[Postfixbuch-users] ***SPAM(7.6): RE: ***SPAM(8.9): Re: kennt jemand *diesen* Spam? bzw wie sperre ichden aus
lexa
lexa at acpweb.de
Do Nov 9 20:05:58 CET 2006
> -----Original Message-----
> From: postfixbuch-users-bounces at listi.jpberlin.de
> [mailto:postfixbuch-users-bounces at listi.jpberlin.de] On
> Behalf Of Matthias Haegele
> Sent: Thursday, November 09, 2006 7:37 PM
> To: Eine Diskussionsliste rund um das Postfix-Buch.
> Subject: ***SPAM(8.9): Re: [Postfixbuch-users] kennt jemand
> *diesen* Spam? bzw wie sperre ichden aus
>
> lexa schrieb:
> >> -----Original Message-----
> >> From: postfixbuch-users-bounces at listi.jpberlin.de
> >> [mailto:postfixbuch-users-bounces at listi.jpberlin.de] On
> >> Behalf Of Heiner Mueller
> >> Sent: Thursday, November 09, 2006 12:26 PM
> >> To: postfixbuch-users at listi.jpberlin.de
> >> Subject: [Postfixbuch-users] kennt jemand *diesen* Spam? bzw
> >> wie sperre ichden aus
> >
> >
> > Hi,
> >
> >
> > Dein Anliegen ist ein Dauerthema. Sehr brauchbare Infos erhältst
> > Du, wenn Du in der Liste mal in den letzten 2-3 Monaten nach OCR
> > bzw. FuzzyOCR suchst.
>
> Die SARE Rules greifen manchmal:
> 0.8 SARE_GIF_ATTACH FULL: Email has a inline gif
> --------------------------------------------------------------
> 5.0 LEXA_CID_OBJ RAW: Per cid: eingebettetes Objekt
>
> btw: @lexa deine SA Regel scheint immer auch mit der SARE
> gemeinsam zu greifen.
> Könntest du die SA-Regel vielleicht nochmal aufführen?
Die SARE_GIF_ATTACH gibt es in *meiner* Umgebung nicht, muss wohl
mal updaten ;)
Btw, wenn beide greifen, kannst Du meine Regel löschen und den
score für SARE_GIF_ATTACH entsprechend anpassen. Sowas mache ich
vorzugsweise in der local.cf für den SA, bei SuSE 9.3:
--> /etc/mail/spamassassin/local.cf
Dort kann man vordefinierte Scores global überschreiben, ohne die
Scores direkt zu ändern, da die Änderungen beim nächsten Update
futsch wären:
-----<
score SARE_GIF_ATTACH 3.5
score IXHASH 2.0
score ...
>----
Dies gilt entsprechend auch für andere Scores, die von Haus aus
zu lasch sind, wie z.B. HELO_DYNAMIC_*
Hier folgt wie gewünscht nochmal meine cid: Regel für SA. Sie punktet
aber *sämtliche* Mails mit eingebetteten Objekten, also nicht nur .gif,
sondern auch .wav usw., was sich natürlich durch Erweiterung der regex
ändern ließe. Möglicherweise gibt es aber in Deinem System separate
SARE_*_ATTACH Rules dafür.
----
# Eingebettete Inhalte (Outlook Express only ??)
rawbody LEXA_CID_OBJ /src=['"]cid:.*/i
describe LEXA_CID_OBJ Per cid: eingebettetes Objekt
score LEXA_CID_OBJ 5.00
----
> unten füge ich mal bisserl was an
>
> hth
> MH
>
> >
> >
> > Gruss - Axel
> >
> >
> >
> >> ich weiss es es klingt etwas ungenau, aber ich versuche es
> >> mal zu präzisieren:
> >>
> >> Ich bekomme zwar ettliche Spam-Mails / Tag - aber eigentlich
> >> ist es alles die gleiche Mail an unterschiedliche Adressen
> >> (hab aus best. Gründen Catchall und auch Kopie von versch.
> >> Kundenadressen, e.g. Webmaster etc.)
> >>
> >> D.h. ca. 80%+ des Spams der durchkommt ist gleich. Verstanden
> >> was ich meine?
> >> Das geht nun schon eine ganze Weile so und mir ist nicht klar
> >> wie ich den
> >>
> >> So sieht *er* (der Spam) aus - evtl. kennt den ja auch
> >> jemand/hat ne Idee zur Filterung:
> >>
> >> Betreff: Random
> >>
> >> Inhalt:
> >> - Grafik die aus Buntem Text + Hintergrund besteht, in dem
> >> (vermutl. weg. OCR), willkürlich Punkte und Striche
> eingestreut sind.
> >> - drunter (in der Darstellung) ist irgendwelcher
> >> Dummy/rnd/nonsens-Text
> >> - Inhaltlich: keine Ahnung ;-) könnte aber um Aktion o.ä. gehen?
> >> z.B.
> >>
> >> ...
> >> Symbol: WEXE
> >> Price: $1.03
> >> Target: $15
> >> ...
> >> West Excelsor Enterprises is a junior exploration company
> ... (etc.)
> >>
> >> ODER
> >>
> >> Symbol: SSRL
> >> Price: $1.46
> >> Target: $20
> >>
> >> usw.
> >>
> >>
> >> Header z.B:
> >>
> >> Received: from [140.148.26.68] (unknown [140.148.26.68])
> >> oder
> >> Received: from [222.191.83.143] (unknown [222.191.83.143])
> >> oder
> >> Received: from
> >> host146-237-static.33-88-b.business.telecomitalia.it
> >> (host146-237-static.33-88-b.business.telecomitalia.it
> [88.33.237.146])
> >>
> >> etc.
> >>
> >> wie wäre es mit DUL? hat das jemand? Andere Idee?
>
> Jup. Evtl. auch über SA um ein "hartes" Blocken, false positives zu
> vermeiden?
> Vielleicht als kleine Anregung was ich in Postfix verwende (ist aber
> auch gewachsen bitte vorher prüfen).
>
> > reject_rbl_client relays.ordb.org, reject_rbl_client
> list.dsbl.org, reject_rbl_client sbl-xbl.spamhaus.org,
> reject_rhsbl_sender dsn.rfc-ignorant.org
> reject_rhsbl_sender postmaster.rfc-ignorant.org
> reject_rhsbl_sender abuse.rfc-ignorant.org
>
> und pflogsumm dazu:
>
> > 412 received
> > 408 delivered
> > 0 forwarded
> > 1 deferred (6 deferrals)
> > 5 bounced
> > 165 rejected (28%)
>
> "Länder" die ich nicht so mag:
> > Client host rejected: We don't accept email sent from this
> Top Level Domain.
> > (total: 13)
> > 3 veloxzone.com.br
> > 2 host-ip66-84.crowley.pl
> > 2 emb22.internetdsl.tpnet.pl
> > 1 virtua.com.br
> > 1 chello087206201014.chello.pl
> > 1 chello087206231032.chello.pl
> > 1 chello087207236030.chello.pl
> > 1 akx156.internetdsl.tpnet.pl
> > 1 088156096071.stk.vectranet.pl
>
>
> die Blacklists:
> > blocked using list.dsbl.org (total: 11)
> > 2 201.39.108.127
> > 2 202.101.177.251
> > 2 211.44.101.85
> > 2 218.244.176.188
> > 2 220.122.243.78
> > 1 gaoland.net
> > blocked using sbl-xbl.spamhaus.org (total: 21)
> > 3 80.51.87.254
> > 3 80.51.92.22
> > 3 82.139.11.4
> > 3 243-25-25.elekta.lt
> > 2 rr.com
> > 2 195.117.155.190
> > 2 211.169.164.138
> > 1 85.103.105.159
> > 1 ukrtel.net
> > 1 200.81.208.105
>
> Die "einfachen" Regeln scheinen aber auch ganz gut zu greifen:
> > Helo command rejected: Dont use my IP Address go away (total: 6)
> > 1 58.241.213.20
> > 1 veloxzone.com.br
> > 1 220.194.57.126
> > 1 221.162.0.239
> > 1 221.202.46.249
> > 1 222.33.134.187
> > Helo command rejected: need fully-qualified hostname (total: 60)
> > 4 comcast.net
> > 3 iam.net.ma
> > 3 siol.net
> > 3 kalisz.mm.pl
> > 2 82.194.34.191
> > 2 shawcable.net
> > 2 vtr.net
> > 2 acoe166.neoplus.adsl.tpnet.pl
> > 2 203.187.238.140
> > 1 12.30.172.178
> > 1 84.7.80.37
> > 1 84.52.66.43
> > 1 85.195.4.129
> > 1 87.105.47.103
> > 1 cable-62-205-102-181.upc.chello.be
> > 1 embratel.net.br
> > 1 static-66-225-148-41.ptr.terago.ca
> > 1 88-219-222-201.adsl.terra.cl
> > 1 btopenworld.com
> > 1 idknet.com
> > 1 ntl.com
> > 1 ono.com
> > 1 rr.com
> > 1 skanova.com
> > 1 verkkopalvelut.com
> > 1 p5496A2F4.dip0.t-ipconnect.de
> > 1 m135.net81-64-45.noos.fr
> > 1 host79-88.pool8291.interbusiness.it
> > 1 ocn.ne.jp
> > 1 adelphia.net
> > 1 everestkc.net
> > 1 netatonce.net
> > 1 qwest.net
> > 1 verizon.net
> > 1 cc515247-a.hnglo1.ov.home.nl
> > 1 augustow.mm.pl
> > 1 is.net.pl
> > 1 netis.net.pl
> > 1 baiamare.ipn.ro
> > 1 maxonline.com.sg
> > 1 gotadsl.co.uk
> > 1 121.132.86.225
> > 1 122.254.195.156
> > 1 124.80.233.198
> > 1 202.134.188.29
> > 1 218.149.110.65
> > Sender address rejected: Domain not found (total: 2)
> > 1 httpd at core-10-hkw243.nshk.net
> > 1
> bounce-debian-user-german=mhaegele=linuxrocks.dyndns.org at lists.de
>
> Weblinks:
>
> [1] http://www.rulesemporium.com/
> [2] http://wiki.apache.org/spamassassin/FuzzyOcrPlugin
>
> --
> _______________________________________________
> Postfixbuch-users mailingliste
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
>
Mehr Informationen über die Mailingliste Postfixbuch-users