[Postfixbuch-users] Spammails mit Grafik verhindern

Kai Fürstenberg postfix at fuerstenberg.ws
Mi Jul 26 07:27:00 CEST 2006


Hallo Denise,

Denise schrieb:
> Hallo Liste...
> 
> bekomme immer wieder diese "Dump and Pump"-Mails mit denen irgendwelche
> Aktienkurse künstlich in die Höhe getrieben werden sollen. Neuerdings -
> wie andere Spammails auch als Grafik verpackt, die mit der Mail mitkommt
> und auch kein Link nach irgendwo enthält.
> Gibt es eine Möglichkeit diese Mails doch als Spam zu entlarven und zu
> killen?
> Ansonsten ist nur Blödsinn in der Mail, der sich immer verändert. Gibt
> es beispielweise die Möglichkeit, Mime-Anhänge durch ein OCR zu jagen
> und den daraus resultierenden Inhalt auf Spam zu prüfen?

Das wäre mir neu.

> Received: from [222.72.12.53] (unknown [222.72.12.53])
> 	by mail.wipu-club.de (Postfix) with SMTP id BE1C2A08A
> 	for <denise at wipu-club.de>; Tue, 25 Jul 2006 17:33:27 +0200 (CEST)

Du hast diese Mail allerdings von einem Dial-Up-Netzwerk bekommen:
# whois 222.72.12.53
inetnum:      222.64.0.0 - 222.73.255.255
netname:      CHINANET-SH
descr:        CHINANET shanghai province network
descr:        China Telecom
descr:        No1,jin-rong Street
descr:        Beijing 100032
country:      CN

Hier könnte man mit entsprechenden RBLs arbeiten

# host 222.72.12.53
Host 53.12.72.222.in-addr.arpa not found: 3(NXDOMAIN)

und/oder hier vielleicht mit einem
reject_unknown_reverse_client_hostname

Alternativ könnte man vielleicht den Schreibstil analysieren.  Ich habe 
es jetzt nicht gezählt, aber die durchschnittlichen Zeilenlänge liegt 
bei ca. 25 Zeichen (+/- ein paar). Also vielleicht wenn 4 oder 5 Zeilen 
aufeinanderfolgend weniger als 30 Zeichen aufweisen, dann zurückweisen. 
Aber allzusehr verlassen würde ich mich darauf nicht. Das ist ziemlich 
unsicher und kann natürlich nur dann greifen, wenn die Mails alle gleich 
aufgebaut sind.

Die IP-Adresse 222.72.12.53 ist weder bei cbl.abuseat.org, noch bei 
opm.blitzed.org, noch bei sbl.spamhaus.org aktuell gelistet.
Die Abfrage bei dul.dnsbl.sorbs.net war aber erfolgreich. Das macht die 
Sache aber auch nicht unbedingt einfacher (je nachdem welchen RBLs man 
vertraut).

> X-Spam-Status: No, hits=4.0 tagged_above=3.0 required=5.0
>  tests=DATE_IN_FUTURE_12_24, EXTRA_MPART_TYPE, HTML_50_60, HTML_MESSAGE,
>  MIME_QP_LONG_LINE

Es sind halt leider nur Tests, die nicht offensichtlich auf Spam 
schliessen lassen. Können halt auch in normalen Mails vorkommen.

Da hat sich wieder jemand was ausgedacht, um den SA zu überlisten, denn 
die Mail ist ansonsten ja ganz "normal" aufgebaut.

Und wenn bei diesen ganzen Spams nicht irgendwelche Gemeinsamkeiten 
auftreten (wie z.B. Message-Id endet mit .. at windowsxpsp1> oder so)
wirst du es schwer haben.

Gruß
Kai



Mehr Informationen über die Mailingliste Postfixbuch-users