[Postfixbuch-users] spam e-mail umgeht amavis

andreas hildebrandt postfix-user at arcor.de
Mo Jun 9 11:49:38 CEST 2008


Hallo

ich habe manchmal spam e-mails die es irgendwie schaffen sich an
amavisd-new vorbei zu schmuggeln.

Jun  8 21:21:13 mail1 postfix/smtpd[1616]: connect from
mail.ran.ro[86.104.244.8]
Jun  8 21:21:15 mail1 postfix/policyd-weight[5233]: weighted check:
NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT
_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 IN_IX_MANITU=4.35
CL_IP_EQ_FROM_MX=-3.1; <client=86.104.244.8> 
<helo=mail.ran.ro> <from=scarrittnyoi at ran.ro>
<to=xxxxx.xxxxxx at cairoconsult.de>; rate: -3.25
Jun  8 21:21:15 mail1 postfix/policyd-weight[5233]: decided
action=PREPEND X-policyd-weight:  NOT_IN_
SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5
IN_IX_MANITU=4.35 CL_IP_EQ_FROM_MX=-3.
1; rate: -3.25; <client=86.104.244.8> <helo=mail.ran.ro>
<from=scarrittnyoi at ran.ro> <to=xxxxxx.xxxxxxx at cairoconsult.de>; delay:2s
Jun  8 21:21:15 mail1 postfix/smtpd[1616]: 374807EC64:
client=mail.ran.ro[86.104.244.8]
Jun  8 21:21:15 mail1 postfix/cleanup[1736]: 374807EC64:
message-id=<1027EC0A.9AE2282F at Ran.Ro>
Jun  8 21:21:15 mail1 postfix/oqmgr[636]: 374807EC64:
from=<scarrittnyoi at Ran.Ro>, size=1821, nrcpt=1 
(queue active)
Jun  8 21:21:15 mail1 postfix/smtpd[1616]: disconnect from
mail.ran.ro[86.104.244.8]


Es ist eine html e-mail mit ca. 1K 
Hier ein Auszug der e-mail.


[...]

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV=3D"Content-Type" CONTENT=3D"text/html; =
charset=3Diso-8859-1">
<META NAME=3D"Generator" CONTENT=3D"MS Exchange Server version =
6.5.7638.1">
<TITLE>Rajalakshmi naturgeiles Teen :-)</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->

<P><FONT SIZE=3D2>Der laengste F-ickdil.do wird gleich mal angepackt und
=
heiss</FONT>

<BR><FONT SIZE=3D2>nass gemacht. Danach weg mit den Anziehsachen, die =
Maschine</FONT>

<BR><FONT SIZE=3D2>angestellt. Mit V olldampf fic-kt der gnadenlose =
Mannersatz die kleine</FONT>

[...]



Hat jemand dafür eine Erklärung?

Danke im Voraus

andreas hildebrandt




Mehr Informationen über die Mailingliste Postfixbuch-users