[Users-discuss] Ein paar Fragen zu Spamfiltern bei mur.at

Ursula [K] urs at mur.at
Fr Dez 24 05:35:10 CET 2021 

Danke, Friedrich, dass du dieses Problem ansprichst - bei mir sind 8 von 10 mails derartige spams, echt öd - wär schön wenn murwas dagegen machen könnte!
Frohe Feiertage!
Ursula

> Am 23.12.2021 um 23:12 schrieb Friedrich Tietjen <ft at mur.at>:
> 
>   Allseits einen guten Tag,
> ich benutze Horde, um mir meine Mails anzuschauen, und ungefähr seit Mitte Oktober bekomme ich größere Mengen an Potenzmittelspam, der über die IPs eines Betreibers (FranTech Solutions) versandt wird. Zu Beginn war das ziemlich lästig, weil die Mails zuverlässig nicht herausgefiltert wurden. Weil der Spam ziemlich gleichartig war, mit längeren Wikipedia-Zitaten maskiert wurde und oft ähnliche Worte zT in Fehlschreibungen aufwies, konnte ich das relativ leicht manuell blockieren, dh gleich in den SPAM-Ordner leiten. Doch wenn ich mir die Header des bis heute weiterhin einlaufenden Spams anschaue, dann liegt der X-Spam-Score zuverlässig unter der Grenze von 4.31, bei der eine Mail als Spam eingestuft worden würde. Soll heißen: Dass die Mails nicht in der Inbox landen, liegt an meinen manuell eingerichteten Filtern und nicht am Spamfilter von mur.at (die zuweilen auch Mails erwischen, die deutlich kein Spam sind). Und beim X-Spam-Status fiel mir auf, dass der BAYES_00 durchgängig und bei allen Mails bei -1.9 liegt, sogar auch bei den Mails, die vom mur.at-Filter als Spam klassifiziert werden.* Und ich hab ein paar Fragen:
> # Liegt das Problem bei mir, dh kann ich etwas tun, um die X-Spam-Scores zu justieren?
> 
> Wenn nicht:
> # Wenn bei allen Mails BAYES_00 bei allen Mails gleichermaßen -1.9 auswirft, müssen die anderen Indikatoren schon ordentlich anschlagen, damit eine Spam-Mail auch als Spam klassifiziert wird. Lässt sich BAYES_00 nicht einfach stillegen?
> # Vor ein paar Jahren wurden die händisch in den SPAM-Folder verschobenen Mails als Training für den SpamAssassin genutzt. Ist das eigentlich immer noch so? Gibt es eine andere Möglichkeit, um die Spamerkennung nachzuschärfen? Und was bedeutet im Header "autolearn=no autolearn_force=no"?
> # FranTech scheint eher eine ziemlich finstere Hütte am digitalen Marktplatz zu sein, bekannt dafür, dass von dort aus reichlich Malware, Phishing, Spam und ähnliches verbreitet wird. Ich bilde mir ein, dass in solchen Fällen ganze IP-Blöcke als Versender blockiert werden können. Wäre das auch in diesem Fall sinnvoll?
> 
> Hat alles keine Eile, und meine händische Lösung funktioniert schon halbwegs, auch wenn sie zuweilen Ham-Mails erwischt. Aber neugierig bin ich trotzdem ...
>  Herzliche Grüße und habt angenehme Tage
>  Friedrich
> 
> 
> 
> 
> 
> * zB dieser Header einer Phishing-Mail:
> 
> X-Spam-Score: 8.41
> X-Spam-Level: ********
> X-Spam-Status: Yes, score=8.41 tagged_above=-9999 required=4.31
>    tests=[BAYES_00=-1.9, DKIM_SIGNED=0.1, DKIM_VALID=-0.1,
>    DKIM_VALID_AU=-0.1, FSL_BULK_SIG=0.001,
>    HEADER_FROM_DIFFERENT_DOMAINS=0.249, HTML_IMAGE_ONLY_04=1.172,
>    HTML_MESSAGE=0.001, HTML_SHORT_LINK_IMG_1=0.001,
>    PHP_ORIG_SCRIPT=0.587, PYZOR_CHECK=1.392, SHORTENER_SHORT_IMG=2.499,
>    SHORT_SHORTNER=1.997, TVD_SPACE_RATIO=0.001, T_REMOTE_IMAGE=0.01,
>    URIBL_DBL_ABUSE_MALW=2.5] autolearn=no autolearn_force=no
> <mime-attachment>
> _______________________________________________
> Users-discuss mailing list
> Users-discuss at lists.mur.at
> https://lists.mur.at/mailman/listinfo/users-discuss

Mehr Informationen über die Mailingliste Users-discuss