Ergebnis 1 bis 8 von 8

Thema: Was bedeutet "HK_NAME_FM_DR"?

  1. #1
    Mitglied
    Registriert seit
    18.07.2005
    Beiträge
    241

    Frage Was bedeutet "HK_NAME_FM_DR"?

    Hallo zusammen,

    im Header einer Mail, die auf meinem Server als Spam "erkannt" wurde, habe ich folgende Meldung gefunden:
    Rule: HK_NAME_FM_DR
    Description: HK_NAME_FM_DR

    Hat jemand eine Idee, was das bedeutet?
    Danke für Eure Hinweise!

    Anbei der komplette Headerausschnitt:


    header:
    01: Content analysis details: (5.3 points)
    02:
    03: pts rule name description
    04: ---- ---------------------- -------------------------------------------
    05: -0.0 RCVD_IN_DNSWL_NONE RBL: Sender listed at http://www.dnswl.org/, no
    06: trust
    07: [217.146.183.219 listed in list.dnswl.org]
    08: 0.0 FREEMAIL_FROM Sender email is commonly abused enduser mail provider
    09: (xxx[at]yahoo.de)
    10: 0.0 HTML_MESSAGE BODY: HTML included in message
    11: 1.3 RDNS_NONE Delivered to internal network by a host with no rDNS
    12: 3.0 HK_NAME_FM_DR HK_NAME_FM_DR
    13: 0.0 T_DKIM_INVALID: [ID filtered]
    14: 1.0 FREEMAIL_REPLY From and body contain different freemails
    15: Delivered-To: poor [at] spamvictim.tld
    Geändert von Fwac (14.11.2012 um 09:44 Uhr)

  2. #2
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.939

    Standard

    In meiner SA-Konfig steht dazu folgendes
    Code:
    ifplugin Mail::SpamAssassin::Plugin::FreeMail
    header          __HK_NAME_DR            From:name =~ /^DR\b/mi
    endif
    
    [...]
    
    ##{ HK_NAME_FM_DR ifplugin Mail::SpamAssassin::Plugin::FreeMail
    ifplugin Mail::SpamAssassin::Plugin::FreeMail
    meta            HK_NAME_FM_DR           __HK_NAME_DR && FREEMAIL_FROM
    endif
    ##} HK_NAME_FM_DR ifplugin Mail::SpamAssassin::Plugin::FreeMail
    Scheint also was mit einem "DR" im Namen, versendet über einen Freemailer zu sein. Das Prefix HK könnte vom Rule Maintainer stammen. Das ganze HK-Ruleset sieht mir nach 419er-Erkennung aus.
    Woher kommt denn die Mail? Gibt es einen kompletten Header?

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

  3. #3
    Mitglied
    Registriert seit
    18.07.2005
    Beiträge
    241

    Standard Header

    Klar, anbei der komplette Header (E-Mail kam von yahoo.de:


    header:
    01: Received: from [217.146.183.219] (helo=nm2.bullet.mail.ukl.yahoo.com)
    02: by dedi720.your-server.de with esmtps (TLSv1:AES256-SHA:256)
    03: (Exim 4.74)
    04: (envelope-from <xx [at] yahoo.de>)
    05: ID: [ID filtered]
    06: for poor [at] spamvictim.tld; Tue, 13 Nov 2012 xx:xx:xx +0100
    07: Received: from [217.146.183.214] by nm2.bullet.mail.ukl.yahoo.com with NNFMP;
    08: 13 Nov 2012 xx:xx:xx -0000
    09: Received: from [217.146.183.127] by tm7.bullet.mail.ukl.yahoo.com with NNFMP;
    10: 13 Nov 2012 xx:xx:xx -0000
    11: Received: from [127.0.0.1] by smtp104.mail.ukl.yahoo.com with NNFMP; 13 Nov
    12: 2012 xx:xx:xx -0000
    13: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.de; s=s1024;
    14: t=1352835267; bh=2A3VFg/bT3C4A0GoLa2/r9JUYU+wxxqEDm++R63/+Mw=;
    15: h=X-Yahoo-Newman-Id:X-Yahoo-Newman-Property:X-YMail-OSG:X-Yahoo-SMTP:Received:From:Content-Typ
    16: :Message-Id:Mime-Version:Subject:Date:References:To:In-Reply-To:X-Mailer;
    17: b=pGRktiAwseVohxaNVBO9YyJiODI6n8K8ntCLAX92d15N7nGE5uPtAbMuH9wt7jugJig+r5aDCdYwQneuN215moRAItY9
    18: wOwGemvBtA5wtFpSJRh1md8vPGmisUv8JgWJ/GCHnl2797H2Bi+fhumJ8tsWX0AXU4/RNEwm84TPak=
    19: X-Yahoo-Newman-ID: [ID filtered]
    20: X-Yahoo-Newman-Property: ymail-3
    21: X-YMail-OSG: ZEpwAn0VM1lm09.1DbxHxZDdsGA8Y6H2TtVh2Qd07PaGPLJ
    22: 9oW7Np.mLE.8XmTQXwx_766VQTmkDEPNlxy67wwqobmP4X.Nt3G9kr8F4tf0
    23: lnOd4U2hpd0_uvsIL4OLBaTZVS0Cb.JbF1_IFZiTsGealTIMgMoAWO_1kN97
    24: Zu.mcI3LYSmNKLlBfpaQC.pR0J4qCYoRwjglbxcU6.6yr9UXqwRWtZ8rOP1C
    25: f3imo5ZueYnHSGxHTmLViFMN2XrgtFJp1VF61gPi8f.fJhzEgvKgvAzSPJ.b
    26: 9XcvK.utAF_tVi3xPDSOF1fIz2kA9T8AdUMjgAZrrRW0FSbLexCYytDngVex
    27: drcl4VJt1SjUdOwmYKFyTDniwh5HSMUJtbYWo5gJ8qPhJHISZuftz0EK0A6K
    28: m3yrnYaRKEf4k.lHjpBFjPgAzwxLemLvNmwWTt9S2oeHGI_QswB_3lDaOt9W
    29: CtoEakmx4B0F__grwpTs3IKcn8GMEkgCTaqGPGgQKTbbkHK3UBPvkbF7wKoz
    30: qHMn5yV_qFZ5RkvlNgyTANKCNaXIXjlSZSmj1rlxgtIbp5rYnAsbAJGxLukE
    31: -
    32: X-Yahoo-SMTP: cYWqJgyswBAvGdmY5nEUPdRnv5Ty_rIAHe_I
    33: Received: from [192.168.0.102] (xxx [at] 109.91.144.239 with plain)
    34: by smtp104.mail.ukl.yahoo.com with SMTP; 13 Nov 2012 xx:xx:xx -0800 PST
    35: From: "XXX" <xxx [at] yahoo.de>
    36: Content-Type: multipart/signed;
    37: boundary="Apple-Mail=_735E6365-854E-4C45-948A-FCFFDD128B32";
    38: protocol="application/pkcs7-signature"; micalg=sha1
    39: Message-ID: [ID filtered]
    40: Mime-Version: 1.0 (Mac OS X Mail 6.2 \(1499\))
    41: Subject: Re: Korrektur
    42: Date: Tue, 13 Nov 2012 xx:xx:xx +0100
    43: References: <A1C559C1CCCD4E9296BE59FEE5E0F8D4 [at] XxxPC>
    44: <1352807869.78176.YahooMailNeo [at] web133204.mail.ir2.yahoo.com>
    45: <18715E22A7BB4179951FE068E7E931A0 [at] XxxPC>
    46: To: Xxx Xxx <poor [at] spamvictim.tld>
    47: In-Reply-To: <18715E22A7BB4179951FE068E7E931A0 [at] XxxPC>
    48: X-Mailer: Apple Mail (2.1499)
    49: X-Virus-Scanned: Clear (ClamAV 0.97.5/15570/Tue Nov 13 xx:xx:xx 2012)
    50: X-Spam-Score: 5.3 (+++++)
    51: X-Spam-Flag: YES
    52: X-Spam-Report: Spam detection software, running on the system
    53: "spam18.your-server.de", has
    54: identified this incoming email as possible spam. The original message
    55: has been attached to this so you can view it (if it isn't spam) or label
    56: similar future email. If you have any questions, see
    57: support [at] hetzner.de for details.
    58:
    59: Content analysis details: (5.3 points)
    60:
    61: pts rule name description
    62: ---- ---------------------- -------------------------------------------
    63: -0.0 RCVD_IN_DNSWL_NONE RBL: Sender listed at http://www.dnswl.org/, no
    64: trust
    65: [217.146.183.219 listed in list.dnswl.org]
    66: 0.0 FREEMAIL_FROM Sender email is commonly abused enduser mail provider
    67: (xxx[at]yahoo.de)
    68: 0.0 HTML_MESSAGE BODY: HTML included in message
    69: 1.3 RDNS_NONE Delivered to internal network by a host with no rDNS
    70: 3.0 HK_NAME_FM_DR HK_NAME_FM_DR
    71: 0.0 T_DKIM_INVALID: [ID filtered]
    72: 1.0 FREEMAIL_REPLY From and body contain different freemails
    73: Delivered-To: poor [at] spamvictim.tld

  4. #4
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.939

    Standard

    [X] Als 419er eingestuft.

    Das ist für Dich aber ein "regulärer" Mailkontakt, oder? Dann solltest Du diese Mailadresse whitelisten (lassen).

    Nachtrag: Hättest das "Dr." schon im Header stehen lassen können, so ist wieder unklar, warum der Filter zugeschlagen hat.

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

  5. #5
    Mitglied
    Registriert seit
    18.07.2005
    Beiträge
    241

    Standard

    Ja genau - bisher kamen die Mails auch immer durch.
    419 ist doch eigentlich die Nigeria-Connection, oder? Seltsam ...

  6. #6
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.939

    Standard

    Zitat Zitat von Fwac Beitrag anzeigen
    Ja genau - bisher kamen die Mails auch immer durch.
    Entweder wurde bei HK_NAME_FM_DR am Score geschraubt oder eine der beiden RDNS_NONE und FREEMAIL_REPLY haben nicht angeschlagen. Unter einem Score von 5 sieht man die Bewertung nur im Header, schau doch mal einfach bei den anderen Mails da rein.
    Zitat Zitat von Fwac Beitrag anzeigen
    419 ist doch eigentlich die Nigeria-Connection, oder? Seltsam ...
    ... und da mailt gerne mal ein "Dr. Mugabe Wasweisich" um Eindruck zu schinden - über einen Freemailer. Und genau diese Kombination wird hier bewertet. Gerade Yahoo bettelt um eine solche Abwertung.

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

  7. #7
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    3.0 für ein "Dr." im Absender (oder Subject) finde ich auch etwas arg viel. Egal ob Freemailer oder nicht - Ich müsste nachschauen, aber bei mir wird das (wenn) getrennt bewertet, meine ich.
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  8. #8
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.939

    Standard

    Zitat Zitat von alariel Beitrag anzeigen
    3.0 für ein "Dr." im Absender (oder Subject) finde ich auch etwas arg viel.
    Die Rule kommt direkt von den SA-Jungs, bei mir unter /var/lib/spamassassin/<version>/updates_spamassassin_org/72_active.cf. Und diese Liste wird aktiv gepflegt, denn mittlerweile heisst die Regel bei mir T_HK_NAME_FM_DR.
    Vielleicht ist da ja grade ein Spamrun mit entsprechendem Absender.

    Das Ding schlägt auch nur zu, wenn man das FreeMail-Plugin aktiviert hat.

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen