Filterregeln

  • Da ich nicht Unmengen an Filterregeln in die Regeldatei aufnehmen möchte, und diese ohnehin nur als Beispiel dienen soll - wenngleich sie bereits gute Regeln enthält - möchte ich hier weitere Regeln posten. So kann jeder selbst aus fertigen Regeln wählen und muss sich nicht auf die oft sehr lange Suche nach guten Regeln begeben.


    Wenn jemand bereits selbst Regeln erstellt hat, oder sie von einem anderen Filter (SpamAssassin, SpamPal etc.) konvertiert hat, so bitte ich, auch diese hier zu posten.


    Durch die Regel-Statistik des Plugins ist es möglich, Filter mit einer hohen Trefferquote zu finden.


    Auf rege Teilnahme hoffend, mache ich gleich den Anfang:

  • Ungetestet (bestelle nix über Amazon):

    Code
    &FromAddr: 0 SM "<bestellbestaetigung@amazon.de>"
    &Message-Id: 0 R "<\S>"
    &Subject: 0 R "(?-i)Ihre\sBestellung\sbei\sAmazon\.de\s\(\#\d+\-\d+\-\d+\)"
    &X-AMAZON-TRACK: 0 S "<XXXXXXXXXX@XXXXXXXXX.de>"
    &X-AMAZON-ORDER-SENDER: 0 S "bestellbestaetigung@amazon.de"
    &X-AMAZON-ORDER-SENDER-IP: 0 R "^(25[0-5]|2[0-4][0-9]|[0-1]{1}[0-9]{2}|[1-9]{1}[0-9]{1}|[1-9])\.(25[0-5]|2[0-4][0-9]|[0-1]{1}[0-9]{2}|[1-9]{1}[0-9]{1}|[1-9]|0)\.(25[0-5]|2[0-4][0-9]|[0-1]{1}[0-9]{2}|[1-9]{1}[0-9]{1}|[1-9]|0)\.(25[0-5]|2[0-4][0-9]|[0-1]{1}[0-9]{2}|[1-9]{1}[0-9]{1}|[0-9])$"
    &X-AMAZON-ORDER-DATE: 0 R "^(\S+\,\s([1-9]|[0-2]\d|[3][0-1])\s(Jan|Feb|Maer|Apr|Mai|Jun|Jul|Aug|Sep|Okt|Nov|Dez)\s[2][0]\d{2})\s([0-1]?[0-9]|[2][0-3]):([0-5][0-9]:[0-5][0-9])\s\+0000\s\(UTC\)"
    X-AMAZON-ORDER-RECIPIENT: 0 SW "XXXXXXXXXXX@XXXXXXXXXX.de" [AMAZON_BESTELLUNG: Gültige deutsche Amazon-Bestellung]


    Für XXXXXXXXXXX@XXXXXXXXXX.de muss die eigene registrierte E-Mailadresse eingesetzt werden.

  • In der letzten Zeit scheinbar sehr beliebt: Eine Antwort auf eine Nachricht vortäuschen...

    Code
    # *** Der Betreff täuscht eine Antwort auf eine eigene Nachricht vor *** (2005-01-24)
    &Subj 0 R "Re(\[\d+\])?\:"
    &HdrExist 0 IN "In-Reply-To"
    HdrExist 90 IN "References" [SUBJ_RE_WO_REPLYREF: "Re" im Betreff, aber keine Antwort]


    ... und noch was ...

    Code
    # *** Boundary beginnt mit "Java." *** (2005-01-24)
    Boundary 60 SB "Java." [BNDRY_JAVA: Boundary beginnt mit Java.]
  • Eine der wichtigsten Regeln, die allerdings jeder für sich erarbeiten muss ist, immer wieder vorkommende weitere Empfänger von Spam-Mails auf die "Schwarze Liste" zu setzen. Spams werden oft an mehrere Empfänger gleichzeigtig geschickt (aus der Adressliste des Spammers). Wenn diese Empfänger unbekannt sind, kann auch nach diesen suchen:

    Code
    ToAddr 9999 SA "<victim@host.tld>" [PRIVATE_SPAM_RCPT: Leidensgenossen]


    oder für die kommende Version 1.1.4:

    Code
    ToAddr 100 SH "<victim@host.tld>" [PRIVATE_SPAM_RCPT: Leidensgenossen]


    Diese Regeln habe sich bei mir bestens bewährt, da die Spammer immer wieder ihre Spam-Mails an die selben Leute schicken.

  • Hier einige Vorschläge für neue Regeln:





    Ausnahmen:

    Code
    # Grusskarten
    &Organization 0 S "http://freemail.web.de/"
    Subject 0 SW "Sie haben eine Grußkarte erhalten." [E-Card: Web.de Grusskarte]
    FromAddr 0 SW "greetings@reply.yahoo.com" [E-Card: Yahoo Grusskarte]
    &Subject 0 S "Sie haben eine Grußkarte"
    X-Sender 0 SW "mailgateway@freenet.de" [E-Card: Freemail Grusskarte]


    Veränderungsvorschläge:
    #OUrlList 90 S "?" [HTML_LNK_ARGS: Argumente in URL] in

    Code
    OUrlList 40 R "http://.*[\?=\$\&].*" [HTML_LNK_ARGS: Argumente in URL]


    Die ganzen UrlList 40 S ".xyz"" [TEXT_SPAM_LNK: ".YU"-Domain in Link] ändern in

    Code
    UrlList 35 R "\.xyz["/]" [TEXT_SPAM_LNK: ".AR"-Domain in Link]


    Erkennt dann auch URLs wie http://www.beispiel.info/Homepage.html


  • Zum anderen eine gute Idee ist, Mails mit persönlicher Anrede entweder ganz zu bypassen oder zumindest Minuspunkte zu vergeben. Das macht aber nur Sinn, wenn in der eigenen eMail-Adresse der eigene Name nicht mit drinsteckt.
    Es muß dann nur noch Mein_Name mit dem eigenen Vornamen ersetzt werden.


    Code
    # Eigener Name wird in der eMail benutzt
    Text -90 S "Mein_Name" [OWN NAME: Eigener Name wird in der Mail benutzt]
  • Nabend Allerseits,


    ich habe bei mir für einen Spammer einen IP-Bereich identifiziert:


    81.31.44.0 - 81.31.45.127
    Viakom s.r.o. (CZ)


    Bei mir laufen aus diesem IP-Bereich ausschliesslich deutsche Spammails auf und das reichlich.


    -piktor-

  • Hier ist zwar lange nichts mehr geschrieben worden, aber folgender Regelblock leistet bei mir gegen Bild-Junk gute Dienste:


    Code
    ? PartName 80 R "\.(gif|png)"" [GIF oder PNG Anhang]
    ? Content-Type 30 R "image\/(gif|png)" [Content-Type "image\/(gif|png)"]
    ? RawMsg 30 R "\nContent-Type: image\/(gif|png);" ["\nContent-Type: image\/(gif|png);"]
    HtmlPart 100 R "<IMG .{5,30} src=3D"cid:\S{10,50}"" [GIF odr PNG-Bild im HTML angezeigt]
    Mailer -100 S "IncrediMail" [Mailer "IncrediMail" wegen GIF]


    :p

  • guten Abend Allerseits,


    ich habe heute mal meine DNSBL-Einträge überarbeitet und 2 neue Server gefunden:


    pbl.spamhaus.org
    siehe http://www.spamhaus.org/pbl/


    NJABL hat aufgrund von PBL sein dynablock.njabl.org aufgegeben und arbeitet mit Spamhaus für die PBL-liste zusammen
    siehe http://njabl.org/dynablock.html


    ix.dnsbl.manitu.net
    das ist die Blacklist der Zeitschrift iX (Heise)
    siehe http://www.heise.de/ix/nixspam/


    Vorallem die PBL leistet sehr gute Dienste!


    -piktor-