[Users-discuss] Ein paar Fragen zu Spamfiltern bei mur.at

Friedrich Tietjen ft at mur.at
Do Dez 23 19:06:38 CET 2021 

   Allseits einen guten Tag,
ich benutze Horde, um mir meine Mails anzuschauen, und ungefähr seit  
Mitte Oktober bekomme ich größere Mengen an Potenzmittelspam, der über  
die IPs eines Betreibers (FranTech Solutions) versandt wird. Zu Beginn  
war das ziemlich lästig, weil die Mails zuverlässig nicht  
herausgefiltert wurden. Weil der Spam ziemlich gleichartig war, mit  
längeren Wikipedia-Zitaten maskiert wurde und oft ähnliche Worte zT in  
Fehlschreibungen aufwies, konnte ich das relativ leicht manuell  
blockieren, dh gleich in den SPAM-Ordner leiten. Doch wenn ich mir die  
Header des bis heute weiterhin einlaufenden Spams anschaue, dann liegt  
der X-Spam-Score zuverlässig unter der Grenze von 4.31, bei der eine  
Mail als Spam eingestuft worden würde. Soll heißen: Dass die Mails  
nicht in der Inbox landen, liegt an meinen manuell eingerichteten  
Filtern und nicht am Spamfilter von mur.at (die zuweilen auch Mails  
erwischen, die deutlich kein Spam sind). Und beim X-Spam-Status fiel  
mir auf, dass der BAYES_00 durchgängig und bei allen Mails bei -1.9  
liegt, sogar auch bei den Mails, die vom mur.at-Filter als Spam  
klassifiziert werden.* Und ich hab ein paar Fragen:
# Liegt das Problem bei mir, dh kann ich etwas tun, um die  
X-Spam-Scores zu justieren?

Wenn nicht:
# Wenn bei allen Mails BAYES_00 bei allen Mails gleichermaßen -1.9  
auswirft, müssen die anderen Indikatoren schon ordentlich anschlagen,  
damit eine Spam-Mail auch als Spam klassifiziert wird. Lässt sich  
BAYES_00 nicht einfach stillegen?
# Vor ein paar Jahren wurden die händisch in den SPAM-Folder  
verschobenen Mails als Training für den SpamAssassin genutzt. Ist das  
eigentlich immer noch so? Gibt es eine andere Möglichkeit, um die  
Spamerkennung nachzuschärfen? Und was bedeutet im Header "autolearn=no  
autolearn_force=no"?
# FranTech scheint eher eine ziemlich finstere Hütte am digitalen  
Marktplatz zu sein, bekannt dafür, dass von dort aus reichlich  
Malware, Phishing, Spam und ähnliches verbreitet wird. Ich bilde mir  
ein, dass in solchen Fällen ganze IP-Blöcke als Versender blockiert  
werden können. Wäre das auch in diesem Fall sinnvoll?

Hat alles keine Eile, und meine händische Lösung funktioniert schon  
halbwegs, auch wenn sie zuweilen Ham-Mails erwischt. Aber neugierig  
bin ich trotzdem ...
   Herzliche Grüße und habt angenehme Tage
   Friedrich





* zB dieser Header einer Phishing-Mail:

X-Spam-Score: 8.41
X-Spam-Level: ********
X-Spam-Status: Yes, score=8.41 tagged_above=-9999 required=4.31
	tests=[BAYES_00=-1.9, DKIM_SIGNED=0.1, DKIM_VALID=-0.1,
	DKIM_VALID_AU=-0.1, FSL_BULK_SIG=0.001,
	HEADER_FROM_DIFFERENT_DOMAINS=0.249, HTML_IMAGE_ONLY_04=1.172,
	HTML_MESSAGE=0.001, HTML_SHORT_LINK_IMG_1=0.001,
	PHP_ORIG_SCRIPT=0.587, PYZOR_CHECK=1.392, SHORTENER_SHORT_IMG=2.499,
	SHORT_SHORTNER=1.997, TVD_SPACE_RATIO=0.001, T_REMOTE_IMAGE=0.01,
	URIBL_DBL_ABUSE_MALW=2.5] autolearn=no autolearn_force=no
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-keys
Size: 1645 bytes
Desc: PGP Public Key
URL: <https://lists.mur.at/pipermail/users-discuss/attachments/20211223/39886548/attachment.key>

Mehr Informationen über die Mailingliste Users-discuss