

Mit Scan/Learn läßt du die Mail im Bayes lernen. Das geht gut, ist 
meiner Meinung aber nur ein Zubrot.

Was meiner Ansicht nach bei spezifischen Spams hilft ist Fuzzy. Hier 
gibt es das Fuzzy bei rspamd.com, ihr könnt aber auch eine eigene 
FuzzyDB lokal betreiben

https://rspamd.com/doc/modules/fuzzy_check.html

https://rspamd.com/doc/workers/fuzzy_storage.html

Dazu noch ein paar extra Multimaps oder Regeln, dann sind die bei mir 
ganz gut erkannt.

Die Spamassassin Regeln von Heinlein oder Schaal-IT helfen da auch ganz 
gut. Ich schreib daher so gut wie extra Regeln für einzelne Spam-Templates

https://rspamd.com/doc/modules/spamassassin.html

(Achtung: nicht die Regeln von Spamassasin selbst rein laden, das gibt 
nur viele viele Warnings und Errors ;)

Viele Grüße

Carsten

On 20.12.23 20:25, Martin Steigerwald wrote:
> Hi!
> 
> Ich bekomme seit Wochen immer wieder in Wellen Spam-Mail von Servern von
> Microsoft 365 mit Betreffen wie:
> 
> Notice for martin,Congrats You got Reward package pending for delivery.
> 
> Important for martin,Congrats You Are Our CHRISTMAS Winner
> 
> Important Reminder Re: martin,You Have WON  Rachel Ray Cucina Cookware Set
> 
> Kohl's Rewards Team: You've been selected! Claim Your Prize: Share Your
> Feedback and Win a KitchenAid
> 
> 
> Laut Received-Header meines Mail-Servers kommt das Zeug von Servern wie:
> 
> Received: from BL0PR02CU006.outbound.protection.outlook.com
> (mail-eastusazhn15010000.outbound.protection.outlook.com [52.102.137.0])
> 
> Received: from CO1PR02CU002.outbound.protection.outlook.com
> (mail-westus2azhn15010003.outbound.protection.outlook.com [52.102.136.3])
> 
> 
> Die frei wählbaren From-Header enthalten Mail-Adressen wie:
> 
> From: StanleyTumblerRewards <info_YFj[… HASH …]@68[… ZEUG
> …].onmicrosoft.com>
> 
> KitchenAidRewards <info_FFZ[… HASH…]@2ce[… ZEUG…].onmicrosoft.com>
> 
> Ich hab auch schon sowas wie "[…]@[…]googlemail[…].onmicrosoft.com>
> gesehen.
> 
> Das kommt aber alles von Microsoft 365-Servern.
> 
> 
> Das Ganze läuft dann in etwa so ab. Es kommt eine Welle von Mails. Ich
> trainiere die manuell in der RSpamd-Web-Oberfläche unter "Scan/Learn" mit
> "Upload SPAM". Oft kommt beim initialen "Scan message" schon ein
> Punktestand wie 9.8/10. Ab 10 lehnt RSpamd die Mail ab. Beim ersten Lernen
> einer Mail mit neuem Betreff und Inhalt bleibt der Wert dann meistens
> gleich. Erst beim Lernen einer zweiten Mail mit gleichem Betreff erhöht
> RSpamd die Punktzahl entsprechend.
> 
> Dann ist Ruhe mit der neuen Welle.
> 
> Und nach einigen Tagen ging bisher das Spiel wieder von vorne los.
> 
> 
> Ein kompletter Block von Mails von Microsoft 365 kommt leider nicht mehr
> in Frage, nachdem immer mehr Firmen meinen es sei eine gute Idee Microsoft
> 365 einzusetzen. Ich würde das ja gerne tun, aber da kommt zu viel
> legitime Mail in den Abfall.
> 
> Irgendeine Idee wie ich den Müll geblockt bekomme? Eine Idee, die ich habe
> ist, Mails von Microsoft 365 einen bestimmten Punkte-Wert von 3 oder 5 zu
> geben. Allerdings erhöht das die Chance falscher Positive. Ich trainiere
> legitime Mail durchaus auch mit "Upload SPAM", aber dennoch.
> 
> 
> Ich habe mehrfach Abuse Complains an Microsoft geschickt. Die nehmen die
> Mails auch an. Eine Antwort kam bislang jedoch nicht.
> 
> Irgendeine Idee, wie ich den Müll loswerde, ohne manuell zu trainieren?
> Ich habe schon gesehen, wie RSpamd auch ohne manuelles Trainieren neue
> Spam-Wellen irgendwann blockt, aber das kann durchaus auch mal ne ganze
> Weile dauern.
> 
> Ich habe den Eindruck mit dem Aufstieg von Microsoft 365 und Co geht das
> Internet, wie ich es kenne und liebe, immer mehr den Bach runter.
> 
> So oder so Frohe Weihnachten für alle, die es feiern, und ansonsten eine
> erholsame, ruhigere Zeit.
> 
> Ciao,

Mehr Informationen über die Mailingliste Postfixbuch-users