Update- Der -vermeintliche- Grund für Spam-Assassins derzeitige Ohnmacht gegenüber Rechnungs-Spam

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

16.12.2015, aktualisiert 18.12.2015, 6861 Aufrufe, 8 Kommentare, 1 Danke

-Update ->Es sieht so aus, als wäre hier ein Konfigurationsfehler die Ursache, und nicht Spamassassin. Tipp somit wertlos :-| face-plain

Moin.

Zur Zeit kommt täglich pro Mann eine teilweise zweistellige Anzahl an Mails mit Rechnungen, die Viren enthalten oder solche downloaden wollen. Dies geht schon seit einiger Zeit, aber unser Spam-Assassin kommt irgendwie nicht wirklich nach, trotz Trainings der Filter.
Heute fiel dem zuständigen Kollegen dann auf, woran das liegt: sämtliche Mails dieser Art haben einen Base64-codierten Body, welchen Spam-Assassin schlicht nicht auswerten kann - zumindest derzeit noch. Man darf hoffen, dass er es bald lernt, denn die Mailprogramme können es ja auch lesen.
Mitglied: LordGurke
17.12.2015, aktualisiert um 13:21 Uhr
Kann ich so nicht bestätigen:


Das ist nur aussortiert worden, weil der GTUBE-Teststring im Mailbody enthalten ist. Und das kann Spamassassin nur herausgefunden haben, indem es in den Base64-Body hineingeschaut hat ;-) face-wink

Ich habe das zur Sicherheit auch mal mit einem älteren Spamassassin getestet - aber selbst mit dem, der unter Debian Squeeze dabei ist wurde das erkannt.
Bitte warten ..
Mitglied: opalka
17.12.2015 um 14:39 Uhr
Hallo,

wollte gerade diesbezüglich eine Frage stellen, da ich bisher weder hier noch im Internet etwas gefunden habe (oder falsch gesucht ;-) face-wink). Vor unserem Exchange 2013 ist ein Debian mit Postfix, Spamassins und Clamav vorgeschaltet. Bisher hat die Kiste immer alle "Rechnungen" und "Zahlungsaufforderungen" usw. wunderbar rausgefiltert. Seit ca. 2 Wochen bekomme ich aber von Exchange einen Haufen "Unzustellbar Nachrichten" das angeblich die Nachricht nicht weitergeleitet wird, da in der zip ein JS/Swabfex.E Virus/Trojaner gefunden wurde. Nur leider landen diese Mails trotzdem in die entsprechenden Postfächer.

Hat jemand ne Lösung, wie ich die Einsortierung in die Postfächer verhindern kann?

Gruß Opalka
Bitte warten ..
Mitglied: DerWoWusste
17.12.2015 um 14:45 Uhr
Interessant. Ich gehe schwer davon aus, dass wir den neuesten haben, den es für unsere Linuxvariante gibt. Ich geb' das mal weiter, danke.
Bitte warten ..
Mitglied: opalka
17.12.2015 um 14:46 Uhr
Das ist übrigens ein Header so einer Nachricht:


Bitte warten ..
Mitglied: LordGurke
17.12.2015 um 15:06 Uhr
Noja, Spamassassin hat sie als SPAM eingestuft und sogar sehr ordentlich Punkte dafür gegeben - da ist wohl die beste Strategie, entweder die Mail ab einem gewissen "Kill-Score" bereits am Eingang abzulehnen oder dann wenigstens getaggete Mails in die entsprechenden SPAM-Ordner zu verschieben.
Bitte warten ..
Mitglied: tikayevent
17.12.2015 um 19:24 Uhr
Spamassassin kann bei mir auch nichts bewirken. Das meiste wird über verbotene Anhänge (exe, js und eventuelle Doppelendungen) und den Virenschutz entsorgt. Das meiste filtert der kostenlose Sophos für Linux aus. Teilweise sind aber auch sehr komische Anhangskombinationen dabei. Heute war es eine .pdf.js

doc-Dateien weg zu filtern wäre zwar möglich, würde aber sehr schnell zu einem Aufstand führen. Daher muss ich mich hier leider auf meine drei Virenscanner verlassen (ClamAV erkennt aber grundsätzlich nichts).
Bitte warten ..
Mitglied: LordGurke
17.12.2015 um 19:51 Uhr
Was hier bisher sehr gut gewirkt hat war die Kombination aus:

  • SPF- und DMARC-Check mit SpamAssassin / Amavis
  • Server mit inkonsistenten PTRs direkt verjagen

Insbesondere die SPF- und DMARC-Checks haben die beiden Wellen von @dertour.de und @bergmann-soehne.de sehr zuverlässig zurückgehalten.
Und DMARC sollte man sowieso prüfen um die ganzen schlecht gemachten eBay- und Paypal-Phishing-Mails direkt zu verweigern.
Bitte warten ..
Mitglied: DerWoWusste
18.12.2015, aktualisiert um 19:10 Uhr
Ich kann mittlerweile weitergeben, dass LordGurke Recht hat und somit mein Tipp recht wertlos ist.
Mein Kollege hat einen Konfigurationsfehler eingeräumt (den er nun finden und beheben will), denn geblacklistete, base-64-codierte Teststrings werden nicht wie bei LordGurke erkannt.
Vielen Dank für den Hinweis.
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit10 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Windows 10
Netzwerkzugriff intern extern blockiert nach Aufbau NordVPN Verbindung
gelöst Slavik-10Vor 1 TagFrageWindows 1030 Kommentare

hallo Leute, ich habe mir vor kurzem ein VPN Anbieter bestellt. Das Problem an der ganzen Sache ist, sobald eine VPN Verbindung zu einem ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 1 TagFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Netzwerkgrundlagen
Router für neues Heimnetzwerk - was will man 2021 haben?
billy01Vor 1 TagFrageNetzwerkgrundlagen7 Kommentare

Guten Abend zusammen, nachdem sich bei mir viel getan hat, stehe ich nun vor einem Umzug und dem Neuaufbau meines Heimnetzwerkes. Also weg von ...

Windows Server
Kein Internetzugriff bei einem Domänenclient
KerberoVor 1 TagFrageWindows Server15 Kommentare

Hallo community, ich habe ein ganz komisches Verhalten eines Clients bei mir. Ich habe eine kleine Domäne (6 Clients und ein Windows Server 2016 ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 18 StundenFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 15 StundenFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 18 StundenFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...