Spamassassin und V|@gr@

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

Spamassassin und V|@gr@

Post by ffl » 2004-01-14 19:20

Hallo miteinander,

da der durch den Filter rutschende Spam in den letzten beiden Wochen extrem zugenommen hat, hab ich mich mal auf die google begeben:

http://www.exit0.us/index.php/ChrissMediocreObfuScript

Das können bestimmt einige brauchen. Sobald ich wieder SSH auf meinen Server kann werd ich das einbauen (bin grad nur per ICafe in AT online).

HTH
ff
:roll:

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spamassassin und V|@gr@

Post by dodolin » 2004-01-14 19:24

Ich vermute, du meinst die gefälschten Habeus-Header (ich hoffe, ich habs richtig geschrieben...). Das ging in hunderten von Mails über die sa-talk Mailingliste, über diverse Newsgruppen zum Thema etc. pp.

Das "Problem" ist, dass diese Header -8 Scoren, aber nun von einem Spammer ausgenutzt wurden. Nun wird sich zeigen, ob das Business-Modell dieser Firma aufgeht, oder nicht...

ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

Re: Spamassassin und V|@gr@

Post by ffl » 2004-01-14 21:46

Nein, ich hätt mich vorhin evtl. besser ausdrücken sollen: Ich meine diesen V|@.GrA oder S3.x usw. Kram, den man als Mensch zwar ohne Probleme lesen kann, den der SA aber leider nicht erkennt. Ich musste leider feststellen, dass Spam dieser Art in den letzten Wochen stark zugenommen hat.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spamassassin und V|@gr@

Post by dodolin » 2004-01-15 00:09

Zeig doch mal so nen Header her, ich wette, das waren die mit dem gefälschten Habeus-Header, die waren nämlich alle für genau diese Schreibweise von Viagra. Also wenn man network-checks und Bayes aktiviert hat, kommt bei mir eigentlich kaum was durch.

ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

Re: Spamassassin und V|@gr@

Post by ffl » 2004-01-15 08:22

Ich hab grad gesehen, dass es offensichtlich ein ganz blöder Fehler ist: Irgendwie hab ich meine Config verstellt, dass er nicht mehr ***** SPAM ***** vors Subject stellt. Wo stand das nochmal?
D.h. es werden doch noch mehr Mails als Spam erkannt als ich dachte.
Aber das mit dem Habeas-Kram scheint auch zu stimmen. Abhilfe dagegen?

Code: Select all

Return-path: <HSteele@paidforsurf.com>
Envelope-to: meineaddi@ice.xm1.de
Delivery-date: Thu, 15 Jan 2004 07:01:21 +0100
Received: from localhost ([127.0.0.1])
     by ice.xm1.de with esmtp (Exim 4.24)
     id 1Ah0ZF-0002DF-2N
     for meineaddi@ice.xm1.de; Thu, 15 Jan 2004 07:01:21 +0100
Received: from localhost
     by localhost (AvMailGate-2.0.1.10) id 08504-06B6E95F;
     Thu, 15 Jan 2004 07:01:20 +0100
Received: from ff-newmedia.net [217.160.167.169]
     by localhost with POP3 (fetchmail-6.2.5)
     for meineaddi@ice.xm1.de (single-drop); Thu, 15 Jan 2004 07:01:20 +0100 (CET)
Received: from mx01.ispgateway.de (mx01.ispgateway.de [62.67.200.150])
     by pluto.ff-newmedia.net (8.12.3/8.12.3/Debian-6.6) with ESMTP id i0F60PfN032547
     for <meineaddi@fpost.de>; Thu, 15 Jan 2004 07:00:33 +0100
Received: (qmail 13089 invoked from network); 15 Jan 2004 06:00:25 -0000
Received: from unknown (HELO dialup-67.74.132.171.dial1.houston1.level3.net) ([67.74.132.171])
     (envelope-sender <HSteele@paidforsurf.com>)
     by mx01.ispgateway.de (qmail-ldap-1.03) with SMTP
     for <meineaddi@fpost.de>; 15 Jan 2004 06:00:23 -0000
Received: from 27.8.172.57 by 67.74.132.171; Wed, 14 Jan 2004 19:55:18 +0200
Message-ID: <RFGJLQNFBYYLRNCJQVZTHNOD@ido.net>
X-Habeas-SWE-1: winter into spring
X-Habeas-SWE-2: brightly anticipated
X-Habeas-SWE-3: like Habeas SWE (tm)
X-Habeas-SWE-4: Copyright 2002 Habeas (tm)
X-Habeas-SWE-5: Sender Warranted Email (SWE) (tm). The sender of this
X-Habeas-SWE-6: email in exchange for a license for this Habeas
X-Habeas-SWE-7: warrant mark warrants that this is a Habeas Compliant
X-Habeas-SWE-8: Message (HCM) and not spam. Please report use of this
X-Habeas-SWE-9: mark in spam to <http://www.habeas.com/report/>.
From: "Sybil Randall" <HSteele@paidforsurf.com>
Reply-To: "Sybil Randall" <HSteele@paidforsurf.com>
To: meineaddi@fpost.de
Subject: GOT Viagr@,Valï(u)m, X(a)n@x, Som@ Di3t Pills Many M3ds gf9TXoUL6 
Date: Wed, 14 Jan 2004 14:53:18 -0300
X-Mailer: JBH Msender v 1.0
MIME-Version: 1.0
Content-Type: multipart/alternative;
     boundary="--2360193640390963589"
X-Priority: 5
X-Spam-Checker-Version: SpamAssassin 2.61 (1.212.2.1-2003-12-09-exp) on 
     pluto.ff-newmedia.net
X-Spam-Level: 
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.10; AVE: 6.23.0.2; VDF: 6.23.0.31; host: ice.xm1.de)
X-Scan-Signature: ef584754b72e92168fa98aac7e7d28d1
Shit ey ;)

ff

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spamassassin und V|@gr@

Post by dodolin » 2004-01-15 11:31

Aber das mit dem Habeas-Kram scheint auch zu stimmen. Abhilfe dagegen?
Sag ich doch! ;)

Man könnte den Score für diese Habeas-Tests erhöhen. Zum Rest kann ich eigentlich nur noch raten, in diverse Foren und Newsgruppen zu schauen, weil mir das Thema Habeas inzwischen zum Hals raushängt. Schau dir halt deren Webseite an, wenn du willst, reporte den Abuse und gut ist.

velo
Posts: 111
Joined: 2003-01-11 02:51

Re: Spamassassin und V|@gr@

Post by velo » 2004-01-20 03:26

Klasse Programm! Habs eingebaut und es klappt prima.

Jetzt muss ich nur noch einige Grundregeln eintippen. Habt Ihre vielleicht schon ein paar, dann können wir ja welche austauschen ;-)