[Postfixbuch-users] kennt jemand *diesen* Spam? bzw wie sperre ichden aus

Matthias Haegele mhaegele at linuxrocks.dyndns.org
Do Nov 9 19:37:00 CET 2006


lexa schrieb:
>> -----Original Message-----
>> From: postfixbuch-users-bounces at listi.jpberlin.de 
>> [mailto:postfixbuch-users-bounces at listi.jpberlin.de] On 
>> Behalf Of Heiner Mueller
>> Sent: Thursday, November 09, 2006 12:26 PM
>> To: postfixbuch-users at listi.jpberlin.de
>> Subject: [Postfixbuch-users] kennt jemand *diesen* Spam? bzw 
>> wie sperre ichden aus
> 
> 
> Hi,
> 
> 
> Dein Anliegen ist ein Dauerthema. Sehr brauchbare Infos erhältst
> Du, wenn Du in der Liste mal in den letzten 2-3 Monaten nach OCR
> bzw. FuzzyOCR suchst.

Die SARE Rules greifen manchmal:
0.8 SARE_GIF_ATTACH        FULL: Email has a inline gif
----------------------------------------------------------------------------------------------------
5.0 LEXA_CID_OBJ           RAW: Per cid: eingebettetes Objekt

btw: @lexa deine SA Regel scheint immer auch mit der SARE gemeinsam zu 
greifen.
Könntest du die SA-Regel vielleicht nochmal aufführen?

unten füge ich mal bisserl was an

hth
MH

> 
> 
> Gruss - Axel
> 
> 
> 
>> ich weiss es es klingt etwas ungenau, aber ich versuche es 
>> mal zu präzisieren:
>>
>> Ich bekomme zwar ettliche Spam-Mails / Tag - aber eigentlich 
>> ist es alles die gleiche Mail an unterschiedliche Adressen 
>> (hab aus best. Gründen Catchall und auch Kopie von versch. 
>> Kundenadressen, e.g. Webmaster etc.)
>>
>> D.h. ca. 80%+ des Spams der durchkommt ist gleich. Verstanden 
>> was ich meine?
>> Das geht nun schon eine ganze Weile so und mir ist nicht klar 
>> wie ich den 
>>
>> So sieht *er* (der Spam) aus - evtl. kennt den ja auch 
>> jemand/hat ne Idee zur Filterung:
>>
>> Betreff: Random
>>
>> Inhalt: 
>> - Grafik die aus Buntem Text + Hintergrund besteht, in dem 
>> (vermutl. weg. OCR), willkürlich Punkte und Striche eingestreut sind.
>> - drunter (in der Darstellung) ist irgendwelcher 
>> Dummy/rnd/nonsens-Text
>> - Inhaltlich: keine Ahnung ;-) könnte aber um Aktion o.ä. gehen?
>> z.B. 
>>
>> ...
>> Symbol: WEXE
>> Price: $1.03
>> Target: $15
>> ...
>> West Excelsor Enterprises is a junior exploration company ... (etc.)
>>
>> ODER
>>
>> Symbol: SSRL
>> Price: $1.46
>> Target: $20
>>
>> usw.
>>
>>
>> Header z.B:
>>
>> Received: from [140.148.26.68] (unknown [140.148.26.68])
>> oder
>> Received: from [222.191.83.143] (unknown [222.191.83.143])
>> oder
>> Received: from 
>> host146-237-static.33-88-b.business.telecomitalia.it 
>> (host146-237-static.33-88-b.business.telecomitalia.it [88.33.237.146])
>>
>> etc.
>>
>> wie wäre es mit DUL? hat das jemand? Andere Idee?

Jup. Evtl. auch über SA um ein "hartes" Blocken, false positives zu 
vermeiden?
Vielleicht als kleine Anregung was ich in Postfix verwende (ist aber 
auch gewachsen bitte vorher prüfen).

> reject_rbl_client relays.ordb.org,     reject_rbl_client list.dsbl.org,     reject_rbl_client sbl-xbl.spamhaus.org,      reject_rhsbl_sender dsn.rfc-ignorant.org        reject_rhsbl_sender postmaster.rfc-ignorant.org reject_rhsbl_sender abuse.rfc-ignorant.org

und pflogsumm dazu:

> 412   received
>     408   delivered
>       0   forwarded
>       1   deferred  (6  deferrals)
>       5   bounced
>     165   rejected (28%)

"Länder" die ich nicht so mag:
>  Client host rejected: We don't accept email sent from this Top Level Domain.
>  (total: 13)
>            3   veloxzone.com.br
>            2   host-ip66-84.crowley.pl
>            2   emb22.internetdsl.tpnet.pl
>            1   virtua.com.br
>            1   chello087206201014.chello.pl
>            1   chello087206231032.chello.pl
>            1   chello087207236030.chello.pl
>            1   akx156.internetdsl.tpnet.pl
>            1   088156096071.stk.vectranet.pl


die Blacklists:
> blocked using list.dsbl.org (total: 11)
>            2   201.39.108.127
>            2   202.101.177.251
>            2   211.44.101.85
>            2   218.244.176.188
>            2   220.122.243.78
>            1   gaoland.net
>     blocked using sbl-xbl.spamhaus.org (total: 21)
>            3   80.51.87.254
>            3   80.51.92.22
>            3   82.139.11.4
>            3   243-25-25.elekta.lt
>            2   rr.com
>            2   195.117.155.190
>            2   211.169.164.138
>            1   85.103.105.159
>            1   ukrtel.net
>            1   200.81.208.105

Die "einfachen" Regeln scheinen aber auch ganz gut zu greifen:
> Helo command rejected: Dont use my IP Address go away (total: 6)
>            1   58.241.213.20
>            1   veloxzone.com.br
>            1   220.194.57.126
>            1   221.162.0.239
>            1   221.202.46.249
>            1   222.33.134.187
>     Helo command rejected: need fully-qualified hostname (total: 60)
>            4   comcast.net
>            3   iam.net.ma
>            3   siol.net
>            3   kalisz.mm.pl
>            2   82.194.34.191
>            2   shawcable.net
>            2   vtr.net
>            2   acoe166.neoplus.adsl.tpnet.pl
>            2   203.187.238.140
>            1   12.30.172.178
>            1   84.7.80.37
>            1   84.52.66.43
>            1   85.195.4.129
>            1   87.105.47.103
>            1   cable-62-205-102-181.upc.chello.be
>            1   embratel.net.br
>            1   static-66-225-148-41.ptr.terago.ca
>            1   88-219-222-201.adsl.terra.cl
>            1   btopenworld.com
>            1   idknet.com
>            1   ntl.com
>            1   ono.com
>            1   rr.com
>            1   skanova.com
>            1   verkkopalvelut.com
>            1   p5496A2F4.dip0.t-ipconnect.de
>            1   m135.net81-64-45.noos.fr
>            1   host79-88.pool8291.interbusiness.it
>            1   ocn.ne.jp
>            1   adelphia.net
>            1   everestkc.net
>            1   netatonce.net
>            1   qwest.net
>            1   verizon.net
>            1   cc515247-a.hnglo1.ov.home.nl
>            1   augustow.mm.pl
>            1   is.net.pl
>            1   netis.net.pl
>            1   baiamare.ipn.ro
>            1   maxonline.com.sg
>            1   gotadsl.co.uk
>            1   121.132.86.225
>            1   122.254.195.156
>            1   124.80.233.198
>            1   202.134.188.29
>            1   218.149.110.65
>     Sender address rejected: Domain not found (total: 2)
>            1   httpd at core-10-hkw243.nshk.net
>            1   bounce-debian-user-german=mhaegele=linuxrocks.dyndns.org at lists.de

Weblinks:

[1] http://www.rulesemporium.com/
[2] http://wiki.apache.org/spamassassin/FuzzyOcrPlugin




Mehr Informationen über die Mailingliste Postfixbuch-users