Spam via Google Groups-Mailinglisten

Mo Nov 11 13:30:06 CET 2024

Hallo Martin,

ich habs im Rspamd über Composites gelöst:

ASDB_HS_GOOGLE_GROUP_SPAM {
   expression = "MAILLIST[googlegroups] & MIME_TRACE[0:+, 1:+, 2:~] & 
R_SUSPICIOUS_IMAGES & TO_DOM_EQ_FROM_DOM & (MISSING_XM_UA | TAGGED_FROM 
| MIXED_CHARSET)";
   score = 9.0;
   policy = "leave";
   description = "Match Spam using Googlegroups relay";
}

Ich nutze sehr gern generische Matches und versuche keine extra Regex 
schreiben zu müssen. Das hier matcht das soweit ganz gut.

Wenn du noch sicherer gehen magst könnte diese Composite oder eine 
darauf aufbauende mit extra Punkten noch mit Spamhaus DBL oder der HBL 
Email kombiniert werden, die derzeit ganz gut matchen:

ASDB_HS_GOOGLE_GROUP_SPAM_SH {
   expression = "ASDB_HS_GOOGLE_GROUP_SPAM & (DBL_SPAM | SH_HBL_EMAIL)";
   score = 4.0;
   policy = "leave";
   description = "Match Spam using Googlegroups relay and Spamhaus";
}

Dazu habe ich einmal eine Reputation auf den Google-Group-ID Header 
gebastelt. Der funzt nach ein bisschen Zeit auch sehr gut:

   google_group_reputation =  {
     selector "generic" {
       selector = "header('X-Google-Group-Id')"; # see 
https://rspamd.com/doc/configuration/selectors.html
     }
     backend "redis" {
     }
     symbol = "GOOGLE_GROUP_REPUTATION";
   }

Viele Grüße

Carsten

On 11/9/24 3:42 PM, Martin Steigerwald wrote:
> Hi!
> 
> Ich bekam zuletzt immer wieder mal Spam via Google Groups-Mailinglisten.
> Zuletzt bezüglich einem angeblich kostenlosen "Medicare-Set" aber auch zu
> anderem Themen.
> 
> Exemplarisch ein paar Kopfzeilen dazu:
> 
> Received: by mail-ej1-x646.google.com with SMTP id a640[…]
>          for <[… meine Mail-Adresse …]>; Sat, 09 Nov 2024 05:[…] -0800
> (PST)
> 
> List-ID: <sv.jok.zorotv.net.in>
> 
> List-Unsubscribe: <mailto:googlegroups-manage+25[…]
> +unsubscribe at googlegroups.com>, […]
> 
> Ist jemand Anderem das auch aufgefallen?
> 
> Das kommt leider immer wieder auch durch meinen rspamd durch, der das auch
> nicht so recht gleich nach dem Anlernen als BAYES_SPAM einstufen mag.
> 
> Da ich nicht abwarten möchte, bis der greift, blocke ich das jetzt mit
> zwei lokalen Maps für rspamd.
> 
> Ich erspare mir die nervenaufreibende Prozedur zu versuchen, einen Abuse
> Complaint an Google zu versuchen. Die waren bereits das letzte Mal zu
> arrogant, sich das auch nur anzuschauen. Zudem geht das meines Wissens
> ohnehin nicht mehr via Mail, sondern nur noch über so ein komisches Web-
> Formular für das es zudem noch ein Google-Konto braucht.
> 
> Da fände ich tatsächlich mal eine rechtliche Grundlage gut, die
> insbesondere große Provider verpflichtet, Abuse Complaints via Mail
> anzunehmen und innerhalb einer gewissen Zeit zu bearbeiten. Mittlerweile
> scheint ziemlich viel Müll über solche Riesen-Provider zu kommen.
> 
> Ciao,