PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Grrr - Spam-Assassin wird immer durchlässiger



Suckemdown
26.10.2003, 13:11
Okay, es ist nicht meine eigene Installation, aber mein Uni-Mail-Server mit Spam-Assassin ausgestattet, wird immer durchlässiger.
Anscheinend funktioniert die Verarschung mit asdfjlvyxcvc xyxcv doch.
Geht das anderen Spam-Filtern auch so?
Gruß,
Suckemdown
P.S.: Nicht vergessen: heute abend ist CHAT!!!

DocSnyder
31.10.2003, 12:45
Ich habe gestern ein bisschen am SpamAssassin herumgebastelt, damit er aus per Spam beworbenen URLs die IP-Adressen ermittelt und über die Listen *.blackholes.us dem jeweilige Land bzw. ISP zuteilt. Je nach Hutfarbe gibt`s dann Punkte. Damit schlägt man die Spammer mit ihren eigenen Waffen, indem die Wahl eines spamfreundlichen Hosters und die Angabe eines Links dorthin den Score nach oben treibt. Für Chinanet gibt`s z. B. vier Punkte, für Verio zweieinhalb. Länderspezifisch gibt`s z. B. für China drei Punkte. Das Fine-Tuning der Scores wird noch sehr interessant, die Spanne wird dann eher zwischen 0.5 und knapp zwei Punkten liegen.
Die Änderung wird noch ein bisschen (auch von meinen Racknachbarn (http://forum.hetzner.de/wbb2/thread.php?threadid=2023&sid=)) getestet und geht dann an die Maintainer.
Patch zu SpamAssassin 2.60-2 aus Debian Unstable: http://docsnyder.de/nospam/sa_check_blackhat_isps.patch.gz
Source-Tarball: http://docsnyder.de/nospam/spamassassin_2.60fk-2.tar.gz
Paket für Debian Woody: http://docsnyder.de/nospam/spamassassin_2.60fk-2_all.deb
dazugehöriger "spamc": http://docsnyder.de/nospam/spamc_2.60fk-2_i386.deb
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

testkeintest
31.10.2003, 15:53
@DocSnyder
Hey das ist aber mal eine nette Ergänzung! Würde fast nur noch die lexikographische Analyse der beworbenen Seiten fehlen (deren Inhalt ist ja im Gegensatz zur Spam praktisch nie obfuscated). Aber ok, tw. würde man da über eine individuelle tracking number verraten, dass die Mails ankommen.
@DickerSchwabe
War kein konkreter Vorwurf gegen die Mailadmins, aber oft wird sowas einmalig installiert und damit hat es sich.
Zu der "Sprachoption" von spamassassin, entweder Handbuch oder sich etwas unter http://www.yrex.com/spam/spamconfig.php zusammenklicken.

DickerSchwabe
31.10.2003, 19:57
Hallo Suckemdown,
Ja, mir geht es auch so.
Im Zusammenspiel mit einer (manuell erarbeiteten) Blacklist, die mittlerweile
aus ca. 100 Begriffen besteht ist es wesentlich besser.
Und natürlich whitelist mit allen Kundendomains wegen der vielen false-positives
bei einem Level von 4, der sich bei mir als einzig tauglich herausgestellt hat.
Aber in letzter Zeit kommen auch bei mir zuviele durch.
Grund ist soweit ich sehe (bin kein HTML-Freak) nicht die Verarsche mit
asdsdgdb23 sondern eher das die "frohe Botschaft" in irgendeinen Text
mit wirren, ungültigen HTML-Tags eingebaut wird bzw. einfach zwischendrin mal irgendein
weisser Text steht.
Leider ist es bei mir so, daß der Filter immer noch manuell bearbeitet werden muss,
also die false-positives erstmal zugestellt werden müssen (+Aufnahme in whitelist)
und erst dann "gespült" werden kann. Zum Glück habe ich dafür meistens Aushilfen, aber
irgendwo ist doch immer ein Stück Arbeit für mich da.
Nur so am Rande:
Ich habe mal `ne Rechnung vorgelegt:
100MA*10 Spams pro Tag*0,5min. pro Spam(ja, die lesen das wirklich, traurig!)*50EUR pro Stunde(*)
=500 min. pro Tag = ca. 8 Stunden = 400 Euro!
Falls irgendjemand sein IT-Budget mal erhöhen will.http://img.homepagemodules.de/clown.gif
(*)Bitte nicht darüber diskutieren, ist hoch war aber ein(plausibler)
Vorgabewert aus dem Controlling.

testkeintest
31.10.2003, 22:09
"wird immer durchlässiger" - kein Wunder, veraltetes Regelset. Ist leider keine Lösung zum installieren und fertig, frag mal Deine Mailadministration nach einem Update.
Lokal sind wir von 2.44 auf 2.6x umgestiegen und das sind andere Welten (die typischen Spams kriegen wieder hits von tw. über 20!). Besonders wenn man da noch razor dazunimmt (und evt. je nach Mitarbeiter nur noch deutschsprachige Mails "erlaubt").

DickerSchwabe
31.10.2003, 22:52
Ich stehe zu meinen Mailadmins! Die machen einen guten Job!
Spamassassin tut auch gute Dienste bei uns... Aber a bisserl...
Nur Deutschsprachige mail durchlassen? Bei 80% ausl. Kunden?
Und: WIE erkennst du bitte(automatisch) deutsche mails?
Grüße
[Binwohlzublödfürdiesewelt]Dicker

Archmage
01.11.2003, 22:03
@DocSnyder
Vielen Dank. Schön, dass du diesen interessanten Ansatz in Spamassasin gebracht hast.

Haase
03.11.2003, 13:09
Ehrlich gesagt versteh ich euch nicht ^^ Ich verwende jetzt schon seit langem "Spampal" mit dem RegEx-Plugin und bei mir wird wirklich keine einzige Mail falsch erkannt. (Natürlich sind alle Freunde.... auf der Whitelist)
Entweder eine Mail wird direkt von einer der DNSBLs als Spam eingestuft oder sie bekommt von RegEx genügend Punkte. Ab und zu kommt zwar so ein lustiger Knabe und mein "Porn" mit "P.orn" verfälschen zu müssen..., aber meist schlägt dann eben wieder Spamcop o.ä. an.
Ich will euch jetzt net irgendwie euren Meuchelmörder madig reden, aber anscheinend hat Spampal den guten mittlerweile doch überholt http://img.homepagemodules.de/flash.gif
just my 2 cents http://img.homepagemodules.de/wink.gif

DocSnyder
03.11.2003, 20:25
Spampal macht doch im Prinzip auch nichts anderes als SpamAssassin. Wichtig ist nur, dass man deren Regeln aktuell hält, da den Schurken immer wieder etwas Neues einfällt.
Wenn die Spammer z. B. zurzeit Sonderzeichen zwischen die Buchstaben streuen, kommen sie heute noch an den Spamfiltern vorbei, bleiben aber morgen gerade deshalb darin hängen.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

timom
25.02.2007, 16:03
hallo zusammen,

frage ich habe eine alte spam assassin version 3.0.3 von 04/2005 kenn mich ehrlich gesagt aber zuwenig damit aus...

mich nervt aber das max. 50% der Spam wirklich erkannt wird... ich hab die Treffer auf tiefen 2 eingestellt...


woran kann das liegen - das ich trotzdem von 60 Mails 59 glasklare Spam sind das Programm aber im absoluten Glücksfall 25 erkennt...

wie gesagt bin newbie aber ich möchte dagegen was tun..

danke

timo. m.

timom
26.02.2007, 19:46
hi...

nun anscheinend wurde mein Post dahin verschoben... eigentlich hab ich ja aber was anderes gefragt.....

ist es besser mir einer aktuellen Spam assassin Version zu arbeiten... ???

resp. sind die Filter Programm abhängig oder nicht ???

danke.

timo.

Spamgegner
28.02.2007, 13:20
Hallo,
Grundsätzlich ist es besser, eine möglichst aktuelle Version zu benutzen.
Oft enthalten neuere Versionen Bugfixes und verbesserte Standard-Regeln.

Wenn Spamassassin zu Durchlässig ist, solltest Du eigene Regeln in der local.cf erstellen (Für den Umgang mit RegEx findest du bei google viele Gute Tipps)
Du solltest auch die RBL-Abfragen aktivieren und entsprechende Scores setzen.

Wenn Du häufig Image-Spam bekommst, kann ich Dir noch das OCR-Plugin bzw. FuzzyOCR (ein weiter entwickeltes OCR-Plugin das weitere Filtermöglichkeiten bietet) empfehlen. (Einfach mal danach googeln)

Kleiner Nachtrag:
Wenn Du den Spamassassin-Dämon (spamd) benutzt, funktionieren die RBL-Abfragen meines Wissens nicht.
Wenn Du RBL-Abfragen machen willst, leitest Du die eintreffenden Emails direkt durch Spamassassin. Das geht mit verschiedenen Email-Clients (z.B. KMail).

x3y
01.03.2007, 08:14
Hallo,

vielleicht kann auch http://www.heise.de/ix/nixspam/ weiterhelfen.

Gruß Jan