ZitatWürde ich an deiner Stelle die eMail-Adresse aus dem Posting nehmen, weil diese ollen Mailbots womöglich deine Mailadresse aus dem Posting extrahieren und du noch mehr Spam bekommst
Ich hab nen guten Spam-Filter
ZitatWürde ich an deiner Stelle die eMail-Adresse aus dem Posting nehmen, weil diese ollen Mailbots womöglich deine Mailadresse aus dem Posting extrahieren und du noch mehr Spam bekommst
Ich hab nen guten Spam-Filter
ZitatIch hab nen guten Spam-Filter
Naja, den zusätzlichen Traffic mußt du dann aber trotzdem berücksichtigen, egal wie gut die Erkennung ist. :blink:
Eigentlich sollte das oberste Ziel sein, alle Möglichkeiten zu vermeiden, die zu mehr Spam führen könnten, außer man möchte das :bye:
ZitatNormalerweise sollte – wenn angegeben – der Server identisch sein, wie hier z.B:
Da habe ich aber andere Erfahrung. Microsoft Outlook, Build 10.0.2627 und Microsoft Outlook Express 6.00.2900.2180 scheinen nämlich an die MID den lokalen PC-Namen anzuhängen
ZitatMessage-Id: 781766A727639373737477C7570356B6C$4df803ge2@PC-Name
Und der stimmt natürlich nicht, mit der Domain überein. Also zumindest für mich, wäre die Regel nichts.
ZitatDa habe ich aber andere Erfahrung. Microsoft Outlook, Build 10.0.2627 und Microsoft Outlook Express 6.00.2900.2180 scheinen nämlich an die MID den lokalen PC-Namen anzuhängen
Und der stimmt natürlich nicht, mit der Domain überein. Also zumindest für mich, wäre die Regel nichts.
Da hast du leider Recht mit, allerdings besitzen diese Message-IDs keine TLDs, womit man sie auch wieder leicht identifizieren könnte, oder aber man müßte bei Outlook generell auf diese Regel verzichten, falls im X-Mailer angegeben.
ZitatSeit der 1.1.4 habe ich vermehrt rote Fehlermeldungen im ASP Manager die einen Fehler in der internen Regel "CHECKHDRIPS" melden:
Obwohl ich einen Fehler in der Funktion für die DNS-Auflösung gefunden habe, sollte es doch funktionieren.
Die von dir gepostete Fehlermeldung kommt nur dann, wenn das Plugin die Headerbezeichnung nicht gefunden hat ("CHECKHDRIPS").
ZitatWas mich zudem noch wundert ist, daß die Regeln für Viagra etc. scheinbar nicht gegriffen haben (die sollten ja vor CHECKHDRIPS kommen) - zumindest erscheint nichts entsprechendes im Log.
Da gibt es keine Probleme, alle drei Begriffe erkannt:
Process message: ID <189373731832.SEW29659@constructible.calweb.com>
Subject: do the right thing for your woman
From: "Max Pritchett" <ndeputns@fortunecity.com>
Date: Tue, 15 Feb 2005 12:41:16 +0300
Started: 15.02.2005 19:39:41.
HdrDnsCheck: 207.76.73.182 = syncon.net (not in "dost.com""")
Match: Internal rule CheckHdrIPs, TEST_HDR_HOSTNAME_FORGED: Hostname gefälscht, Score: 1.
Match: SimpleStr rule SPAM_DOMAIN: ".JP"-Domain im Header, Score: 30.
Match: RegExp rule TEXT_WITH_NUMBERS: Nummern zwischen Buchstaben, Score: 80.
Match: SimpleStr rule SUBJTEXT_BAD_WORD: Cialis, Score: 90.
Match: SimpleStr rule SUBJTEXT_BAD_WORD: Viagra, Score: 90.
Match: SimpleStr rule SUBJTEXT_BAD_WORD: Vicodin, Score: 90.
Match: Internal rule IsScore, SPAM_BEFORE_DNSBL: Der Score ist >= 100 - keine DNSBL-Abfragen, Score: 0.
Message marked as SPAM by last rule.
Finished: 15.02.2005 19:39:41.
Processed in 78 mSec, total score: 100, rules matched: 7.
Alles anzeigen
ZitatDann habe ich noch - wie bereits einige Postings vorher von jemand anders beschrieben - das Problem das meine DNSBL Statistik leer ist. Muss man noch etwas spezielles machen um diese Statistik zu aktivieren?
In den Plugin-Einstellungen muss die Option "Erweiterte Protokollierung für DNSBL aktivieren" gesetzt werden.
ZitatHabe ich einen Vorschlag für die interne Regel BulkForm. Ich hatte letztens eine Mail mit dem Eintrag "{%xmailer%}". Das könnte man vielleicht noch hinzufügen.
Wie oft kommt der Begriff "{%xmailer%}" in deinen Spams vor?
Wenn er nur gelegentlich enthalten ist, ist eine String-Regel besser.
ZitatEinen weiteren Vorschlag für einen relativ sicheren Check könnte man From und Message-ID nehmen, sofern dort der Server drinsteht, ist leider nicht immer der Fall bei Message-ID.
...
Da hast du leider Recht mit, allerdings besitzen diese Message-IDs keine TLDs, womit man sie auch wieder leicht identifizieren könnte, oder aber man müßte bei Outlook generell auf diese Regel verzichten, falls im X-Mailer angegeben.
Mit einer internen Regel ist das nicht besonders gut zu lösen. Ich vermute, dass es zu vermehrten Fehlerkennungen kommen würde. Hier könnte eine RegEx-Regel verwendet werden, aber ich werde das mal genauer beobachten, vielleicht finde ich eine brauchbare Möglichkeit.
ZitatBTW: Habe ich dein Filterset jetzt so umgearbeitet, daß es wesentlich toleranter ist, auch mit eigenen Regeln erweitert und erkennt trotzdem fast 100% des Spams.
Bei Interesse kann ich es dir gerne zukommen lassen.
Ja, natürlich. (meine Mailadresse hast du ja ).
ZitatGRMBL! Ich bin nach der Versionsnummer gegangen die mir die <ASPMgr.exe> anzeigt und das ist die 1.4.2.0 ... genau die gleiche die angeblich die aktuelle sein soll. Nach dem Update auf die von dir verlinkte Datei klappts aber nun wieder. Verwirrend ist das aber schon. Vielleicht kann Gaijn das ja korrigieren.
Beim ASP Manager gab es eigentlich keine Fehler bei der Versionsnummerierung, obwohl das von Zeit zu Zeit schon mal vorkommt.
ZitatHat es eigentlich eine besondere Bewandnis das der Manager nicht im Paket enthalten ist? IMO sollte der rein. (Falls das schon im Thread abgehandelt wurde, bitte nicht peitschen ;-).
Wie Zocko das bereits richtig erkannt hat: Zur Einsparung von Traffic und aus Rücksicht auf Leute, die einen langsamen Internetanschluss haben. Bei knapp 500 KB schlafen einem mit 56K oder ISDN die Füße ein. :cry:
Zitatallerdings besitzen diese Message-IDs keine TLDs,
TLDs? Du meinst
Zitat<aa3a01c510e2$eafb5608$c44a2b81@myplace.net.au>
kann nicht von Outlook kommen? Absolut sicher? Weil dann könnte man ja auch ne Regel machen, die besagt, wenn MID TLD enthält und von Outlook kommt, dann Spam, oder?
Zitatwomit man sie auch wieder leicht identifizieren könnte,
Könntest du die Regel mal posten?
Zitat
Wie oft kommt der Begriff "{%xmailer%}" in deinen Spams vor?
Wenn er nur gelegentlich enthalten ist, ist eine String-Regel besser.
Kommt nicht sehr häufig vor, also dann wohl besser per separater Regel.
Ich habe noch einen Bug gefunden. Es ist nicht möglich mittels HdrExist auf To zu testen. Einige billige Spammails haben diese Headerzeile nicht, aber die Regel:
greift trotzdem nicht.
Ich vermute mal das liegt daran, weil HdrExist mit Delivered-To: matched.
Ich schick dir gleich mal mein Filterset.
Zitat
kann nicht von Outlook kommen? Absolut sicher? Weil dann könnte man ja auch ne Regel machen, die besagt, wenn MID TLD enthält und von Outlook kommt, dann Spam, oder?
Bei den Mails, die mir zur Verfügung stehen, ist es so das da keine TLDs drinnestehen. Ich kenne aber auch nur drei Leute, die Outlook benutzen, bei deren Mails ist es zumindest so.
Zitat
Könntest du die Regel mal posten?
Werde ich spätestens morgen nachholen, habe bis jetzt noch keine gebastelt
Zitat
Bei mir funktioniert es einwandfrei:
ZitatIch vermute mal das liegt daran, weil HdrExist mit Delivered-To: matched.
Nein, es wird nach einem Zeilenumbruch, dem Headernamen und dem Doppelpunkt gesucht. Somit muss im Header der betreffende Eintrag am Beginn der Zeile stehen.
Zitat
Hmm, werde ich morgen noch mal in aller Ruhe testen :denk:
So hier die gewünschte Regel, kommt sogar relativ häufig vor. Bei ~250 Spammails über 10x
ZitatDie von dir gepostete Fehlermeldung kommt nur dann, wenn das Plugin die Headerbezeichnung nicht gefunden hat ("CHECKHDRIPS").
Was heißt das genau?
Ich habe die Mail nochmal in unseren Mailserver gepiped und mit der 1.1.6 wird sie jetzt korrekt und ohne Fehlermeldung gefiltert.
ZitatIn den Plugin-Einstellungen muss die Option "Erweiterte Protokollierung für DNSBL aktivieren" gesetzt werden.
*uhm* Da hätte ich auch selbst drauf kommen können :blink:. Dank dir.
ZitatBTW: Habe ich dein Filterset jetzt so umgearbeitet, daß es wesentlich toleranter ist, auch mit eigenen Regeln erweitert und erkennt trotzdem fast 100% des Spams.
Würde mich auch interessieren. Gibts vielleicht die Möglichkeit das ganze public zu machen oder als alternatives Regelset mit ins Release zu übernehmen?
Ich würde sagen, einfach mal das nächste Release abwarten was sich da tut
Also ich hab's noch mal ausprobiert mit der Suche nach To: und zwar mit diesen beiden Regeln:
# Feld TO: existiert nicht
&HdrExist 25 IN "CC"
HdrExist 25 IN "To" [Header: To: existiert nicht 1]
HdrExist 25 IN "To" [Header: To: existiert nicht 2]
Bei den mittlerweile über 270 Spammails sind einige dabei, die kein To haben. Als Beispiel mal dieser Fall hier, der außer Headerzeilen nichts beinhaltet.
Return-Path: <jtppqx@address.com>
Delivered-To: zocko2000@uni.de
...
X-KSG-Checked: Thu Feb 10 14:45:13 2005
Received: from quintic
Message-Id: <20050210064438.C406A375F2@m21.ca-jc.com>
Date: Thu, 10 Feb 2005 14:44:38 +0800 (CST)
From: jtppqx@address.com
Status: RO
Also die beiden Regeln von oben sprechen hier nicht drauf an, auch auf keiner anderen Mail laut Logdatei?
Dann noch etwas, ich habe eine Spammail hier, die recht viel HTML-Zeugs beinhaltet, hier mal ein Auszug:
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
Content-Description:
...
<style type=3Dtext/css> =20
...
</style>
...<a href=3D"http://www.canalmai=
lcorp.com/t.jsp?a=3D3221.207041.C.canalmail.1" target=3D"_blank"><img src=
=3D"http://www.amiaire.com/lmn/banner/whitelabel/es_ES/partner/news_amiaire=
/news_1/logo_news.gif" width=3D"400" height=3D"60" border=3D"0"></a>
...
Alles anzeigen
Bei dieser Mail wird laut Log folgendes gefunden:
Match: RegExp rule SENDER_2_DIGITS_AT_END: 2 Zahlen am Ende der E-Mail-Adresse, Score: 20.
Match: RegExp rule SENDER_3_DIGITS_AT_END: 3 Zahlen am Ende der E-Mail-Adresse, Score: 10.
Match: RegExp rule TEXT_UPPERCASE_WORDS: Mehrere Wörter in Großbuchstaben, Score: 30.
Aber Regeln wie z.B.:
HtmlPart 10 S "<style" [HTML_STYLE_SHEET: Mail mit Style-Sheet]
OUrlList 40 R "http://.*[\?=\$\&].*" [HTML_LNK_ARGS: Argumente in URL]
HtmlPart 75 R "<a\s.*<img\s.*>" [HTML_IMG_LINK: Link mit Bild]
HtmlPart 30 R "<img\s.*http://.*>" [HTML_EXTERNAL_IMAGE: Mail mit nachzuladenem Bild]
Werden bei dieser Mail nicht berücksichtigt, warum?
ZitatAlso ich hab's noch mal ausprobiert mit der Suche nach To: und zwar mit diesen beiden Regeln:
...
Also die beiden Regeln von oben sprechen hier nicht drauf an, auch auf keiner anderen Mail laut Logdatei?
Ich habe es nochmals getestet und es funktioniert noch immer.
ZitatAber Regeln wie z.B.:
HtmlPart 10 S "<style" [HTML_STYLE_SHEET: Mail mit Style-Sheet]
OUrlList 40 R "http://.*%5b%5c?=%5C%24%5C&%5D.*" [HTML_LNK_ARGS: Argumente in URL]
HtmlPart 75 R "<a\s.*<img\s.*>" [HTML_IMG_LINK: Link mit Bild]
HtmlPart 30 R "<img\s.*http://.*>" [HTML_EXTERNAL_IMAGE: Mail mit nachzuladenem Bild]
Werden bei dieser Mail nicht berücksichtigt, warum?
OUrlList 40 R "http://.*%5b%5c?=%5C%24%5C&%5D.*" [HTML_LNK_ARGS: Argumente in URL]
Hier wird die URL scheinbar nicht richtig zurückgegeben. Ich habe den Fehler vermutlich gefunden und diese Regel trifft nun zu.
HtmlPart 10 S "<style" [HTML_STYLE_SHEET: Mail mit Style-Sheet]
HtmlPart 75 R "<a\s.*<img\s.*>" [HTML_IMG_LINK: Link mit Bild]
HtmlPart 30 R "<img\s.*http://.*>" [HTML_EXTERNAL_IMAGE: Mail mit nachzuladenem Bild]
Das habe ich bereits hier geschrieben - vor 2 Tagen habe ich eine korrigierte Version (auch 1.1.6) hochgeladen, da der Fehler doch erheblich war.
Somit sollten alle Regeln (außer OUrlList...) funktionieren.
Edit:
Betreffend deiner Regeln: Wenn die Schriftgröße bei HTML-Mails über 9 beträgt, funktioniert die Regel "HTML_CODE_SMALFONT" nicht. Du musst noch irgend ein Trennzeichen angeben. Z.B. trifft die Regel auch bei einer Größe von 12 Punkten zu.
Komisch das es bei mir nicht läuft.
Bei mir hat die Datei "ASP.tbp" den folgenden MD5-Hash: 59d37c57a7d678ec24d905f53b3a7870
Falls das 'ne alte Datei ist (ist direkt von der Homepage) dann würde das vermutlich erklären warum die ganzen Regeln bei mir nicht greifen :pfeif:
ZitatBei mir hat die Datei "ASP.tbp" den folgenden MD5-Hash: 59d37c57a7d678ec24d905f53b3a7870
Falls das 'ne alte Datei ist (ist direkt von der Homepage) dann würde das vermutlich erklären warum die ganzen Regeln bei mir nicht greifen
Wenn du sie nach dem 14. heruntergeladen hast, ist es die neueste Datei.
In der nächsten Version sind einige Fehler behoben. Versuche es dann nochmals mit diesen Regeln.