Image only spam

ms at ddnetservice.de ms at ddnetservice.de
Mo Apr 24 16:48:38 CEST 2017


Am 24.04.2017 um 15:51 schrieb Claas Goltz:
> Hallo!
> Es kommt von Zeit zu Zeit immer mal wieder vor, dass Spam Mails, die nur 
> ein Bild mit Werbung enthalten, es durch meine Filter schaffen (amavis 
> mit sa). Die bekommen zwar schon einen relativ hohen score, aber eben 
> nicht genug, ab 5.2 blockiere ich die E-Mails. Mein erster Gedanke ist, 
> dass ich einfach die Scores von HTML_IMAGE_ONLY erhöhe, aber da weiß ich 
> leider nicht, welche Stellschraube da die Richtige ist. Meint ihr, dass 
> ist der Richtige weg? Und wenn ja, was würdet ihr da empfehlen?


Moin,

HTML_IMAGE_ONLY_04 zu erhöhen wäre auf den ersten Blick natürlich die 
logische Konsequenz. Allerdings kann man damit auch die false-positive 
Rate ordentlich nach oben treiben.

Meiner Meinung nach sind hier Meta Rules die bessere Variante, um 
solchen Spam-Mails Herr zu werden.

Die folgende Meta Rule sollte eigentlich diesen Spam erkennen:

> mimeheader      __DD_CYRILLIC_SPAM_01                   content-type =~ /charset=\"windows-1251\"/i
> meta            DD_CYRILLIC_01                          (__DD_CYRILLIC_SPAM_01 && HTML_IMAGE_ONLY_04)
> score           DD_CYRILLIC_01                          6.75

Erklärung:
Wenn der Mimeheader windows-1251 (also kyrillisch) ist und 
HTML_IMAGE_ONLY_04 auch vom SA erkannt wurde, dann wird entsprechend 
"gescored". Man kann natürlich die Meta Rule noch um weitere Tests 
erweitern, aber eigentlich sollte das so schon ausreichen.

Bei mir sortiert die Rule diese Art von Spam seit 2-3 Jahren zuverlässig 
aus.


Beste Grüße
Michael Seevogel



Mehr Informationen über die Mailingliste Postfixbuch-users