Filter Problem

  • Hallo an alle

    Heute ist mir eine Spam-Mail durchgerutscht. Daraufhin hab ich mir mal den Header angeschaut.

    Header der Mail:
    Return-Path: <slocumbutt@attbi.com>
    X-Flags: 0000
    Delivered-To: GMX delivery to xxxxxxxxxx@gmx.de
    Received: (qmail 8840 invoked by uid 65534); 1 Feb 2004 08:02:06 -0000
    Received: from bb220-255-86-126.singnet.com.sg (HELO bb220-255-86-126.singnet.com.sg)
    (220.255.86.126)
    by mx0.gmx.net (mx050) with SMTP; 01 Feb 2004 09:02:06 +0100
    Received: from [220.255.86.126] by 75.72.181.70 with HTTP;
    Sun, 01 Feb 2004 14:01:37 +0600
    From: "Candice Cornell" <clitorisbout@attbi.com>
    To: xxxxxxxxx@gmx.de
    Cc: uwe.mohr@gmx.de, ilan@gmx.de, uwe.morgener@gmx.de
    Subject: take a look - it's stupendous!
    Mime-Version: 1.0
    X-Mailer: mPOP Web-Mail 2.19
    X-Originating-IP: [75.72.181.70]
    Date: Sun, 01 Feb 2004 09:01:37 +0100
    Reply-To: "Candice Cornell" <intervieweeantebellum@attbi.com>
    Content-Type: multipart/alternative;
    boundary="=_NextPart_000_000E_75R49HG7_8512P1786"
    Message-Id: <ACIPWXI-0008014356064@miracle>
    X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
    X-GMX-Antispam: 0 (Mail was not recognized as spam)

    cohn vacillate every curran whitehead
    bay dynamo bacteria erosion comparator breastplate delano frictional nair
    sparling transmittable onrush thaw wither trivia lineprinter bonaventure cognition
    vestigial

    Ende des Headers.

    Meiner Meinung nach hätten 2 Filter zuschlagen müssen.

    1. (.*@gmx\.){4} in „Empfänger“ (Reg.Exp)
    Wird in TB nur das Feld To: ausgewertet? Was ist mit Cc: oder Bcc: ??
    Wie wird das Feld „Empfänger“ definiert?

    2.Content-Type: text/html in „Kopf“ ODER "Text"
    Diese Mail ist Multipart/alternativ...., allerdings fehlt der Content Type für den Text.
    Wie erkennt TB Multipart-HTML Mails??
    Ebenso werden keine Anhänge im Header genannt.

    Beispiel Header aus Pegasus:
    ....
    To: xxxxxxxxxx@gmx.de
    From: "Lazaro Hendrix" <lazarohendrixny@julian.uwo.ca>
    Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0247_A4CDC701.C726D220"
    X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
    X-GMX-Antispam: 0 (Mail was not recognized as spam)
    X-PM-PLACEHOLDER: .

    This is a multi-part message in MIME format.

    ------=_NextPart_000_0247_A4CDC701.C726D220
    Content-Type: text/plain;
    charset="us-ascii"
    Content-Transfer-Encoding: 8bit


    ------=_NextPart_000_0247_A4CDC701.C726D220
    Content-Type: text/html;
    charset="us-ascii"
    Content-Transfer-Encoding: 8bit

    <html><body>
    <center><!--srvwJpplK6AC--><a href="http://www.proplzz.com?rid=1099"><img src="http://www.gardenslz.com/z7.gif" border=0></a></center>
    <body></html>

    Ende des Beispiels.

    Dort sieht man den Hinweis auf den HTML-Teil der Mail. Ebenso taucht dort auch der Hinweis auf einen Anhang auf (Bild, Dokument usw), falls vorhanden.
    Diese Hinweise sind bei TB im Header nicht zu finden.
    Hab ich etwas übersehen, oder ist dies etwa Standard bei TB?

    Hoffe auf Euren Rat.

    Gruß Manfred

    Einmal editiert, zuletzt von Manni (1. Februar 2004 um 15:50)

  • Zitat

    Wird in TB nur das Feld To: ausgewertet? Was ist mit Cc: oder Bcc: ??
    Wie wird das Feld „Empfänger“ definiert?


    Indem man das RegExp auf das durchsuchen des CC bzw. BCC anpasst. Ein Feld "Empfänger" gibt es nicht das alles zusammenfasst :(


    Zitat

    Dort sieht man den Hinweis auf den HTML-Teil der Mail. Ebenso taucht dort auch der Hinweis auf einen Anhang auf (Bild, Dokument usw), falls vorhanden.
    Diese Hinweise sind bei TB im Header nicht zu finden.
    Hab ich etwas übersehen, oder ist dies etwa Standard bei TB?


    Markier mal die Mail mit dem Anhang und drück F9, dann erscheint der Quelltext der Mail. Anhänge sind am Ende der Mail mit allen Infos angefügt. Somit müsstest du also die komplette Mail und nicht nur den Header durchsuchen lassen.
    Bei einer ZIP sieht das z.B. so aus

    Zitat

    ---SndST-107564872421298
    Content-Type: application/zip; name=blablablubb.zip
    Content-Transfer-Encoding: BASE64

  • Hallo Bernd
    Erstmal danke für die Info.

    Zitat

    Indem man das RegExp auf das durchsuchen des CC bzw. BCC anpasst. Ein Feld "Empfänger" gibt es nicht das alles zusammenfasst

    RegExp: sieht nach viel Arbeit aus :denk:

    Edit: einfach gelöst; (.*@gmx\.){3} in „Empfänger“ (Reg.Exp) ODER
    Cc: (.*@gmx\.){3} in „Kopf“ (Reg.Exp) ---> funktioniert! :ja:

    Zitat

    Markier mal die Mail mit dem Anhang und drück F9, dann erscheint der Quelltext der Mail. Anhänge sind am Ende der Mail mit allen Infos angefügt. Somit müsstest du also die komplette Mail und nicht nur den Header durchsuchen lassen.

    Heisst also, es sind eigentlich alle Daten vorhanden?
    Nun, bisher hatte ich so gefiltert:
    Content-Type: text/html im Kopf ODER im Text.
    Jetzt hab ich probiert:
    Content-Type: text/html überall

    Funktioniert nicht! Hat jemand schon auf Dinge gefiltert, die nicht im Standartheader drin sind? Anscheinend verwertet TB die Infos aus dem Quelltext nicht für die Filter?
    Hmm, etwas seltsam.
    :denk:

    Gruß Manfred

    Einmal editiert, zuletzt von Manni (2. Februar 2004 um 18:01)

  • Hallo an alle

    Nun, ich hab einfach mal etwas hin und her getestet. Es scheint tatsächlich so zu sein, dass TB nicht im Quelltext suchen kann. De facto kann man auch nicht nach Anhängen suchen. Alle Einträge im Header und im Text können gefunden werden.
    Tja, schade. 90% des Spams sind HTML Mails. Per Filter kann man also nur die "einfachen" HTML Mails schnappen. Die multipart-Mails werden nicht gefunden. Ich hab mir jetzt mal mit verschieben des html-Filters beholfen. Nun sind alle anderen Antispam Regeln davor.
    Allgemein finde ich TB schon toll. Aber so ganz schlüssig, ob ich dabei bleibe, bin ich mir noch nicht. Na, mal sehen.

    Falls doch jemand einen Tip hat, nur zu.

    Gruß Manfred

  • Hallo Bernd

    Zitat

    Ein guter TIP wäre meiner Meinung nach K9 oder Spampal, dann sparst du dir die ganzen Filter und es werden auch HTML-Mails geprüft.


    Eigentlich wollte ich mir solche Zusatztools sparen, bin halt "Purist" :rolleyes:
    Werd mir aber mal beide anschauen.
    Danke und Gruß
    Manfred