[Postfixbuch-users] kennt jemand *diesen* Spam? bzw wie sperre ichden aus
Matthias Haegele
mhaegele at linuxrocks.dyndns.org
Do Nov 9 19:37:00 CET 2006
lexa schrieb:
>> -----Original Message-----
>> From: postfixbuch-users-bounces at listi.jpberlin.de
>> [mailto:postfixbuch-users-bounces at listi.jpberlin.de] On
>> Behalf Of Heiner Mueller
>> Sent: Thursday, November 09, 2006 12:26 PM
>> To: postfixbuch-users at listi.jpberlin.de
>> Subject: [Postfixbuch-users] kennt jemand *diesen* Spam? bzw
>> wie sperre ichden aus
>
>
> Hi,
>
>
> Dein Anliegen ist ein Dauerthema. Sehr brauchbare Infos erhältst
> Du, wenn Du in der Liste mal in den letzten 2-3 Monaten nach OCR
> bzw. FuzzyOCR suchst.
Die SARE Rules greifen manchmal:
0.8 SARE_GIF_ATTACH FULL: Email has a inline gif
----------------------------------------------------------------------------------------------------
5.0 LEXA_CID_OBJ RAW: Per cid: eingebettetes Objekt
btw: @lexa deine SA Regel scheint immer auch mit der SARE gemeinsam zu
greifen.
Könntest du die SA-Regel vielleicht nochmal aufführen?
unten füge ich mal bisserl was an
hth
MH
>
>
> Gruss - Axel
>
>
>
>> ich weiss es es klingt etwas ungenau, aber ich versuche es
>> mal zu präzisieren:
>>
>> Ich bekomme zwar ettliche Spam-Mails / Tag - aber eigentlich
>> ist es alles die gleiche Mail an unterschiedliche Adressen
>> (hab aus best. Gründen Catchall und auch Kopie von versch.
>> Kundenadressen, e.g. Webmaster etc.)
>>
>> D.h. ca. 80%+ des Spams der durchkommt ist gleich. Verstanden
>> was ich meine?
>> Das geht nun schon eine ganze Weile so und mir ist nicht klar
>> wie ich den
>>
>> So sieht *er* (der Spam) aus - evtl. kennt den ja auch
>> jemand/hat ne Idee zur Filterung:
>>
>> Betreff: Random
>>
>> Inhalt:
>> - Grafik die aus Buntem Text + Hintergrund besteht, in dem
>> (vermutl. weg. OCR), willkürlich Punkte und Striche eingestreut sind.
>> - drunter (in der Darstellung) ist irgendwelcher
>> Dummy/rnd/nonsens-Text
>> - Inhaltlich: keine Ahnung ;-) könnte aber um Aktion o.ä. gehen?
>> z.B.
>>
>> ...
>> Symbol: WEXE
>> Price: $1.03
>> Target: $15
>> ...
>> West Excelsor Enterprises is a junior exploration company ... (etc.)
>>
>> ODER
>>
>> Symbol: SSRL
>> Price: $1.46
>> Target: $20
>>
>> usw.
>>
>>
>> Header z.B:
>>
>> Received: from [140.148.26.68] (unknown [140.148.26.68])
>> oder
>> Received: from [222.191.83.143] (unknown [222.191.83.143])
>> oder
>> Received: from
>> host146-237-static.33-88-b.business.telecomitalia.it
>> (host146-237-static.33-88-b.business.telecomitalia.it [88.33.237.146])
>>
>> etc.
>>
>> wie wäre es mit DUL? hat das jemand? Andere Idee?
Jup. Evtl. auch über SA um ein "hartes" Blocken, false positives zu
vermeiden?
Vielleicht als kleine Anregung was ich in Postfix verwende (ist aber
auch gewachsen bitte vorher prüfen).
> reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl-xbl.spamhaus.org, reject_rhsbl_sender dsn.rfc-ignorant.org reject_rhsbl_sender postmaster.rfc-ignorant.org reject_rhsbl_sender abuse.rfc-ignorant.org
und pflogsumm dazu:
> 412 received
> 408 delivered
> 0 forwarded
> 1 deferred (6 deferrals)
> 5 bounced
> 165 rejected (28%)
"Länder" die ich nicht so mag:
> Client host rejected: We don't accept email sent from this Top Level Domain.
> (total: 13)
> 3 veloxzone.com.br
> 2 host-ip66-84.crowley.pl
> 2 emb22.internetdsl.tpnet.pl
> 1 virtua.com.br
> 1 chello087206201014.chello.pl
> 1 chello087206231032.chello.pl
> 1 chello087207236030.chello.pl
> 1 akx156.internetdsl.tpnet.pl
> 1 088156096071.stk.vectranet.pl
die Blacklists:
> blocked using list.dsbl.org (total: 11)
> 2 201.39.108.127
> 2 202.101.177.251
> 2 211.44.101.85
> 2 218.244.176.188
> 2 220.122.243.78
> 1 gaoland.net
> blocked using sbl-xbl.spamhaus.org (total: 21)
> 3 80.51.87.254
> 3 80.51.92.22
> 3 82.139.11.4
> 3 243-25-25.elekta.lt
> 2 rr.com
> 2 195.117.155.190
> 2 211.169.164.138
> 1 85.103.105.159
> 1 ukrtel.net
> 1 200.81.208.105
Die "einfachen" Regeln scheinen aber auch ganz gut zu greifen:
> Helo command rejected: Dont use my IP Address go away (total: 6)
> 1 58.241.213.20
> 1 veloxzone.com.br
> 1 220.194.57.126
> 1 221.162.0.239
> 1 221.202.46.249
> 1 222.33.134.187
> Helo command rejected: need fully-qualified hostname (total: 60)
> 4 comcast.net
> 3 iam.net.ma
> 3 siol.net
> 3 kalisz.mm.pl
> 2 82.194.34.191
> 2 shawcable.net
> 2 vtr.net
> 2 acoe166.neoplus.adsl.tpnet.pl
> 2 203.187.238.140
> 1 12.30.172.178
> 1 84.7.80.37
> 1 84.52.66.43
> 1 85.195.4.129
> 1 87.105.47.103
> 1 cable-62-205-102-181.upc.chello.be
> 1 embratel.net.br
> 1 static-66-225-148-41.ptr.terago.ca
> 1 88-219-222-201.adsl.terra.cl
> 1 btopenworld.com
> 1 idknet.com
> 1 ntl.com
> 1 ono.com
> 1 rr.com
> 1 skanova.com
> 1 verkkopalvelut.com
> 1 p5496A2F4.dip0.t-ipconnect.de
> 1 m135.net81-64-45.noos.fr
> 1 host79-88.pool8291.interbusiness.it
> 1 ocn.ne.jp
> 1 adelphia.net
> 1 everestkc.net
> 1 netatonce.net
> 1 qwest.net
> 1 verizon.net
> 1 cc515247-a.hnglo1.ov.home.nl
> 1 augustow.mm.pl
> 1 is.net.pl
> 1 netis.net.pl
> 1 baiamare.ipn.ro
> 1 maxonline.com.sg
> 1 gotadsl.co.uk
> 1 121.132.86.225
> 1 122.254.195.156
> 1 124.80.233.198
> 1 202.134.188.29
> 1 218.149.110.65
> Sender address rejected: Domain not found (total: 2)
> 1 httpd at core-10-hkw243.nshk.net
> 1 bounce-debian-user-german=mhaegele=linuxrocks.dyndns.org at lists.de
Weblinks:
[1] http://www.rulesemporium.com/
[2] http://wiki.apache.org/spamassassin/FuzzyOcrPlugin
Mehr Informationen über die Mailingliste Postfixbuch-users