28.07.2025
300
7
0Analyse zur Spam-Einstufung durch Precise Mail Anti-Spam
Moin Kollegen.
Unser GF war doch sehr verwundert darüber, dass seine Mail beim Zielmailserver als Spam abgewiesen wurde und bittet mich, das zu analysieren. Einiges ist mir anhand der Mail sofort klar, anderes ganz und gar nicht nicht, deshalb suche ich nach Doku zu genanntem System und finde auf der Herstellerseite kaum etwas Brauchbares. Es geht um folgende Spamindikatoren:
Hat jemand da Einblick?
Unser GF war doch sehr verwundert darüber, dass seine Mail beim Zielmailserver als Spam abgewiesen wurde und bittet mich, das zu analysieren. Einiges ist mir anhand der Mail sofort klar, anderes ganz und gar nicht nicht, deshalb suche ich nach Doku zu genanntem System und finde auf der Herstellerseite kaum etwas Brauchbares. Es geht um folgende Spamindikatoren:
X-PMAS-HDR-TO_ADDRESS_EQ_REAL: To: repeats address as real name (0.411)
X-PMAS-HDR-EXTRA_MPART_TYPE: Message with extraneous Content-type:...type=header (0.418)
X-PMAS-URI-RANDOM_CODE_URI: Message has URL that ends in a long alphameric string (1.500)
X-PMAS-BDY-SPIEL_RUBY_2: Body contains ruby (0.500)
X-PMAS-BDY-MAILTO_LINK: Includes a URL link to send an email (0.100)
X-PMAS-BDY-TOO_LONG_WORDS: Contains a "word" longer than 28 letters (1.000)
X-PMAS-META-GERMAN_SPAM_1: German spam (1) (1.200)
X-PMAS-META-IMAGE_ATTACHED: Embedded HTML image is attached (2.000)
X-PMAS-Software: PreciseMail V3.3 [250721] (smtp.hbla-blub.de)
X-PMAS-Final-Score: 7.129Hat jemand da Einblick?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 674038
Url: https://administrator.de/forum/precise-mail-spam-analyse-674038.html
Ausgedruckt am: 28.07.2025 um 14:07 Uhr
7 Kommentare
Neuester Kommentar
Und welcher von den Headern ist dir jetzt genau nicht ganz klar? Mein Kaffee ist noch nicht ganz durch 😉
Bsp.: "user@domain.tld <user@domain.tld>"
X-PMAS-HDR-TO_ADDRESS_EQ_REAL: To: repeats address as real name (0.411)
E-Mail Adresse wird auch als realer Name bei der Angabe im TO-Header genutztBsp.: "user@domain.tld <user@domain.tld>"
X-PMAS-HDR-EXTRA_MPART_TYPE: Message with extraneous Content-type:...type=header (0.418)
Multipart Message Mailpart mit doppeltem Content-Type Header.X-PMAS-URI-RANDOM_CODE_URI: Message has URL that ends in a long alphameric string (1.500)
Nachricht enthält eine URL mit sehr langem Text am Ende.X-PMAS-BDY-SPIEL_RUBY_2: Body contains ruby (0.500)
Mail-Inhalt enthält wohl erkannten Ruby-Quelltext (absichtlich oder unabsichtlich)X-PMAS-BDY-MAILTO_LINK: Includes a URL link to send an email (0.100)
Mail enthält einen "mailto:" LinkX-PMAS-BDY-TOO_LONG_WORDS: Contains a "word" longer than 28 letters (1.000)
Mail-Inhalt enthält Wörter die länger sind als 28 BuchstabenX-PMAS-META-GERMAN_SPAM_1: German spam (1) (1.200)
Typischer Inhalt für deutsche Spam Nachrichten (was auch immer das bei denen heißt und womit die Engine trainiert wurde wird sie dir wohl nicht verraten, Trial &Error angesagt, am besten so wenig Extras wie möglich nutzen und ausschließlich Plaintext nehmen).X-PMAS-META-IMAGE_ATTACHED: Embedded HTML image is attached (2.000)
Eingebettetes Bild (z.B. Bild base64 enkodiert im src Tag)1
Hallo,
naja ich glaub da wirst du nicht allzuviel Chancen haben, du kannst dich in Wahrheit eigentlich eh nur auf die Sachen stürzen die einen Score > 1 erzeugen, wobei ich
schon mal sehr amüsant finde....
Ich würde mal die gleiche Mail in reinem Textformat drüberjagen und schaun was dann passiert,
die Software schaut mir nämlich nicht gerade "neu" aus.
grüße
naja ich glaub da wirst du nicht allzuviel Chancen haben, du kannst dich in Wahrheit eigentlich eh nur auf die Sachen stürzen die einen Score > 1 erzeugen, wobei ich
X-PMAS-META-GERMAN_SPAM_1: German spam (1) (1.200)Ich würde mal die gleiche Mail in reinem Textformat drüberjagen und schaun was dann passiert,
die Software schaut mir nämlich nicht gerade "neu" aus.
grüße
Zitat von @BiberMan:
Und welcher von den Headern ist dir jetzt genau nicht ganz klar? Mein Kaffee ist noch nicht ganz durch 😉
Das ist hier nicht der Fall.Und welcher von den Headern ist dir jetzt genau nicht ganz klar? Mein Kaffee ist noch nicht ganz durch 😉
X-PMAS-HDR-TO_ADDRESS_EQ_REAL: To: repeats address as real name (0.411)
E-Mail Adresse wird auch als realer Name bei der Angabe im TO-Header genutztX-PMAS-HDR-EXTRA_MPART_TYPE: Message with extraneous Content-type:...type=header (0.418)
Multipart Message Mailpart mit doppeltem Content-Type Header.X-PMAS-URI-RANDOM_CODE_URI: Message has URL that ends in a long alphameric string (1.500)
Nachricht enthält eine URL mit sehr langem Text am Ende.X-PMAS-BDY-SPIEL_RUBY_2: Body contains ruby (0.500)
Mail-Inhalt enthält wohl erkannten Ruby-Quelltext (absichtlich oder unabsichtlich)X-PMAS-BDY-MAILTO_LINK: Includes a URL link to send an email (0.100)
Mail enthält einen "mailto:" LinkX-PMAS-BDY-TOO_LONG_WORDS: Contains a "word" longer than 28 letters (1.000)
Mail-Inhalt enthält Wörter die länger sind als 28 BuchstabenX-PMAS-META-GERMAN_SPAM_1: German spam (1) (1.200)
Typischer Inhalt für deutsche Spam Nachrichten (was auch immer das bei denen heißt und womit die Engine trainiert wurde wird sie dir wohl nicht verraten, Trial &Error angesagt, am besten so wenig Extras wie möglich nutzen und ausschließlich Plaintext nehmen).X-PMAS-META-IMAGE_ATTACHED: Embedded HTML image is attached (2.000)
Eingebettetes Bild (z.B. Bild base64 enkodiert im src Tag)
Also wenn man sich die Seite des Herstellers ein wenig genauer ansieht, kommen 2 Technologien zum Einsatz, die ohne menschliches Zutun ( False / Positive ) sich nicht ändern werden,
Ich würd sagen, einfach wirds sein ein Whitelisting zu erbitten.
grüße
Heuristics
Bayesian Artificial Intelligence
https://www.process.com/products/pmas/pmas_technical_overview.htmlIch würd sagen, einfach wirds sein ein Whitelisting zu erbitten.
grüße
nicht bewusst, woran erkenne ich ruby?
ruby-lang.org/de/documentation/
Eingebettetes Bild (z.B. Bild base64 enkodiert im src Tag)
Ist klar und gewollt
Ok, wie in den Antworten beschrieben sind da gleich 5 Rubriken, die 3,83 Punkte beisteuern:
X-PMAS-HDR-TO_ADDRESS_EQ_REAL
X-PMAS-HDR-EXTRA_MPART_TYPE
X-PMAS-URI-RANDOM_CODE_URI
X-PMAS-BDY-SPIEL_RUBY_2
X-PMAS-BDY-TOO_LONG_WORDS
deren Bewertung nach meiner Einschätzung verkehrt ist. Ich suche lediglich nach Doku zu diesen, um sicher zu gehen, dass wir wirklich nichts daran ändern können.
Klar, whitelisten ist ein Weg, aber es soll ja in Zukunft möglichst nicht mehr vorkommen und deshalb die Analsyse.
PS: nein, da ist auch nichts drin, was nach Code aussieht, ob nun ruby, oder sonstwas.
X-PMAS-HDR-TO_ADDRESS_EQ_REAL
X-PMAS-HDR-EXTRA_MPART_TYPE
X-PMAS-URI-RANDOM_CODE_URI
X-PMAS-BDY-SPIEL_RUBY_2
X-PMAS-BDY-TOO_LONG_WORDS
deren Bewertung nach meiner Einschätzung verkehrt ist. Ich suche lediglich nach Doku zu diesen, um sicher zu gehen, dass wir wirklich nichts daran ändern können.
Klar, whitelisten ist ein Weg, aber es soll ja in Zukunft möglichst nicht mehr vorkommen und deshalb die Analsyse.
PS: nein, da ist auch nichts drin, was nach Code aussieht, ob nun ruby, oder sonstwas.
Tja, wenn's so ne detaillierte Doku öffentlich gäbe wäre es für die Spammer ein leichtes passende Mails zu verfassen die zuverlässig durch die Filter durchrutschen .
Des weiteren lässt sich die Aggressivität des Filters bei diesem System auch von den Anwendern individuell anpassen
process.com/products/pmas/pmas_technical_overview.html
Kannst es ja mal beim Support von Process probieren, glaube aber ehrlich gesagt nicht das das was bringt, aber wer weiß.
Des weiteren lässt sich die Aggressivität des Filters bei diesem System auch von den Anwendern individuell anpassen
process.com/products/pmas/pmas_technical_overview.html
Kannst es ja mal beim Support von Process probieren, glaube aber ehrlich gesagt nicht das das was bringt, aber wer weiß.
