[Users-discuss] Ein paar Fragen zu Spamfiltern bei mur.at
Friedrich Tietjen
ft at mur.at
Do Dez 23 19:06:38 CET 2021
Allseits einen guten Tag,
ich benutze Horde, um mir meine Mails anzuschauen, und ungefähr seit
Mitte Oktober bekomme ich größere Mengen an Potenzmittelspam, der über
die IPs eines Betreibers (FranTech Solutions) versandt wird. Zu Beginn
war das ziemlich lästig, weil die Mails zuverlässig nicht
herausgefiltert wurden. Weil der Spam ziemlich gleichartig war, mit
längeren Wikipedia-Zitaten maskiert wurde und oft ähnliche Worte zT in
Fehlschreibungen aufwies, konnte ich das relativ leicht manuell
blockieren, dh gleich in den SPAM-Ordner leiten. Doch wenn ich mir die
Header des bis heute weiterhin einlaufenden Spams anschaue, dann liegt
der X-Spam-Score zuverlässig unter der Grenze von 4.31, bei der eine
Mail als Spam eingestuft worden würde. Soll heißen: Dass die Mails
nicht in der Inbox landen, liegt an meinen manuell eingerichteten
Filtern und nicht am Spamfilter von mur.at (die zuweilen auch Mails
erwischen, die deutlich kein Spam sind). Und beim X-Spam-Status fiel
mir auf, dass der BAYES_00 durchgängig und bei allen Mails bei -1.9
liegt, sogar auch bei den Mails, die vom mur.at-Filter als Spam
klassifiziert werden.* Und ich hab ein paar Fragen:
# Liegt das Problem bei mir, dh kann ich etwas tun, um die
X-Spam-Scores zu justieren?
Wenn nicht:
# Wenn bei allen Mails BAYES_00 bei allen Mails gleichermaßen -1.9
auswirft, müssen die anderen Indikatoren schon ordentlich anschlagen,
damit eine Spam-Mail auch als Spam klassifiziert wird. Lässt sich
BAYES_00 nicht einfach stillegen?
# Vor ein paar Jahren wurden die händisch in den SPAM-Folder
verschobenen Mails als Training für den SpamAssassin genutzt. Ist das
eigentlich immer noch so? Gibt es eine andere Möglichkeit, um die
Spamerkennung nachzuschärfen? Und was bedeutet im Header "autolearn=no
autolearn_force=no"?
# FranTech scheint eher eine ziemlich finstere Hütte am digitalen
Marktplatz zu sein, bekannt dafür, dass von dort aus reichlich
Malware, Phishing, Spam und ähnliches verbreitet wird. Ich bilde mir
ein, dass in solchen Fällen ganze IP-Blöcke als Versender blockiert
werden können. Wäre das auch in diesem Fall sinnvoll?
Hat alles keine Eile, und meine händische Lösung funktioniert schon
halbwegs, auch wenn sie zuweilen Ham-Mails erwischt. Aber neugierig
bin ich trotzdem ...
Herzliche Grüße und habt angenehme Tage
Friedrich
* zB dieser Header einer Phishing-Mail:
X-Spam-Score: 8.41
X-Spam-Level: ********
X-Spam-Status: Yes, score=8.41 tagged_above=-9999 required=4.31
tests=[BAYES_00=-1.9, DKIM_SIGNED=0.1, DKIM_VALID=-0.1,
DKIM_VALID_AU=-0.1, FSL_BULK_SIG=0.001,
HEADER_FROM_DIFFERENT_DOMAINS=0.249, HTML_IMAGE_ONLY_04=1.172,
HTML_MESSAGE=0.001, HTML_SHORT_LINK_IMG_1=0.001,
PHP_ORIG_SCRIPT=0.587, PYZOR_CHECK=1.392, SHORTENER_SHORT_IMG=2.499,
SHORT_SHORTNER=1.997, TVD_SPACE_RATIO=0.001, T_REMOTE_IMAGE=0.01,
URIBL_DBL_ABUSE_MALW=2.5] autolearn=no autolearn_force=no
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-keys
Size: 1645 bytes
Desc: PGP Public Key
URL: <https://lists.mur.at/pipermail/users-discuss/attachments/20211223/39886548/attachment.key>
Mehr Informationen über die Mailingliste Users-discuss