Spam von gmail.com und yahoo
Hallo Liste,
ich bekomme in letzter Zeit vermehrt Spam von gmail.com Adressen sowie yahoo. Ich habe den Eindruck, diese Firmen kämpfen in letzter Zeit mehr gegen "Hatespeech" als gegen Spam. Das Schlimme: Blacklists sind hier wirkungslos, und auch Spamassassin versagt da völlig (mit SA habe ich ohnehin keine guten Erfahrungen, was nicht durch DNS Blacklists geblockt wird passiert auch SA mühelos. Kann ich glaub ich rauswerfen).
Habt ihr Ideen wie man gegen den gmail Spam vorgehen könnte? Notfalls müsste ich eine Sieve-Regel anlegen die *@gmail.com automatisch in den Spamordner verschiebt. Irgendwie nervt das nämlich.
Jochen
Am 24.08.2018 um 16:41 schrieb J. Fahrner:
Hallo Liste,
ich bekomme in letzter Zeit vermehrt Spam von gmail.com Adressen sowie yahoo. Ich habe den Eindruck, diese Firmen kämpfen in letzter Zeit mehr gegen "Hatespeech" als gegen Spam. Das Schlimme: Blacklists sind hier wirkungslos, und auch Spamassassin versagt da völlig (mit SA habe ich ohnehin keine guten Erfahrungen, was nicht durch DNS Blacklists geblockt wird passiert auch SA mühelos. Kann ich glaub ich rauswerfen).
Habt ihr Ideen wie man gegen den gmail Spam vorgehen könnte? Notfalls müsste ich eine Sieve-Regel anlegen die *@gmail.com automatisch in den Spamordner verschiebt. Irgendwie nervt das nämlich.
Jochen
Ich kann vermehrten Spam von google nicht bestaetigen und das Einzige was mir einfallen wuerde waere sozusagen eine extra harte Antispampruefung fuer google Mails einzufuehren. Technisch gibts da mehrere Moeglichkeiten aber an spamassassin etc kommst du nicht vorbei, wenn wiederkehrende Schlagworte dabei sind geht evtl auch header oder body checks
Best Regards MfG Robert Schetterer
Am 2018-08-24 17:03, schrieb Robert Schetterer:
Ich kann vermehrten Spam von google nicht bestaetigen
Komisch. Ich krieg da jetzt alles Mögliche, Betreffs wie "How are you doing", oder irgendwas mit Bitcoin, kein erkennbares Muster drin. Und immer andere gmail Absender.
Betroffen ist nur meine eine Mailadresse, die ich praktisch überall öffentlich im Internet verwende, Online-Shops, Foren, und auch hier in der Liste. Meine Private Adresse ist davon bisher nicht betroffen.
Ich leite meine öffentliche Adresse jetzt mal über spamfence.net, mal sehen ob das Besserung bringt. Wie gesagt, Spamassassin enttäuscht mich.
Jochen
Am 24.08.2018 um 17:28 schrieb J. Fahrner:
Am 2018-08-24 17:03, schrieb Robert Schetterer:
Ich kann vermehrten Spam von google nicht bestaetigen
Komisch. Ich krieg da jetzt alles Mögliche, Betreffs wie "How are you doing", oder irgendwas mit Bitcoin, kein erkennbares Muster drin. Und immer andere gmail Absender.
Betroffen ist nur meine eine Mailadresse, die ich praktisch überall öffentlich im Internet verwende, Online-Shops, Foren, und auch hier in der Liste. Meine Private Adresse ist davon bisher nicht betroffen.
Ich leite meine öffentliche Adresse jetzt mal über spamfence.net, mal sehen ob das Besserung bringt. Wie gesagt, Spamassassin enttäuscht mich.
Jochen
ging auch an dich offlist
ein Match wenn von google und Absender und Reply to Adresse ungleich dann spam folder, das wuerde dann mit sieve gehen
aus deiner mail
Reply-To: barredwinclark4@gmail.com From: Edwin Clark barredwinclark2@gmail.com
etwas unscharf aber sollte auf die Schnelle schon mal helfen
Best Regards MfG Robert Schetterer
Am 25.08.2018 um 09:33 schrieb Robert Schetterer:
Am 24.08.2018 um 17:28 schrieb J. Fahrner:
Am 2018-08-24 17:03, schrieb Robert Schetterer:
Ich kann vermehrten Spam von google nicht bestaetigen
Komisch. Ich krieg da jetzt alles Mögliche, Betreffs wie "How are you doing", oder irgendwas mit Bitcoin, kein erkennbares Muster drin. Und immer andere gmail Absender.
Betroffen ist nur meine eine Mailadresse, die ich praktisch überall öffentlich im Internet verwende, Online-Shops, Foren, und auch hier in der Liste. Meine Private Adresse ist davon bisher nicht betroffen.
Ich leite meine öffentliche Adresse jetzt mal über spamfence.net, mal sehen ob das Besserung bringt. Wie gesagt, Spamassassin enttäuscht mich.
Jochen
ging auch an dich offlist
ein Match wenn von google und Absender und Reply to Adresse ungleich dann spam folder, das wuerde dann mit sieve gehen
aus deiner mail
Reply-To: barredwinclark4@gmail.com From: Edwin Clark barredwinclark2@gmail.com
etwas unscharf aber sollte auf die Schnelle schon mal helfen
Best Regards MfG Robert Schetterer
Ich greif diese Idee nochmal auf ,gleich ein Liste von Freemailern zu nutzen und entweder in einen extra Ordner filtern oder mit einer Message gleich ganz abzulehnen wenn Reply-To und From nicht gleich sind find ich ganz brauchbar am coolsten ist das in spamassassin um das ueber das default Tag level zu hieven, oder mit sieve
Best Regards MfG Robert Schetterer
On 25.08.2018 09:48, Robert Schetterer wrote:
Ich greif diese Idee nochmal auf ,gleich ein Liste von Freemailern zu nutzen und entweder in einen extra Ordner filtern oder mit einer Message gleich ganz abzulehnen wenn Reply-To und From nicht gleich sind find ich ganz brauchbar am coolsten ist das in spamassassin um das ueber das default Tag level zu hieven, oder mit sieve
wenn man Mails welche sich bei Reply-To und From unterscheiden als SPAM klassifiziert, kann man gleich ein vorhandenes Reply-To als SPAM klassifizieren; und rejecten noch bevor es an SPAMassassin oder sonstwo weitergereicht wird;
Grüße, Walter
Am 2018-08-25 09:48, schrieb Robert Schetterer:
Ich greif diese Idee nochmal auf ,gleich ein Liste von Freemailern zu nutzen und entweder in einen extra Ordner filtern oder mit einer Message gleich ganz abzulehnen wenn Reply-To und From nicht gleich sind find ich ganz brauchbar am coolsten ist das in spamassassin um das ueber das default Tag level zu hieven, oder mit sieve
Das mit dem spamfence.net hat sich schon wieder erledigt, die 2 Mails von Robert wurden gleich mal als Spam aussortiert. :-(
Ich versuche mal ob ich das als Rule für Spamassassin hinbekomme. Hab sowas leider noch nie gemacht.
Jochen
Am 26.08.2018 um 08:59 schrieb J. Fahrner:
Am 2018-08-25 09:48, schrieb Robert Schetterer:
Ich greif diese Idee nochmal auf ,gleich ein Liste von Freemailern zu nutzen und entweder in einen extra Ordner filtern oder mit einer Message gleich ganz abzulehnen wenn Reply-To und From nicht gleich sind find ich ganz brauchbar am coolsten ist das in spamassassin um das ueber das default Tag level zu hieven, oder mit sieve
Das mit dem spamfence.net hat sich schon wieder erledigt, die 2 Mails von Robert wurden gleich mal als Spam aussortiert. :-(
Ich versuche mal ob ich das als Rule für Spamassassin hinbekomme. Hab sowas leider noch nie gemacht.
Jochen
Hi, man muss auch reichlich Vertrauen haben wenn man seine Mails ueber extern filtern laesst. Im Grund kann man dann auch gleich zu den Freemailern wechseln.
Best Regards MfG Robert Schetterer
Hallo zusammen,
möchte nur kurz einwerfen, dass unterschiedliche Adressen in From und Reply-To durchaus seine Berechtigung haben können. Beispielsweise bei Mails die über ein Kontaktformular auf einer Website generiert und "im Namen des Gastes" an den Seitenbetreiber geschickt werden. Hier setzen wir immer die Adresse des Gastes ins Reply-To und setzen als From noreply@... ein. Denn der Webserver bzw der dahinterliegende Mailserver ist ja nicht dazu berechtigt, beispielsweise Mails von der Domain gmx.de zu versenden (SPF).
Grüße Alexander
Gesendet mit BlueMail
Am 26. Aug. 2018, 08:56, um 08:56, "J. Fahrner" jf@fahrner.name schrieb:
Am 2018-08-25 09:48, schrieb Robert Schetterer:
Ich greif diese Idee nochmal auf ,gleich ein Liste von Freemailern zu nutzen und entweder in einen extra Ordner filtern oder mit einer Message gleich ganz abzulehnen wenn Reply-To und From nicht gleich sind find ich ganz brauchbar am coolsten ist das in spamassassin um das ueber das default Tag
level
zu hieven, oder mit sieve
Das mit dem spamfence.net hat sich schon wieder erledigt, die 2 Mails von Robert wurden gleich mal als Spam aussortiert. :-(
Ich versuche mal ob ich das als Rule für Spamassassin hinbekomme. Hab sowas leider noch nie gemacht.
Jochen
Am 26.08.2018 um 09:23 schrieb Alexander Dick:
Hallo zusammen,
möchte nur kurz einwerfen, dass unterschiedliche Adressen in From und Reply-To durchaus seine Berechtigung haben können. Beispielsweise bei Mails die über ein Kontaktformular auf einer Website generiert und "im Namen des Gastes" an den Seitenbetreiber geschickt werden. Hier setzen wir immer die Adresse des Gastes ins Reply-To und setzen als From noreply@... ein. Denn der Webserver bzw der dahinterliegende Mailserver ist ja nicht dazu berechtigt, beispielsweise Mails von der Domain gmx.de http://gmx.de zu versenden (SPF).
Grüße Alexander
Hi, das duerfte den meisten hier bekannt sein, aber wer sein Geschaeft ernst meint sollte dann schon nicht ueber einen der bekannten Freemailer ausliefern, die paar Euro fuer ein anderes relay sollten wirklich drinn sein.
Gesendet mit BlueMail http://www.bluemail.me/r?b=13187 Am 26. Aug. 2018, um 08:56, "J. Fahrner" <jf@fahrner.name mailto:jf@fahrner.name> schrieb:
Am 2018-08-25 09:48, schrieb Robert Schetterer: Ich greif diese Idee nochmal auf ,gleich ein Liste von Freemailern zu nutzen und entweder in einen extra Ordner filtern oder mit einer Message gleich ganz abzulehnen wenn Reply-To und From nicht gleich sind find ich ganz brauchbar am coolsten ist das in spamassassin um das ueber das default Tag level zu hieven, oder mit sieve Das mit dem spamfence.net <http://spamfence.net> hat sich schon wieder erledigt, die 2 Mails von Robert wurden gleich mal als Spam aussortiert. :-( Ich versuche mal ob ich das als Rule für Spamassassin hinbekomme. Hab sowas leider noch nie gemacht. Jochen
Best Regards MfG Robert Schetterer
On 26.08.2018 09:23, Alexander Dick wrote:
Hallo zusammen,
möchte nur kurz einwerfen, dass unterschiedliche Adressen in From und Reply-To durchaus seine Berechtigung haben können. Beispielsweise bei Mails die über ein Kontaktformular auf einer Website generiert und "im Namen des Gastes" an den Seitenbetreiber geschickt werden.
hier wird aber nicht an Dritte gesendet, aber genau dort hat es keine Berechtigung ...
Hier setzen wir immer die Adresse des Gastes ins Reply-To und setzen als From noreply@... ein.
das kannst Du handhaben wie Du willst, schließlich ist es eine Mail an Dich selbst ...
Denn der Webserver bzw der dahinterliegende Mailserver ist ja nicht dazu berechtigt, beispielsweise Mails von der Domain gmx.de http://gmx.de zu versenden (SPF).
Gott sei Dank ...
Am 2018-08-25 09:48, schrieb Robert Schetterer:
Ich greif diese Idee nochmal auf ,gleich ein Liste von Freemailern zu nutzen und entweder in einen extra Ordner filtern oder mit einer Message gleich ganz abzulehnen wenn Reply-To und From nicht gleich sind find ich ganz brauchbar am coolsten ist das in spamassassin um das ueber das default Tag level zu hieven, oder mit sieve
SA scheint so eine Regel schon zu haben, heisst wohl FREEMAIL_REPLYTO. Wahrscheinlich muss ich da nur den Score erhöhen.
On 24.08.2018 16:41, J. Fahrner wrote:
Hallo Liste,
ich bekomme in letzter Zeit vermehrt Spam von gmail.com Adressen sowie yahoo. Ich habe den Eindruck, diese Firmen kämpfen in letzter Zeit mehr gegen "Hatespeech" als gegen Spam. Das Schlimme: Blacklists sind hier wirkungslos, und auch Spamassassin versagt da völlig (mit SA habe ich ohnehin keine guten Erfahrungen, was nicht durch DNS Blacklists geblockt wird passiert auch SA mühelos. Kann ich glaub ich rauswerfen).
Habt ihr Ideen wie man gegen den gmail Spam vorgehen könnte?
Du könntest nach einem Reply-to im Header prüfen, und wenn der eine Freemail-Domain ist => Reject, genau das mach ich nämlich; wobei ich lass nur ein Reply-to von einer handverlesenen liste an Domains zu ...
ich bekomm quasi keinen SPAM
Walter
Am 2018-08-24 19:22, schrieb Walter H.:
Du könntest nach einem Reply-to im Header prüfen, und wenn der eine Freemail-Domain ist => Reject, genau das mach ich nämlich; wobei ich lass nur ein Reply-to von einer handverlesenen liste an Domains zu ...
Das versteh ich jetzt nicht. Reply-to ist doch ein optionaler Header, wieso sollte der Spam identifizieren können?
On 25.08.2018 08:17, J. Fahrner wrote:
Am 2018-08-24 19:22, schrieb Walter H.:
Du könntest nach einem Reply-to im Header prüfen, und wenn der eine Freemail-Domain ist => Reject, genau das mach ich nämlich; wobei ich lass nur ein Reply-to von einer handverlesenen liste an Domains zu ...
Das versteh ich jetzt nicht. Reply-to ist doch ein optionaler Header, wieso sollte der Spam identifizieren können?
stimmt der Header ist optional, und sämtlicher SPAM den ich bekam, hatte im Reply-to eine Mailadresse eines Freemail hosters wie - yahoo - google (gmail) - hotmail, outlook, msn ... da ich aber umgekehrt vorgehe, ich erlaube wenn ein reply-to vorkommt nur eine handverlesene liste an domains ..., kommt da auch kein SPAM durch
hier diese header_checks-Regel, wie ich sie habe ...
if /^reply-to:[[:space:]].*$/ /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@(aol.com|mail.ru|sms.at|web.de|googlemail.com|gmail.com|rocketmail.com|qq.com|(gmx|hotmail|msn|outlook|yahoo|ymail)[[:alpha:].]+)(>)?.*$/ REJECT 5.7.1 Mail is SPAM. Freemail 'reply-to' ($2) not accepted. /^reply-to:[[:space:]][[:print:]]*(<)?(#handverlesene liste#)(>)?.*$/ OK # tld .at, .de, .eu ist erlaubt /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+.(at|de|eu)(>)?.*$/ OK /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+(>)?.*$/ REJECT 5.7.1 Mail is SPAM. Unknown 'reply-to' not accepted. endif
es gibt für mich keinen sinnvollen use case, der die notwendigkeit eines reply-to's zwingend notwendig macht ...
Grüße, Walter
Am 25.08.2018 um 09:49 schrieb Walter H.:
On 25.08.2018 08:17, J. Fahrner wrote:
Am 2018-08-24 19:22, schrieb Walter H.:
Du könntest nach einem Reply-to im Header prüfen, und wenn der eine Freemail-Domain ist => Reject, genau das mach ich nämlich; wobei ich lass nur ein Reply-to von einer handverlesenen liste an Domains zu ...
Das versteh ich jetzt nicht. Reply-to ist doch ein optionaler Header, wieso sollte der Spam identifizieren können?
stimmt der Header ist optional, und sämtlicher SPAM den ich bekam, hatte im Reply-to eine Mailadresse eines Freemail hosters wie
- yahoo
- google (gmail)
- hotmail, outlook, msn
... da ich aber umgekehrt vorgehe, ich erlaube wenn ein reply-to vorkommt nur eine handverlesene liste an domains ..., kommt da auch kein SPAM durch
hier diese header_checks-Regel, wie ich sie habe ...
if /^reply-to:[[:space:]].*$/ /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@(aol.com|mail.ru|sms.at|web.de|googlemail.com|gmail.com|rocketmail.com|qq.com|(gmx|hotmail|msn|outlook|yahoo|ymail)[[:alpha:].]+)(>)?.*$/
REJECT 5.7.1 Mail is SPAM. Freemail 'reply-to' ($2) not accepted. /^reply-to:[[:space:]][[:print:]]*(<)?(#handverlesene liste#)(>)?.*$/ OK # tld .at, .de, .eu ist erlaubt /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+.(at|de|eu)(>)?.*$/
OK /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+(>)?.*$/
REJECT 5.7.1 Mail is SPAM. Unknown 'reply-to' not accepted. endif
es gibt für mich keinen sinnvollen use case, der die notwendigkeit eines reply-to's zwingend notwendig macht ...
Grüße, Walter
cool eine Ausnahme fuer/mit List-Id besonders fuer yahoo waere evtl sinnvoll
Best Regards MfG Robert Schetterer
On 25.08.2018 09:52, Robert Schetterer wrote:
Am 25.08.2018 um 09:49 schrieb Walter H.:
On 25.08.2018 08:17, J. Fahrner wrote:
Am 2018-08-24 19:22, schrieb Walter H.:
Du könntest nach einem Reply-to im Header prüfen, und wenn der eine Freemail-Domain ist => Reject, genau das mach ich nämlich; wobei ich lass nur ein Reply-to von einer handverlesenen liste an Domains zu ...
Das versteh ich jetzt nicht. Reply-to ist doch ein optionaler Header, wieso sollte der Spam identifizieren können?
stimmt der Header ist optional, und sämtlicher SPAM den ich bekam, hatte im Reply-to eine Mailadresse eines Freemail hosters wie
- yahoo
- google (gmail)
- hotmail, outlook, msn
... da ich aber umgekehrt vorgehe, ich erlaube wenn ein reply-to vorkommt nur eine handverlesene liste an domains ..., kommt da auch kein SPAM durch
hier diese header_checks-Regel, wie ich sie habe ...
if /^reply-to:[[:space:]].*$/ /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@(aol.com|mail.ru|sms.at|web.de|googlemail.com|gmail.com|rocketmail.com|qq.com|(gmx|hotmail|msn|outlook|yahoo|ymail)[[:alpha:].]+)(>)?.*$/
REJECT 5.7.1 Mail is SPAM. Freemail 'reply-to' ($2) not accepted./^reply-to:[[:space:]][[:print:]]*(<)?(#handverlesene liste#)(>)?.*$/ OK # tld .at, .de, .eu ist erlaubt /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+.(at|de|eu)(>)?.*$/
OK/^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+(>)?.*$/
REJECT 5.7.1 Mail is SPAM. Unknown 'reply-to' not accepted.endif
es gibt für mich keinen sinnvollen use case, der die notwendigkeit eines reply-to's zwingend notwendig macht ...
Grüße, Walter
cool eine Ausnahme fuer/mit List-Id besonders fuer yahoo waere evtl sinnvoll
ja das habe ich in #handverlesene liste# in header_checks geht ja kein Match von 2 Header-Feldern ...
wobei weil wir schon beim thema sind, wenn im List-Id was vorkommt, was mit einer abonnierten Mailingliste nichts zu tun hat, kann man auch hier rejecten, weil es dafür auch keinen sinnvollen use case gibt Danke f. den Clue, werd ich noch reingeben, wobei ich so schon nur 1-2 SPAM Mails im Monat bekommt (die haben sich halt wirklich angestrengt)
On 25.08.2018 10:04, Walter H. wrote:
On 25.08.2018 09:52, Robert Schetterer wrote:
Am 25.08.2018 um 09:49 schrieb Walter H.:
On 25.08.2018 08:17, J. Fahrner wrote:
Am 2018-08-24 19:22, schrieb Walter H.:
Du könntest nach einem Reply-to im Header prüfen, und wenn der eine Freemail-Domain ist => Reject, genau das mach ich nämlich; wobei ich lass nur ein Reply-to von einer handverlesenen liste an Domains zu ...
Das versteh ich jetzt nicht. Reply-to ist doch ein optionaler Header, wieso sollte der Spam identifizieren können?
stimmt der Header ist optional, und sämtlicher SPAM den ich bekam, hatte im Reply-to eine Mailadresse eines Freemail hosters wie
- yahoo
- google (gmail)
- hotmail, outlook, msn
... da ich aber umgekehrt vorgehe, ich erlaube wenn ein reply-to vorkommt nur eine handverlesene liste an domains ..., kommt da auch kein SPAM durch
hier diese header_checks-Regel, wie ich sie habe ...
if /^reply-to:[[:space:]].*$/ /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@(aol.com|mail.ru|sms.at|web.de|googlemail.com|gmail.com|rocketmail.com|qq.com|(gmx|hotmail|msn|outlook|yahoo|ymail)[[:alpha:].]+)(>)?.*$/
REJECT 5.7.1 Mail is SPAM. Freemail 'reply-to' ($2) notaccepted. /^reply-to:[[:space:]][[:print:]]*(<)?(#handverlesene liste#)(>)?.*$/ OK # tld .at, .de, .eu ist erlaubt /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+.(at|de|eu)(>)?.*$/
OK/^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+(>)?.*$/
REJECT 5.7.1 Mail is SPAM. Unknown 'reply-to' not accepted.endif
es gibt für mich keinen sinnvollen use case, der die notwendigkeit eines reply-to's zwingend notwendig macht ...
Grüße, Walter
cool eine Ausnahme fuer/mit List-Id besonders fuer yahoo waere evtl sinnvoll
ja das habe ich in #handverlesene liste# in header_checks geht ja kein Match von 2 Header-Feldern ...
wobei weil wir schon beim thema sind, wenn im List-Id was vorkommt, was mit einer abonnierten Mailingliste nichts zu tun hat, kann man auch hier rejecten, weil es dafür auch keinen sinnvollen use case gibt Danke f. den Clue, werd ich noch reingeben, wobei ich so schon nur 1-2 SPAM Mails im Monat bekommt (die haben sich halt wirklich angestrengt)
habe auch noch folgendes im header_checks einen Termin drückt mir keiner auf's Aug' und Mails in Zeichensätzen die ich ohnehin nicht verstehe sind auch Fehl am Platz
if /^content-type:[[:space:]].*$/ /^content-type:[[:space:]]application/ics.*$/ REJECT 5.7.1 Mail is SPAM. Invalid attachment 'application/ics'. /^content-type:[[:space:]]text/calendar.*$/ REJECT 5.7.1 Mail is SPAM. Invalid attachment 'text/calendar'. if /^content-type:[[:space:]][[:print:]]+/[[:print:]]+;[[:space:]]+charset=(")?[[:print:]]+(")?.*$/ /^content-type:[[:space:]][[:print:]]+/[[:print:]]+;[[:space:]]+charset=(")?us-ascii(")?.*$/ OK /^content-type:[[:space:]][[:print:]]+/[[:print:]]+;[[:space:]]+charset=(")?utf-8(")?.*$/ OK /^content-type:[[:space:]][[:print:]]+/[[:print:]]+;[[:space:]]+charset=(")?iso-8859-1(?![012346789a-z])(")?.*$/ OK /^content-type:[[:space:]][[:print:]]+/[[:print:]]+;[[:space:]]+charset=(")?iso-8859-15(")?.*$/ OK /^content-type:[[:space:]][[:print:]]+/[[:print:]]+;[[:space:]]+charset=(")?windows-1252(")?.*$/ OK /^content-type:[[:space:]][[:print:]]+/[[:print:]]+;[[:space:]]+charset=(")?([[:alnum:]_-]+)(")?.*$/ # PREPEND X-Invalid-Charset: $2 REJECT 5.7.1 Mail is SPAM. Invalid charset '$2'. endif endif
Am 2018-08-25 09:52, schrieb Robert Schetterer:
cool eine Ausnahme fuer/mit List-Id besonders fuer yahoo waere evtl sinnvoll
Das mit dem Vergleich von From: und Reply-To: ist auf jeden Fall ein interessanter Ansatz. Ich bastel mir mal ein kleines Python Analsysescript, mit dem ich das auswerten und verifizieren kann. Das wird aber ein bisschen dauern. In der Zwischenzeit leite ich meine öffentliche Mailadresse über spamfence.net, mal sehen wie sich das bewährt. Mein erster Eindruck ist schon mal, dass Spamfence besser arbeitet als Spamassasin. Aber nichtsdestotrotz, man möchte natürlich unabhängig von fremden Diensten sein (wobei DNS Blacklists ja auch schon fremde Dienste sind).
Aber mal ganz unabhängig davon: das mit dem Spam ist schon eine üble Seuche, die mal ausgerottet gehört.
On 25.08.2018 13:02, J. Fahrner wrote:
Am 2018-08-25 09:52, schrieb Robert Schetterer:
cool eine Ausnahme fuer/mit List-Id besonders fuer yahoo waere evtl sinnvoll
Das mit dem Vergleich von From: und Reply-To: ist auf jeden Fall ein interessanter Ansatz. Ich bastel mir mal ein kleines Python Analsysescript, mit dem ich das auswerten und verifizieren kann. Das wird aber ein bisschen dauern.
hier hast Du die Mail aber bereits angenommen und bist nicht mehr in der Lage sie so abzulehnen, daß die Fehlernachricht nicht durch deinen Mailserver generiert wird, oder?
In der Zwischenzeit leite ich meine öffentliche Mailadresse über spamfence.net, mal sehen wie sich das bewährt.
spamfence scheint auf den ersten Blick interessant zu sein, werd ich mir mal ansehen;
Mein erster Eindruck ist schon mal, dass Spamfence besser arbeitet als Spamassasin.
mehr Basis durch welchen dieser Filter trainiert wurde?
Aber nichtsdestotrotz, man möchte natürlich unabhängig von fremden Diensten sein (wobei DNS Blacklists ja auch schon fremde Dienste sind).
auch SPAMassassin ist ein fremder Dienst ...
Aber mal ganz unabhängig davon: das mit dem Spam ist schon eine üble Seuche, die mal ausgerottet gehört.
ja, es führt sich ad absurdum, wenn es sicht nicht mehr lohnt; würde denn jemand auf die Idee kommen, dies per Briefpost zu veranstalten? und es ist bloß ein Symptom, die Ursache auszurotten, kommt einem alles vernichtenden Weltkrieg gleich;
Am 2018-08-25 16:51, schrieb Walter H.:
hier hast Du die Mail aber bereits angenommen und bist nicht mehr in der Lage sie so abzulehnen,
Nein, ich meinte ich lasse das Script mal über alle meine gespeicherten Mails laufen, und gucke ob irgendeine legitime Mail nach der Methode abgelehnt worden wäre. Wenn nein, dann kann ich das mit den von dir verwendeten header-checks so einsetzen.
Mein erster Eindruck ist schon mal, dass Spamfence besser arbeitet als Spamassasin.
mehr Basis durch welchen dieser Filter trainiert wurde?
Wenn ich das richtig interpretiert habe, dann leben die davon, dass viele Leute ihre Mails da durchleiten. Die erzeugen dann von jedem Mailbody einen Hash-Wert, und wenn innerhalb kurzer Zeit mehrere Mails mit dem gleichen Hashwert eintrudeln, dann erkennen die das als Spam. Bedeutet natürlich eine kurze Verzögerung, aber die ist kaum feststellbar, das liegt im Bereich von wenigen Sekunden. Und Newsletter müssen sie auch irgendwie erkennen, die haben ja auch den gleichen Hashwert. Keine Ahnung wie das funktioniert, scheint aber ziemlich genial zu sein.
auch SPAMassassin ist ein fremder Dienst ...
Das stimmt leider. Merkt man dann, wwenn der tägliche Cronjob Fehlermeldungen liefert, weil der Update-Service wieder mal nicht erreichbar war. Auch das stört mich. Eigentlich möchte ich so wenig wie möglich von fremden Diensten abhängig sein.
Am 25.08.2018 um 17:58 schrieb J. Fahrner:
Wenn ich das richtig interpretiert habe, dann leben die davon, dass viele Leute ihre Mails da durchleiten. Die erzeugen dann von jedem Mailbody einen Hash-Wert, und wenn innerhalb kurzer Zeit mehrere Mails mit dem gleichen Hashwert eintrudeln, dann erkennen die das als Spam. Bedeutet natürlich eine kurze Verzögerung, aber die ist kaum feststellbar, das liegt im Bereich von wenigen Sekunden. Und Newsletter müssen sie auch irgendwie erkennen, die haben ja auch den gleichen Hashwert. Keine Ahnung wie das funktioniert, scheint aber ziemlich genial zu sein.
Ziemlich "genial" fand ich damals, dass man denen Emails nur unverschlüsselt (Transportverschlüsselung) schicken kann. Die gefilterten Mails kommen absurderweise aber TLS-verschlüsselt zurück. Bei Nachfrage erhielt ich dann die Antwort, dass das den kommerziellen Produkten vorbehalten ist und dass sich daran auch nichts ändern wird.
War für mich damals das K.O.-Kriterium.
Am 2018-08-25 09:49, schrieb Walter H.:
hier diese header_checks-Regel, wie ich sie habe ...
if /^reply-to:[[:space:]].*$/ /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@(aol.com|mail.ru|sms.at|web.de|googlemail.com|gmail.com|rocketmail.com|qq.com|(gmx|hotmail|msn|outlook|yahoo|ymail)[[:alpha:].]+)(>)?.*$/ REJECT 5.7.1 Mail is SPAM. Freemail 'reply-to' ($2) not accepted. /^reply-to:[[:space:]][[:print:]]*(<)?(#handverlesene liste#)(>)?.*$/ OK # tld .at, .de, .eu ist erlaubt /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+.(at|de|eu)(>)?.*$/ OK /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+(>)?.*$/ REJECT 5.7.1 Mail is SPAM. Unknown 'reply-to' not accepted. endif
es gibt für mich keinen sinnvollen use case, der die notwendigkeit eines reply-to's zwingend notwendig macht ...
Heute hat die erste Regel 2 mal zugeschlagen. Einmal war es wirklich SPAM, das zweite Mal kam die Mail offensichtlich von einer abonnierten Mailingliste. Wobei mir nicht ganz klar ist was das soll. Wieso taucht in einer Mailingliste ein Reply-To an eine gmail-Adresse auf? Wenn ich antworte, dann will ich doch an die Liste antworten. Das scheint mir wohl ein Bug der Mailingliste zu sein, wenn die sowas überhaupt zulässt. Das macht ja keinen Sinn.
Jochen
Am 01.09.2018 um 15:23 schrieb J. Fahrner:
Am 2018-08-25 09:49, schrieb Walter H.:
hier diese header_checks-Regel, wie ich sie habe ...
if /^reply-to:[[:space:]].*$/ /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@(aol.com|mail.ru|sms.at|web.de|googlemail.com|gmail.com|rocketmail.com|qq.com|(gmx|hotmail|msn|outlook|yahoo|ymail)[[:alpha:].]+)(>)?.*$/
REJECT 5.7.1 Mail is SPAM. Freemail 'reply-to' ($2) not accepted. /^reply-to:[[:space:]][[:print:]]*(<)?(#handverlesene liste#)(>)?.*$/ OK # tld .at, .de, .eu ist erlaubt /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+.(at|de|eu)(>)?.*$/
OK /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+(>)?.*$/
REJECT 5.7.1 Mail is SPAM. Unknown 'reply-to' not accepted. endif
es gibt für mich keinen sinnvollen use case, der die notwendigkeit eines reply-to's zwingend notwendig macht ...
Heute hat die erste Regel 2 mal zugeschlagen. Einmal war es wirklich SPAM, das zweite Mal kam die Mail offensichtlich von einer abonnierten Mailingliste. Wobei mir nicht ganz klar ist was das soll. Wieso taucht in einer Mailingliste ein Reply-To an eine gmail-Adresse auf? Wenn ich antworte, dann will ich doch an die Liste antworten. Das scheint mir wohl ein Bug der Mailingliste zu sein, wenn die sowas überhaupt zulässt. Das macht ja keinen Sinn.
Jochen
ich wuerde per se Mail Lists ausnehmen
Best Regards MfG Robert Schetterer
On 02.09.2018 15:35, Robert Schetterer wrote:
Am 01.09.2018 um 15:23 schrieb J. Fahrner:
Am 2018-08-25 09:49, schrieb Walter H.:
hier diese header_checks-Regel, wie ich sie habe ...
if /^reply-to:[[:space:]].*$/ /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@(aol.com|mail.ru|sms.at|web.de|googlemail.com|gmail.com|rocketmail.com|qq.com|(gmx|hotmail|msn|outlook|yahoo|ymail)[[:alpha:].]+)(>)?.*$/
REJECT 5.7.1 Mail is SPAM. Freemail 'reply-to' ($2) not accepted./^reply-to:[[:space:]][[:print:]]*(<)?(#handverlesene liste#)(>)?.*$/ OK # tld .at, .de, .eu ist erlaubt /^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+.(at|de|eu)(>)?.*$/
OK/^reply-to:[[:space:]][[:print:]]*(<)?[[:alnum:]_.-]+@[[:alnum:]_.-]+(>)?.*$/
REJECT 5.7.1 Mail is SPAM. Unknown 'reply-to' not accepted.endif
es gibt für mich keinen sinnvollen use case, der die notwendigkeit eines reply-to's zwingend notwendig macht ...
Heute hat die erste Regel 2 mal zugeschlagen. Einmal war es wirklich SPAM, das zweite Mal kam die Mail offensichtlich von einer abonnierten Mailingliste.
sehe ich auch immer wieder, ist aber nicht das Problem der Mailingliste als desjenigen der die Mailingliste derart verkorkst ein Mail schickt;
Wobei mir nicht ganz klar ist was das soll. Wieso taucht in einer Mailingliste ein Reply-To an eine gmail-Adresse auf?
weil sie derjenige in einem Reply-To angegeben hat, was ansicht Unsinn ist; aber es gibt User die haben derart verkorkste Einstellungen, daß sie _immer_ im Reply-To deren eigene Mail adresse stehen haben -> Pech gehabt; ich gebe vor wie eine Mail - die ich annehme - auszusehen hat;
Wenn ich antworte, dann will ich doch an die Liste antworten.
Stimmt, im TB gibts hier ein ReplyTo-List
Das scheint mir wohl ein Bug der Mailingliste zu sein,
nein leider, verursacht durch einzelne Members der Liste selbst;
wenn die sowas überhaupt zulässt. Das macht ja keinen Sinn.
Stimmt; ich lebe mit meiner Hardcore-Regel damit;
ich wuerde per se Mail Lists ausnehmen
Ja, diese sind bei mir oben unter #handverlesene liste# inkludiert
Walter
Am 2018-09-02 16:12, schrieb Walter H.:
ich wuerde per se Mail Lists ausnehmen
Ja, diese sind bei mir oben unter #handverlesene liste# inkludiert
Deine #handverlesene liste# betrifft aber nur das reply-to. Das hilft dir nicht wenn irgendsoein Esel mit reply-to freemail in die Liste postet. Da bräuchte man ein whitelisting von Listen das vorher schon greift.
Jochen
Am 02.09.2018 um 21:03 schrieb J. Fahrner:
Am 2018-09-02 16:12, schrieb Walter H.:
ich wuerde per se Mail Lists ausnehmen
Ja, diese sind bei mir oben unter #handverlesene liste# inkludiert
Deine #handverlesene liste# betrifft aber nur das reply-to. Das hilft dir nicht wenn irgendsoein Esel mit reply-to freemail in die Liste postet. Da bräuchte man ein whitelisting von Listen das vorher schon greift.
Jochen
mit sieve wuerde man einfach alles ausnehmen was List-Id enthaelt, muss am Ende jeder selbst wissen wie und ob er das will
Best Regards MfG Robert Schetterer
On Sun, September 2, 2018 22:50, Robert Schetterer wrote:
mit sieve wuerde man einfach alles ausnehmen was List-Id enthaelt, muss am Ende jeder selbst wissen wie und ob er das will
habe schon echten SPAM bekommen, der einen List-Id drin hatte; kann sein, daß man auf die Art manche False Positives nicht blockt und kann sein daß man auf die Art echten SPAM durchläßt;
Postfix + Sieve -> wie geht das am einfachsten?
Am 2018-09-03 13:36, schrieb Walter H.:
habe schon echten SPAM bekommen, der einen List-Id drin hatte; kann sein, daß man auf die Art manche False Positives nicht blockt und kann sein daß man auf die Art echten SPAM durchläßt;
Postfix + Sieve -> wie geht das am einfachsten?
Wenn schon, dann dürfte man nur List-Ids zulassen die man auch abonniert hat. Optimal ist das aber nicht, jedesmal die Postfix Config ändern zu müssen wenn man eine neue Liste abonniert.
Am besten gefällt mir Roberts Vorschlag, From: und Reply-To: zu vergleichen. Nur wenn beides Freemail ist und sie sich unterscheiden, dann blocken. Kriegt man aber mit header_checks nicht hin. Müsste man irgendwie ins Spamassassin reinbasteln oder in rspamd. Da mir SA bisher nie so richtig gefallen hat (Konfiguration komplex und unübersichtlich, und Trefferrate schlecht) stelle ich gerade auf rspamd um. Muss mich da aber erst reinfuchsen.
Jochen
Am 03.09.2018 um 13:46 schrieb J. Fahrner:
Am 2018-09-03 13:36, schrieb Walter H.:
habe schon echten SPAM bekommen, der einen List-Id drin hatte; kann sein, daß man auf die Art manche False Positives nicht blockt und kann sein daß man auf die Art echten SPAM durchläßt;
Postfix + Sieve -> wie geht das am einfachsten?
Wenn schon, dann dürfte man nur List-Ids zulassen die man auch abonniert hat. Optimal ist das aber nicht, jedesmal die Postfix Config ändern zu müssen wenn man eine neue Liste abonniert.
Am besten gefällt mir Roberts Vorschlag, From: und Reply-To: zu vergleichen. Nur wenn beides Freemail ist und sie sich unterscheiden, dann blocken. Kriegt man aber mit header_checks nicht hin. Müsste man irgendwie ins Spamassassin reinbasteln oder in rspamd. Da mir SA bisher nie so richtig gefallen hat (Konfiguration komplex und unübersichtlich, und Trefferrate schlecht) stelle ich gerade auf rspamd um. Muss mich da aber erst reinfuchsen.
Jochen
rspamd ist sicher eine gute Wahl
Best Regards MfG Robert Schetterer
Am 2018-09-03 13:46, schrieb J. Fahrner:
Am besten gefällt mir Roberts Vorschlag, From: und Reply-To: zu vergleichen. Nur wenn beides Freemail ist und sie sich unterscheiden, dann blocken. Kriegt man aber mit header_checks nicht hin. Müsste man irgendwie ins Spamassassin reinbasteln oder in rspamd. Da mir SA bisher nie so richtig gefallen hat (Konfiguration komplex und unübersichtlich, und Trefferrate schlecht) stelle ich gerade auf rspamd um. Muss mich da aber erst reinfuchsen.
So, klappt mit rspamd wunderbar. War zwar etwas mühsam weil die lua module etwas spärlich dokumentiert sind, aber nun läuft meine Regel. Falls es jemand brauchen kann, hier der lua Code: ======================================== -- Requires freemail maps loaded in multimap local function freemail_reply_neq_from_addr(task) local frt = task:get_symbol('FREEMAIL_REPLYTO') local ff = task:get_symbol('FREEMAIL_FROM') local reply_to = task:get_header('Reply-To') local mail_from = task:get_from() if (frt and ff and reply_to ~= mail_from) then return true end return false end
rspamd_config:register_symbol({ name = 'FREEMAIL_REPLYTO_NEQ_FROM', callback = freemail_reply_neq_from_addr, description = 'Freemail From and Reply-To, but to different Freemail addresses', score = 10.0, group = 'headers', }) rspamd_config:register_dependency('FREEMAIL_REPLYTO_NEQ_FROM', 'FREEMAIL_REPLYTO') rspamd_config:register_dependency('FREEMAIL_REPLYTO_NEQ_FROM', 'FREEMAIL_FROM') ===========================================
Einfach in /etc/rspamd/rspamd.local.lua reinkopieren. Rspamd hat übrigens eine Liste mit über 3000 Freemailern im Bauch.
Jochen
Am 03.09.2018 um 13:36 schrieb Walter H.:
On Sun, September 2, 2018 22:50, Robert Schetterer wrote:
mit sieve wuerde man einfach alles ausnehmen was List-Id enthaelt, muss am Ende jeder selbst wissen wie und ob er das will
habe schon echten SPAM bekommen, der einen List-Id drin hatte; kann sein, daß man auf die Art manche False Positives nicht blockt und kann sein daß man auf die Art echten SPAM durchläßt;
Postfix + Sieve -> wie geht das am einfachsten?
Also eine Welt ohne Spam gibts einfach nicht. Normalerweise versucht man halt in postfix , spamassassin, clamav das meisste schon mal rauszufangen, hat man dovecot mit sieve kann man danach entweder global und/oder per user sieve regeln einrichten.
Der wesentliche Punkt ist ob der Mailserver viele div domains bedienen muss oder nicht. Gehts nur um eigene domains kann man natuerlich strikter verfahren. Sieve ist halt gut so zu konfigurieren, dass jeder User z.b in einem webmail seine eigenen Regeln machen kann. Das geht natuerlich auch in spamassassin ist aber so kompliziert das die meisten user mit Regeln scheitern werden die ueber ein simples white und blacklisting hinausgehen. Hier ging es ja um das filtern des reply to, da es sich da um ein "legales Verfahren" handelt ist es vermutlich ein gute Idee es im per User level zu konfigurieren, bzw es in spamassassin wie bereits hier beschrieben in der Freemail Regel hoeher zu bewerten.
Best Regards MfG Robert Schetterer
participants (6)
-
Alexander Dick -
Andreas Fischer -
J. Fahrner -
Robert Schetterer -
Walter H. -
Walter H.