1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.GERMAN

  • Wie kann ich mit spamassassin "delayed E-mails" SPAM erfassen

    From Andreas Tille@21:1/5 to All on Thu Apr 18 07:50:01 2024
    Hi,

    seit einiger Zeit bekomme ich SPAM Mails mit "delayed E-Mails",
    die ich freigeben soll, wenn ich irgendwo draufklicke. Gestern
    hatte es mir gereicht und ich habe per


    header SUBJECT_PENDING_MAILBOX Subject =~ /You have \d+ messages pending to your mailbox/i
    score SUBJECT_PENDING_MAILBOX 5.0
    header RECEIVED_PENDING_MAILBOX Received =~ /85\.17\.9\.211/
    score RECEIVED_PENDING_MAILBOX 5.0


    in /etc/spamassassin/local.cf einen ersten Versuuch gestartet, damit klarzukommen. (Die Scores habe ich in der Nutzerkonfiguration noch
    höher gesetzt.)

    Heute bekomme ich

    Subject: Attention andreas you hαve (3) delαyed E-mαils
    Received: from [192.3.96.81]

    Also mit deutlich verändertem Subject, das Buchstaben durch
    Sonderzeichen ersetzt und auch meinen Nutzernamen enthält.
    Offensichtlich ist der Sender IP-Bereich auch sehr variabel also meine
    einfache Strategie zum Scheitern verurteilt.

    Hat jemand eine sinnvolle Lösung für das Problem, das ich wohl
    nicht alleine habe (ich bekomme davon ca. 10 pro Tag.)

    Viele Grüße
    Andreas.

    --
    https://fam-tille.de

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Sebastian Suchanek@21:1/5 to All on Thu Apr 18 18:20:01 2024
    Am 18.04.2024 um 07:31 schrieb Andreas Tille:
    Hi,

    seit einiger Zeit bekomme ich SPAM Mails mit "delayed E-Mails",
    die ich freigeben soll, wenn ich irgendwo draufklicke. Gestern
    hatte es mir gereicht und ich habe per


    header SUBJECT_PENDING_MAILBOX Subject =~ /You have \d+ messages pending to your mailbox/i
    score SUBJECT_PENDING_MAILBOX 5.0
    header RECEIVED_PENDING_MAILBOX Received =~ /85\.17\.9\.211/
    score RECEIVED_PENDING_MAILBOX 5.0
    [...]

    Spam-Mails mit derart spezifischen Regeln erschlagen zu wollen, gleicht
    IMHO dem Kampf mit der Hydra. (Erstellt man eine Regel, erscheinen
    umgehend zwei neue Spam-Muster...)
    Ich setze bei mir in Spamassassin ziemlich stark auf den Bayes-Filter,
    das klappt auch ganz gut. Klar, ab und zu gibt's auch mal False-Negative-Ergebnisse, aber ich habe mir eine Skript-Lösung
    gestrickt, bei der ich falsch erkannte Mails nur in spezielle
    IMAP-Ordner ziehen muss (einer für False Posistives und einer für False Negatives) und sie von dort aus automagisch an sa-learn verfüttert
    werden. Die Mails, die sich hartnäckig auch einem solchen Durchlauf widersetzen, sind wirklich selten.
    Ach ja, und ich blocke auf meinem externen MX schon jede Menge Blödsinn
    mit ein paar wirklich simplen Regeln ab, wie z.B. kein FQDN im SMTP-HELO.


    HTH,

    Sebastian

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Andreas Tille@21:1/5 to All on Fri Apr 19 14:00:01 2024
    Am Thu, Apr 18, 2024 at 06:10:47PM +0200 schrieb Sebastian Suchanek:
    Ich setze bei mir in Spamassassin ziemlich stark auf den Bayes-Filter,
    das klappt auch ganz gut. Klar, ab und zu gibt's auch mal False-Negative-Ergebnisse, aber ich habe mir eine Skript-L�sung
    gestrickt, bei der ich falsch erkannte Mails nur in spezielle
    IMAP-Ordner ziehen muss (einer f�r False Posistives und einer f�r False Negatives) und sie von dort aus automagisch an sa-learn verf�ttert
    werden.

    Das mache ich exakt genau so.

    Die Mails, die sich hartn�ckig auch einem solchen Durchlauf
    widersetzen, sind wirklich selten.

    Die besagten geh�ren leider dazu. :-(

    Ach ja, und ich blocke auf meinem externen MX schon jede Menge Bl�dsinn
    mit ein paar wirklich simplen Regeln ab, wie z.B. kein FQDN im SMTP-HELO.

    Wie machst Du das?

    Viele Gr��e
    Andreas.

    --
    https://fam-tille.de

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Sebastian Suchanek@21:1/5 to All on Fri Apr 19 18:50:01 2024
    Am 19.04.2024 um 13:53 schrieb Andreas Tille:
    Am Thu, Apr 18, 2024 at 06:10:47PM +0200 schrieb Sebastian Suchanek:
    Ich setze bei mir in Spamassassin ziemlich stark auf den Bayes-Filter,
    das klappt auch ganz gut. Klar, ab und zu gibt's auch mal
    False-Negative-Ergebnisse, aber ich habe mir eine Skript-Lösung
    gestrickt, bei der ich falsch erkannte Mails nur in spezielle
    IMAP-Ordner ziehen muss (einer für False Posistives und einer für False
    Negatives) und sie von dort aus automagisch an sa-learn verfüttert
    werden.

    Das mache ich exakt genau so.

    Ich hatte noch vergessen zu erwähnen, dass ich auch am Scoring in
    Spamassassin geschraubt habe. Auszug aus meiner local.cf:

    | [...]
    | required_score 3.5
    | use_bayes 1
    | bayes_auto_learn 1
    | skip_rbl_checks 0
    | use_razor2 1
    | #use_dcc 1
    | use_pyzor 1
    | score ALL_TRUSTED 0
    | score DNS_FROM_AHBL_RHSBL 0
    | # use_auto_whitelist 0
    | bayes_auto_learn_threshold_nonspam 0.2
    | bayes_auto_learn_threshold_spam 10
    | [...]

    Die Mails, die sich hartnäckig auch einem solchen Durchlauf
    widersetzen, sind wirklich selten.

    Die besagten gehören leider dazu. :-(

    Wie gesagt: Hier[tm] nicht.

    Ach ja, und ich blocke auf meinem externen MX schon jede Menge Blödsinn
    mit ein paar wirklich simplen Regeln ab, wie z.B. kein FQDN im SMTP-HELO.

    Wie machst Du das?

    Auszug aus meiner exim.conf (ich habe die verteilten Config-Files, die
    Debian standardmäßig für Exim mitbringt, über Bord geworfen und nutze
    nur eine einzige zentral Config-Datei):

    | [...]
    | acl_check_helo:
    |
    | # Only SPAM protection here
    | # All rules where taken from the Exim Wiki
    |
    | # HELO is invalid
    | drop
    | condition = ${if isip{$sender_helo_name}}
    | message = Access denied - Invalid HELO name (See RFC2821 4.1.3)
    | log_message = ACL-SPAM-Protection: Mail from $sender_helo_name
    rejected due to invalid HELO name
    |
    | # HELO is not a FQDN
    | drop
    | # Required because "[IPv6:<address>]" will have no .s
    | condition = ${if match{$sender_helo_name}{\N^\[\N}{no}{yes}}
    | condition = ${if match{$sender_helo_name}{\N\.\N}{no}{yes}}
    | message = Access denied - Invalid HELO name (See RFC2821 4.1.1.1)
    | log_message = ACL-SPAM-Protection: Mail from $sender_helo_name
    rejected because HELO was no FQDN
    |
    | drop
    | condition = ${if match{$sender_helo_name}{\N\.$\N}}
    | message = Access denied - Invalid HELO name (See RFC2821 4.1.1.1)
    | log_message = ACL-SPAM-Protection: Mail from $sender_helo_name
    rejected because HELO was no FQDN
    |
    | drop
    | condition = ${if match{$sender_helo_name}{\N\.\.\N}}
    | message = Access denied - Invalid HELO name (See RFC2821 4.1.1.1)
    | log_message = ACL-SPAM-Protection: Mail from $sender_helo_name
    rejected because HELO was no FQDN
    |
    | # HELO is my hostname
    | drop
    | message = Access denied - Inavlid HELO name - Host
    impersonating $sender_helo_name
    | condition = ${if
    match{$sender_helo_name}{$primary_hostname}{yes}{no}}
    | log_message = ACL-SPAM-Protection: Mail from $sender_helo_name
    rejected because sender faked its name
    |
    | # accept otherwise
    | accept
    | [...]

    Wobei ich mir das nicht selbst ausgedacht habe - kann sogar sein, dass
    das bei Debian standardmäßig so in der Konfiguration steht.
    Ach ja, und man sollte natürlich tunlichst kein "catch all" für E-Mail-Adressen einrichten...


    HTH,

    Sebastian

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)