ASP - Anti-Spam Plugin

    Zitat

    Würde ich an deiner Stelle die eMail-Adresse aus dem Posting nehmen, weil diese ollen Mailbots womöglich deine Mailadresse aus dem Posting extrahieren und du noch mehr Spam bekommst

    Ich hab nen guten Spam-Filter :rolleyes:

    Zitat

    Ich hab nen guten Spam-Filter :rolleyes:


    Naja, den zusätzlichen Traffic mußt du dann aber trotzdem berücksichtigen, egal wie gut die Erkennung ist. :blink:
    Eigentlich sollte das oberste Ziel sein, alle Möglichkeiten zu vermeiden, die zu mehr Spam führen könnten, außer man möchte das :bye:

    Zitat

    Normalerweise sollte – wenn angegeben – der Server identisch sein, wie hier z.B:

    Da habe ich aber andere Erfahrung. Microsoft Outlook, Build 10.0.2627 und Microsoft Outlook Express 6.00.2900.2180 scheinen nämlich an die MID den lokalen PC-Namen anzuhängen

    Zitat

    Message-Id: 781766A727639373737477C7570356B6C$4df803ge2@PC-Name

    Und der stimmt natürlich nicht, mit der Domain überein. Also zumindest für mich, wäre die Regel nichts.

    Zitat

    Da habe ich aber andere Erfahrung. Microsoft Outlook, Build 10.0.2627 und Microsoft Outlook Express 6.00.2900.2180 scheinen nämlich an die MID den lokalen PC-Namen anzuhängen

    Und der stimmt natürlich nicht, mit der Domain überein. Also zumindest für mich, wäre die Regel nichts.


    Da hast du leider Recht mit, allerdings besitzen diese Message-IDs keine TLDs, womit man sie auch wieder leicht identifizieren könnte, oder aber man müßte bei Outlook generell auf diese Regel verzichten, falls im X-Mailer angegeben.

    Zitat

    Seit der 1.1.4 habe ich vermehrt rote Fehlermeldungen im ASP Manager die einen Fehler in der internen Regel "CHECKHDRIPS" melden:


    Obwohl ich einen Fehler in der Funktion für die DNS-Auflösung gefunden habe, sollte es doch funktionieren.

    Die von dir gepostete Fehlermeldung kommt nur dann, wenn das Plugin die Headerbezeichnung nicht gefunden hat ("CHECKHDRIPS").

    Zitat

    Was mich zudem noch wundert ist, daß die Regeln für Viagra etc. scheinbar nicht gegriffen haben (die sollten ja vor CHECKHDRIPS kommen) - zumindest erscheint nichts entsprechendes im Log.


    Da gibt es keine Probleme, alle drei Begriffe erkannt:

    Zitat

    Dann habe ich noch - wie bereits einige Postings vorher von jemand anders beschrieben - das Problem das meine DNSBL Statistik leer ist. Muss man noch etwas spezielles machen um diese Statistik zu aktivieren?


    In den Plugin-Einstellungen muss die Option "Erweiterte Protokollierung für DNSBL aktivieren" gesetzt werden.

    Zitat

    Habe ich einen Vorschlag für die interne Regel BulkForm. Ich hatte letztens eine Mail mit dem Eintrag "{%xmailer%}". Das könnte man vielleicht noch hinzufügen.


    Wie oft kommt der Begriff "{%xmailer%}" in deinen Spams vor?
    Wenn er nur gelegentlich enthalten ist, ist eine String-Regel besser.

    Zitat

    Einen weiteren Vorschlag für einen relativ sicheren Check könnte man From und Message-ID nehmen, sofern dort der Server drinsteht, ist leider nicht immer der Fall bei Message-ID.
    ...
    Da hast du leider Recht mit, allerdings besitzen diese Message-IDs keine TLDs, womit man sie auch wieder leicht identifizieren könnte, oder aber man müßte bei Outlook generell auf diese Regel verzichten, falls im X-Mailer angegeben.


    Mit einer internen Regel ist das nicht besonders gut zu lösen. Ich vermute, dass es zu vermehrten Fehlerkennungen kommen würde. Hier könnte eine RegEx-Regel verwendet werden, aber ich werde das mal genauer beobachten, vielleicht finde ich eine brauchbare Möglichkeit.

    Zitat

    BTW: Habe ich dein Filterset jetzt so umgearbeitet, daß es wesentlich toleranter ist, auch mit eigenen Regeln erweitert und erkennt trotzdem fast 100% des Spams.
    Bei Interesse kann ich es dir gerne zukommen lassen.


    Ja, natürlich. :thumbup: (meine Mailadresse hast du ja :D ).

    Zitat

    GRMBL! Ich bin nach der Versionsnummer gegangen die mir die <ASPMgr.exe> anzeigt und das ist die 1.4.2.0 ... genau die gleiche die angeblich die aktuelle sein soll. Nach dem Update auf die von dir verlinkte Datei klappts aber nun wieder. Verwirrend ist das aber schon. Vielleicht kann Gaijn das ja korrigieren.


    Beim ASP Manager gab es eigentlich keine Fehler bei der Versionsnummerierung, obwohl das von Zeit zu Zeit schon mal vorkommt.

    Zitat

    Hat es eigentlich eine besondere Bewandnis das der Manager nicht im Paket enthalten ist? IMO sollte der rein. (Falls das schon im Thread abgehandelt wurde, bitte nicht peitschen ;-).


    Wie Zocko das bereits richtig erkannt hat: Zur Einsparung von Traffic und aus Rücksicht auf Leute, die einen langsamen Internetanschluss haben. Bei knapp 500 KB schlafen einem mit 56K oder ISDN die Füße ein. :cry:

    Zitat

    allerdings besitzen diese Message-IDs keine TLDs,

    TLDs? Du meinst

    Zitat

    <aa3a01c510e2$eafb5608$c44a2b81@myplace.net.au>

    kann nicht von Outlook kommen? Absolut sicher? Weil dann könnte man ja auch ne Regel machen, die besagt, wenn MID TLD enthält und von Outlook kommt, dann Spam, oder?

    Zitat

    womit man sie auch wieder leicht identifizieren könnte,

    Könntest du die Regel mal posten?

    Zitat


    Wie oft kommt der Begriff "{%xmailer%}" in deinen Spams vor?
    Wenn er nur gelegentlich enthalten ist, ist eine String-Regel besser.


    Kommt nicht sehr häufig vor, also dann wohl besser per separater Regel.

    Ich habe noch einen Bug gefunden. Es ist nicht möglich mittels HdrExist auf To zu testen. Einige billige Spammails haben diese Headerzeile nicht, aber die Regel:

    Code
    HdrExist 25 IN "To" [Header: To: existiert nicht]


    greift trotzdem nicht.
    Ich vermute mal das liegt daran, weil HdrExist mit Delivered-To: matched.

    Ich schick dir gleich mal mein Filterset.

    Zitat


    kann nicht von Outlook kommen? Absolut sicher? Weil dann könnte man ja auch ne Regel machen, die besagt, wenn MID TLD enthält und von Outlook kommt, dann Spam, oder?


    Bei den Mails, die mir zur Verfügung stehen, ist es so das da keine TLDs drinnestehen. Ich kenne aber auch nur drei Leute, die Outlook benutzen, bei deren Mails ist es zumindest so.

    Zitat


    Könntest du die Regel mal posten?


    Werde ich spätestens morgen nachholen, habe bis jetzt noch keine gebastelt :)

    Zitat

    Ich habe noch einen Bug gefunden. Es ist nicht möglich mittels HdrExist auf To zu testen. Einige billige Spammails haben diese Headerzeile nicht, aber die Regel:

    Code
    HdrExist 25 IN "To" [Header: To: existiert nicht]


    greift trotzdem nicht.


    Bei mir funktioniert es einwandfrei:

    Code
    Match: Internal rule HdrExist, Header: To: existiert nicht, Score: 25.
    Zitat

    Ich vermute mal das liegt daran, weil HdrExist mit Delivered-To: matched.

    Nein, es wird nach einem Zeilenumbruch, dem Headernamen und dem Doppelpunkt gesucht. Somit muss im Header der betreffende Eintrag am Beginn der Zeile stehen.

    Zitat


    Bei mir funktioniert es einwandfrei:

    Code
    Match: Internal rule HdrExist, Header: To: existiert nicht, Score: 25.


    Hmm, werde ich morgen noch mal in aller Ruhe testen :denk:

    So hier die gewünschte Regel, kommt sogar relativ häufig vor. Bei ~250 Spammails über 10x :)

    Code
    # Outlook verwendet und eine fehlerhafte Message-Id
&Mailer 0 S "Microsoft Outlook"
MsgID 20 R "@.*\.\w{2,3}" [Header: Microsoft Outlook mit TLD in MID]
    Zitat

    Die von dir gepostete Fehlermeldung kommt nur dann, wenn das Plugin die Headerbezeichnung nicht gefunden hat ("CHECKHDRIPS").

    Was heißt das genau?

    Ich habe die Mail nochmal in unseren Mailserver gepiped und mit der 1.1.6 wird sie jetzt korrekt und ohne Fehlermeldung gefiltert.

    Zitat

    In den Plugin-Einstellungen muss die Option "Erweiterte Protokollierung für DNSBL aktivieren" gesetzt werden.

    *uhm* Da hätte ich auch selbst drauf kommen können :blink:. Dank dir.

    Zitat

    BTW: Habe ich dein Filterset jetzt so umgearbeitet, daß es wesentlich toleranter ist, auch mit eigenen Regeln erweitert und erkennt trotzdem fast 100% des Spams.

    Würde mich auch interessieren. Gibts vielleicht die Möglichkeit das ganze public zu machen oder als alternatives Regelset mit ins Release zu übernehmen? :)

    Also ich hab's noch mal ausprobiert mit der Suche nach To: und zwar mit diesen beiden Regeln:

    Code
    # Feld TO: existiert nicht
&HdrExist 25 IN "CC"
HdrExist 25 IN "To" [Header: To: existiert nicht 1]


HdrExist 25 IN "To" [Header: To: existiert nicht 2]

    Bei den mittlerweile über 270 Spammails sind einige dabei, die kein To haben. Als Beispiel mal dieser Fall hier, der außer Headerzeilen nichts beinhaltet.

    Code
    Return-Path: <jtppqx@address.com>
Delivered-To: zocko2000@uni.de
...
X-KSG-Checked: Thu Feb 10 14:45:13 2005 
Received: from quintic
Message-Id: <20050210064438.C406A375F2@m21.ca-jc.com>
Date: Thu, 10 Feb 2005 14:44:38 +0800 (CST)
From: jtppqx@address.com
Status: RO

    Also die beiden Regeln von oben sprechen hier nicht drauf an, auch auf keiner anderen Mail laut Logdatei?


    Dann noch etwas, ich habe eine Spammail hier, die recht viel HTML-Zeugs beinhaltet, hier mal ein Auszug:

    Bei dieser Mail wird laut Log folgendes gefunden:

    Code
    Match: RegExp rule SENDER_2_DIGITS_AT_END: 2 Zahlen am Ende der E-Mail-Adresse, Score: 20.
    Match: RegExp rule SENDER_3_DIGITS_AT_END: 3 Zahlen am Ende der E-Mail-Adresse, Score: 10.
    Match: RegExp rule TEXT_UPPERCASE_WORDS: Mehrere Wörter in Großbuchstaben, Score: 30.

    Aber Regeln wie z.B.:

    Code
    HtmlPart 10 S "<style" [HTML_STYLE_SHEET: Mail mit Style-Sheet]
OUrlList 40 R "http://.*[\?=\$\&].*" [HTML_LNK_ARGS: Argumente in URL]
HtmlPart 75 R "<a\s.*<img\s.*>" [HTML_IMG_LINK: Link mit Bild]
HtmlPart 30 R "<img\s.*http://.*>" [HTML_EXTERNAL_IMAGE: Mail mit nachzuladenem Bild]


    Werden bei dieser Mail nicht berücksichtigt, warum?

    Zitat

    Also ich hab's noch mal ausprobiert mit der Suche nach To: und zwar mit diesen beiden Regeln:
    ...
    Also die beiden Regeln von oben sprechen hier nicht drauf an, auch auf keiner anderen Mail laut Logdatei?


    Ich habe es nochmals getestet und es funktioniert noch immer.

    Zitat

    Aber Regeln wie z.B.:
    HtmlPart 10 S "<style" [HTML_STYLE_SHEET: Mail mit Style-Sheet]
    OUrlList 40 R "http://.*%5b%5c?=%5C%24%5C&%5D.*" [HTML_LNK_ARGS: Argumente in URL]
    HtmlPart 75 R "<a\s.*<img\s.*>" [HTML_IMG_LINK: Link mit Bild]
    HtmlPart 30 R "<img\s.*http://.*>" [HTML_EXTERNAL_IMAGE: Mail mit nachzuladenem Bild]
    Werden bei dieser Mail nicht berücksichtigt, warum?

    OUrlList 40 R "http://.*%5b%5c?=%5C%24%5C&%5D.*" [HTML_LNK_ARGS: Argumente in URL]
    Hier wird die URL scheinbar nicht richtig zurückgegeben. Ich habe den Fehler vermutlich gefunden und diese Regel trifft nun zu.

    HtmlPart 10 S "<style" [HTML_STYLE_SHEET: Mail mit Style-Sheet]
    HtmlPart 75 R "<a\s.*<img\s.*>" [HTML_IMG_LINK: Link mit Bild]
    HtmlPart 30 R "<img\s.*http://.*>" [HTML_EXTERNAL_IMAGE: Mail mit nachzuladenem Bild]
    Das habe ich bereits hier geschrieben - vor 2 Tagen habe ich eine korrigierte Version (auch 1.1.6) hochgeladen, da der Fehler doch erheblich war.

    Somit sollten alle Regeln (außer OUrlList...) funktionieren.

    Edit:
    Betreffend deiner Regeln: Wenn die Schriftgröße bei HTML-Mails über 9 beträgt, funktioniert die Regel "HTML_CODE_SMALFONT" nicht. Du musst noch irgend ein Trennzeichen angeben. Z.B. trifft die Regel auch bei einer Größe von 12 Punkten zu.

    Komisch das es bei mir nicht läuft.
    Bei mir hat die Datei "ASP.tbp" den folgenden MD5-Hash: 59d37c57a7d678ec24d905f53b3a7870

    Falls das 'ne alte Datei ist (ist direkt von der Homepage) dann würde das vermutlich erklären warum die ganzen Regeln bei mir nicht greifen :pfeif:

    Zitat

    Bei mir hat die Datei "ASP.tbp" den folgenden MD5-Hash: 59d37c57a7d678ec24d905f53b3a7870

    Falls das 'ne alte Datei ist (ist direkt von der Homepage) dann würde das vermutlich erklären warum die ganzen Regeln bei mir nicht greifen


    Wenn du sie nach dem 14. heruntergeladen hast, ist es die neueste Datei.

    In der nächsten Version sind einige Fehler behoben. Versuche es dann nochmals mit diesen Regeln.