PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Was bedeutet "HK_NAME_FM_DR"?



Fwac
14.11.2012, 09:30
Hallo zusammen,

im Header einer Mail, die auf meinem Server als Spam "erkannt" wurde, habe ich folgende Meldung gefunden:
Rule: HK_NAME_FM_DR
Description: HK_NAME_FM_DR

Hat jemand eine Idee, was das bedeutet?
Danke für Eure Hinweise!

Anbei der komplette Headerausschnitt:

Content analysis details: (5.3 points)

pts rule name description
---- ---------------------- -------------------------------------------
-0.0 RCVD_IN_DNSWL_NONE RBL: Sender listed at http://www.dnswl.org/, no
trust
[217.146.183.219 listed in list.dnswl.org]
0.0 FREEMAIL_FROM Sender email is commonly abused enduser mail provider
(xxx[at]yahoo.de)
0.0 HTML_MESSAGE BODY: HTML included in message
1.3 RDNS_NONE Delivered to internal network by a host with no rDNS
3.0 HK_NAME_FM_DR HK_NAME_FM_DR
0.0 T_DKIM_INVALID: [ID filtered]
1.0 FREEMAIL_REPLY From and body contain different freemails
Delivered-To: poor [at] spamvictim.tld

homer
14.11.2012, 09:40
In meiner SA-Konfig steht dazu folgendes


ifplugin Mail::SpamAssassin::Plugin::FreeMail
header __HK_NAME_DR From:name =~ /^DR\b/mi
endif

[...]

##{ HK_NAME_FM_DR ifplugin Mail::SpamAssassin::Plugin::FreeMail
ifplugin Mail::SpamAssassin::Plugin::FreeMail
meta HK_NAME_FM_DR __HK_NAME_DR && FREEMAIL_FROM
endif
##} HK_NAME_FM_DR ifplugin Mail::SpamAssassin::Plugin::FreeMail

Scheint also was mit einem "DR" im Namen, versendet über einen Freemailer zu sein. Das Prefix HK könnte vom Rule Maintainer stammen. Das ganze HK-Ruleset sieht mir nach 419er-Erkennung aus.
Woher kommt denn die Mail? Gibt es einen kompletten Header?

Fwac
14.11.2012, 09:43
Klar, anbei der komplette Header (E-Mail kam von yahoo.de:

Received: from [217.146.183.219] (helo=nm2.bullet.mail.ukl.yahoo.com)
by dedi720.your-server.de with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.74)
(envelope-from <xx [at] yahoo.de>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Tue, 13 Nov 2012 xx:xx:xx +0100
Received: from [217.146.183.214] by nm2.bullet.mail.ukl.yahoo.com with NNFMP; 13 Nov 2012 xx:xx:xx -0000
Received: from [217.146.183.127] by tm7.bullet.mail.ukl.yahoo.com with NNFMP; 13 Nov 2012 xx:xx:xx -0000
Received: from [127.0.0.1] by smtp104.mail.ukl.yahoo.com with NNFMP; 13 Nov 2012 xx:xx:xx -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.de; s=s1024; t=1352835267; bh=2A3VFg/bT3C4A0GoLa2/r9JUYU+wxxqEDm++R63/+Mw=; h=X-Yahoo-Newman-Id:X-Yahoo-Newman-Property:X-YMail-OSG:X-Yahoo-SMTP:Received:From:Content-Type:Message-Id:Mime-Version:Subject:Date:References:To:In-Reply-To:X-Mailer; b=pGRktiAwseVohxaNVBO9YyJiODI6n8K8ntCLAX92d15N7nGE5uPtAbMuH9wt7jugJig+r5aDCdYwQn euN215moRAItY9RwOwGemvBtA5wtFpSJRh1md8vPGmisUv8JgWJ/GCHnl2797H2Bi+fhumJ8tsWX0AXU4/RNEwm84TPak=
X-Yahoo-Newman-ID: [ID filtered]
X-Yahoo-Newman-Property: ymail-3
X-YMail-OSG: ZEpwAn0VM1lm09.1DbxHxZDdsGA8Y6H2TtVh2Qd07PaGPLJ
9oW7Np.mLE.8XmTQXwx_766VQTmkDEPNlxy67wwqobmP4X.Nt3G9kr8F4tf0
lnOd4U2hpd0_uvsIL4OLBaTZVS0Cb.JbF1_IFZiTsGealTIMgMoAWO_1kN97
Zu.mcI3LYSmNKLlBfpaQC.pR0J4qCYoRwjglbxcU6.6yr9UXqwRWtZ8rOP1C
f3imo5ZueYnHSGxHTmLViFMN2XrgtFJp1VF61gPi8f.fJhzEgvKgvAzSPJ.b
9XcvK.utAF_tVi3xPDSOF1fIz2kA9T8AdUMjgAZrrRW0FSbLexCYytDngVex
drcl4VJt1SjUdOwmYKFyTDniwh5HSMUJtbYWo5gJ8qPhJHISZuftz0EK0A6K
m3yrnYaRKEf4k.lHjpBFjPgAzwxLemLvNmwWTt9S2oeHGI_QswB_3lDaOt9W
CtoEakmx4B0F__grwpTs3IKcn8GMEkgCTaqGPGgQKTbbkHK3UBPvkbF7wKoz
qHMn5yV_qFZ5RkvlNgyTANKCNaXIXjlSZSmj1rlxgtIbp5rYnAsbAJGxLukE
-
X-Yahoo-SMTP: cYWqJgyswBAvGdmY5nEUPdRnv5Ty_rIAHe_I
Received: from [192.168.0.102] (xxx [at] 109.91.144.239 with plain)
by smtp104.mail.ukl.yahoo.com with SMTP; 13 Nov 2012 xx:xx:xx -0800 PST
From: "XXX" <xxx [at] yahoo.de>
Content-Type: multipart/signed; boundary="Apple-Mail=_735E6365-854E-4C45-948A-FCFFDD128B32"; protocol="application/pkcs7-signature"; micalg=sha1
Message-ID: [ID filtered]
Mime-Version: 1.0 (Mac OS X Mail 6.2 \(1499\))
Subject: Re: Korrektur
Date: Tue, 13 Nov 2012 xx:xx:xx +0100
References: <A1C559C1CCCD4E9296BE59FEE5E0F8D4 [at] XxxPC> <1352807869.78176.YahooMailNeo [at] web133204.mail.ir2.yahoo.com> <18715E22A7BB4179951FE068E7E931A0 [at] XxxPC>
To: Xxx Xxx <poor [at] spamvictim.tld>
In-Reply-To: <18715E22A7BB4179951FE068E7E931A0 [at] XxxPC>
X-Mailer: Apple Mail (2.1499)
X-Virus-Scanned: Clear (ClamAV 0.97.5/15570/Tue Nov 13 xx:xx:xx 2012)
X-Spam-Score: 5.3 (+++++)
X-Spam-Flag: YES
X-Spam-Report: Spam detection software, running on the system "spam18.your-server.de", has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email. If you have any questions, see
support [at] hetzner.de for details.

Content analysis details: (5.3 points)

pts rule name description
---- ---------------------- -------------------------------------------
-0.0 RCVD_IN_DNSWL_NONE RBL: Sender listed at http://www.dnswl.org/, no
trust
[217.146.183.219 listed in list.dnswl.org]
0.0 FREEMAIL_FROM Sender email is commonly abused enduser mail provider
(xxx[at]yahoo.de)
0.0 HTML_MESSAGE BODY: HTML included in message
1.3 RDNS_NONE Delivered to internal network by a host with no rDNS
3.0 HK_NAME_FM_DR HK_NAME_FM_DR
0.0 T_DKIM_INVALID: [ID filtered]
1.0 FREEMAIL_REPLY From and body contain different freemails
Delivered-To: poor [at] spamvictim.tld

homer
14.11.2012, 09:47
[X] Als 419er eingestuft.

Das ist für Dich aber ein "regulärer" Mailkontakt, oder? Dann solltest Du diese Mailadresse whitelisten (lassen).

Nachtrag: Hättest das "Dr." schon im Header stehen lassen können, so ist wieder unklar, warum der Filter zugeschlagen hat.

Fwac
14.11.2012, 09:49
Ja genau - bisher kamen die Mails auch immer durch.
419 ist doch eigentlich die Nigeria-Connection, oder? Seltsam ...

homer
14.11.2012, 09:55
Ja genau - bisher kamen die Mails auch immer durch.
Entweder wurde bei HK_NAME_FM_DR am Score geschraubt oder eine der beiden RDNS_NONE und FREEMAIL_REPLY haben nicht angeschlagen. Unter einem Score von 5 sieht man die Bewertung nur im Header, schau doch mal einfach bei den anderen Mails da rein.

419 ist doch eigentlich die Nigeria-Connection, oder? Seltsam ...
... und da mailt gerne mal ein "Dr. Mugabe Wasweisich" um Eindruck zu schinden - über einen Freemailer. Und genau diese Kombination wird hier bewertet. Gerade Yahoo bettelt um eine solche Abwertung.

alariel
16.11.2012, 11:04
3.0 für ein "Dr." im Absender (oder Subject) finde ich auch etwas arg viel. Egal ob Freemailer oder nicht - Ich müsste nachschauen, aber bei mir wird das (wenn) getrennt bewertet, meine ich.

homer
16.11.2012, 11:49
3.0 für ein "Dr." im Absender (oder Subject) finde ich auch etwas arg viel.
Die Rule kommt direkt von den SA-Jungs, bei mir unter /var/lib/spamassassin/<version>/updates_spamassassin_org/72_active.cf. Und diese Liste wird aktiv gepflegt, denn mittlerweile heisst die Regel bei mir T_HK_NAME_FM_DR.
Vielleicht ist da ja grade ein Spamrun mit entsprechendem Absender.

Das Ding schlägt auch nur zu, wenn man das FreeMail-Plugin aktiviert hat.