Eure Erfahrungen Umgang Spam Mailserver

[david191186]

Eine Frage die eine KI nicht beantworten kann. Tipps und Tricks und von euch aus dem Forum sind gold wert.

Spamassassin: Nachdem was ich gelesen habe wird dieses Tool am meisten genutzt.

Rspamd: Soll auch sehr beliebt sein, gibt aber wie ich aus den Forum gelesen habe, Probleme mit Datenschutz. Da es in die Email reinschaut und gewisse Dinge speichert.

Habt ihr Erfahrungen ohne diese beiden Tools?
Könnte es ausreichen, die IP Blacklisten zu nutzen:

reject_rhsbl_helo dbl.spamhaus.org,
 reject_rhsbl_reverse_client dbl.spamhaus.org,
 reject_rhsbl_sender dbl.spamhaus.org,
 reject_rbl_client zen.spamhaus.org,

Auch wenn ich keine Erfahrungen mit Mailserver habe, bin ich der Meinung, das Spam Tools Sache des Imap Client ist. Ich habe kein Problem damit, Roundcube zu ergänzen und dort den Spam zu filtern. Ist ja nur etwas PHP arbeit. Wenn aber jemand einen anderen Mailclient nutzt, dann bringen die Maßnahmen auf Roundcube nichts. Dieses Thema ist sehr komplex, deshalb eine neuer Thread.

 

[greystone]

bin ich der Meinung, das Spam Tools Sache des Imap Client ist.

D. h. wenn Du 1000 User hast, dann willst Du 1000 verschiedene Imap Clients konfigurieren? Oder vielleicht 2000-3000, weil ja jeder vielleicht verschiedene Programme benutzt, um auf sein Postfach zu zugreifen?

Die gängige Variante ist es, das den MTA(Mail-Transport-Agent => postfix/exim/...) machen zu lassen. Ansonsten kann man mit postfix+postscreen auch schon ein bisschen was machen. @Joe User hat hier ein paar interessante Beiträge im Forum dazu. Z. B. diesen hier habe ich mir gespeichert:

https://serversupportforum.de/threads/postscreen-und-blocklisten.57830/page-2#post-379398

Ansonsten ein kleiner Hinweis: Spamhaus hat so ein paar Nutzungsbedingungen, wann es kostenfrei genutzt werden darf:

https://www.spamhaus.org/organization/dnsblusage/

(Der Beitrag ist jetzt keine Ablehnung von Spamassassin bzw. RSpamd. Spamassassin nutze ich. RSpamd nutze ich nicht und habe keine Erfahrungen damit).

 

[david191186]

D. h. wenn Du 1000 User hast, dann willst Du 1000 verschiedene Imap Clients konfigurieren? Oder vielleicht 2000-3000, weil ja jeder vielleicht verschiedene Programme benutzt, um auf sein Postfach zu zugreifen?

Deswegen sagte ich ja oben, das es nicht geht. Leider..Wenn aber alle Roundcube nutzen würden, dann ginge das

Die gängige Variante ist es, das den MTA(Mail-Transport-Agent => postfix/exim/...) machen zu lassen. Ansonsten kann man mit postfix+postscreen auch schon ein bisschen was machen. @Joe User hat hier ein paar interessante Beiträge im Forum dazu. Z. B. diesen hier habe ich mir gespeichert:

https://serversupportforum.de/threads/postscreen-und-blocklisten.57830/page-2#post-379398

Das ist ja interessant. Also Joe nutzt nur Postscreen ohne Spamassassin?
Mir wäre es auch am liebsten, auf Spamassassin und Rspamd zu verzichten.

(Der Beitrag ist jetzt keine Ablehnung von Spamassassin bzw. RSpamd. Spamassassin nutze ich. RSpamd nutze ich nicht und habe keine Erfahrungen damit).

Okay. Und nutzt du deinen Mailserver nur privat für dich, oder hast du auch Kunden darauf? Wenn es zu privat wird, musst du natürlich nicht antworten.

 

[greystone]

Okay. Und nutzt du deinen Mailserver nur privat für dich, oder hast du auch Kunden darauf? Wenn es zu privat wird, musst du natürlich nicht antworten.

Sowohl als auch. Privat nutze ich Spamassassin/Postfix/Postscreen auf einer VM.

Beruflich nutze ich ein Proxmox Mail Gateway als zentralen Eingang für E-Mails der Kunden (der hat u. a. auch Spamassassin dabei) und teilweise noch Spamexperts als zweite kommerzielle Lösung für höhere Ansprüche. Das sind aber beides Netzwerklösungen, die für Deinen Fall deutlich überdimensioniert sind. (Spamexperts geht auch für eine Domain. Weiss gar nicht wo man so etwas als Endkunde bekäme. ... Bei mir z. B. ;-) )

Das ist ja interessant. Also Joe nutzt nur Postscreen ohne Spamassassin?

Joe User ist hier der *BSD-Guru im Forum. Er hat viel geschrieben. Suche seine Posts zum Thema. Da wirst Du schon viel von seinen Empfehlungen finden. Ich meine, er schrieb mal, dass er mit seinen sorgfältigen aufgesetzten Postfix-Konfiguration mit Postscreen dabei eigentlich Null Probleme mit Spam hat.

 

[Joe User]

Moin,

mitlerweile nutze ich auch zusätzlich Spamassassin auf meinen Mailservern, allerdings nur, weil mir das ständige (neu)konfigurieren der Mailclients meiner Mitnutzer zu aufwändig geworden ist. Ich selbst bräuchte es nach wie vor nicht!

Die von mir aktuell genutzte Konfiguration ist zu 98% in meinem FreeBSD-HowTo nachzulesen:
https://www.rootservice.org/howtos/freebsd/hosting_system/ -> Mailserver

 

[Joe User]

er schrieb mal, dass er mit seinen sorgfältigen aufgesetzten Postfix-Konfiguration mit Postscreen dabei eigentlich Null Probleme mit Spam hat.

Seitdem die Spammer die KI entdeckt haben und dadurch langsamer beziehungswise seltener blacklisted werden, kommen langsam immer mehr Spams durch. Allerdings ändern Spamassassin und Co daran auch nix, da diese Tools bereits für das Blacklisten auf den Blacklists hauptverantwortlich sind.

Am Effektivsten filtert man heute mittels SPF+DKIM/DMARC+postscreen+Spamassasin/RSpamd+handgepflegte Filterrules

 

[david191186]

Erstmal danke für die tollen Ratschläge. Bei diesen ganzen Tools und Einstellungen noch eine Frage.
Wenn ihr euren Mailserver neu aufsetzen müsst, aus welchen Gründen auch immer: Macht ihr das über Snapshots und habt ihr ein bash Script geschrieben? Ich finde der Betreiber von Mailinabox hat das sehr gut gemacht, also das Bash Script. Ich denke nicht das ihr das per Hand macht?

 

[Joe User]

Software sauber neu installieren und das letzte (tägliche) Backup der Konfiguration und Nutzdaten zurückspielen, Reboot, fertig.
Ist kein Hexenwerk und bei Binary-Distros in wenigen Minuten erledigt.
Wenn man, so wie ich, die Software frisch kompiliert dann dauert es schon länger, aber selbst auf einem üblichen vServer nur eine knappe Stunde.

 

[david191186]

Seitdem die Spammer die KI entdeckt haben und dadurch langsamer beziehungswise seltener blacklisted werden, kommen langsam immer mehr Spams durch.

Wie genau meinst du das mit KI? Du meinst das Spämer ihrer Texte in der KI schreiben und dadurch seriöser klingt?

Allerdings ändern Spamassassin und Co daran auch nix, da diese Tools bereits für das Blacklisten auf den Blacklists hauptverantwortlich sind.

Ich verstehe noch nicht ganz den Unterschied. Man kann doch auch die IP Blacklisten über Postfix prüfen:

reject_rhsbl_helo dbl.spamhaus.org,
 reject_rhsbl_reverse_client dbl.spamhaus.org,
 reject_rhsbl_sender dbl.spamhaus.org,
 reject_rbl_client zen.spamhaus.org,

Die anderen Funktionen sind mir bewusst, Spamassassin und RSpamd bilden einen Score, und anhand dessen Score landet die Mail im Spam. Aber die Prüfung der Blacklisten kann doch Postfix machen, oder verstehe ich das falsch.

 

[Joe User]

Du meinst das Spämer ihrer Texte in der KI schreiben und dadurch seriöser klingt?

Ja, so ist es und damit sinkt die Erkennuungsrate von Spamassassin und Co.

Ich verstehe noch nicht ganz den Unterschied. Man kann doch auch die IP Blacklisten über Postfix prüfen:

Ja, richtig, genau das macht postscreen (und zwar effektiver als reject_*bl_*)

Einige (geprüfte) Mailserverbetreiber nutzen Tools wie Spamassassin und Co um Spam zu identifizieren und zur Weiterverarbeitung an Tools weiterzuleiten, welche dann die fraglichen IPs aus der Mail zu extrahieren und dann an die Blacklists zu melden.
Wenn Spamassassin und Co aber per KI ausgetrickst werden, werden diese IPs nicht mehr an die Blacklists gemeldet und postscreen kann nicht mehr filtern und wird dadurch ein kleines Bisschen weniger effektiv.

 

[GwenDragon]

@david191186 reject per Blocklisten von spamhaus.org ; nun ja, kommt darauf an inwieweit man glaubt, dass die Listen immer korrekt sind, hängt ab, ob der Server ein Hobby ist oder geschäftlich genutzt wird. Aber das kannst du in einem Testlauf dann im Postfix-Maillog prüfen, wann Postfix was nicht haben will und ob du dadurch Mails von wichtigen Leuten verlierst.

 

[shopuser]

mit dem KI Spam habe ich auch bemerkt seit einigen Tagen, die Mail sind sind zum Teil verschlüsselt, wodurch sich Body und Header Filter im Postfix nicht einsetzen lassen oder es sind nur dei Link zu den Malware Phishing Seiten verschlüsselt.
Des Weiteren versenden die Von saubenern Servern u.a. auch GMX und so na nützen RBL Listen nichts bzw. es werden dort ja z.B. auch keine GMX Server dort gelistet auch wenn man dei Mails bei Spamcop meldet.

Subject: =?utf-8?B?TGFueiB0ZWlsdCBEZXRhaWxzIHp1IG5ldWVyIEdlaGVpbWludmVzdGl0?=
=?utf-8?B?aW9uIC0gcG90ZW56aWVsbGUgUmVpY2h0w7xtZXIgdm9yYXVz?=
Received: from mout-xforward.gmx.net (mout-xforward.gmx.net [82.165.159.40])

<a href=3D"https://vnqzzlwuksrmjkimolxxsjmkwzypwztivqmuzqxxk((kpuxwtju=
ktmioqvzunppzksjnypttzlly((unrxiumjhxrrizmowqikzmyzkxqjhjyflskx((W**gw*sJ=
^**U(*l(D*Wv$*&j&qj@%74%69%6e%79%75%72%6c%2e%63%6f&#109;/yp3y2f4v?555gi=3D=
t840bf63k#fkghporrnadmdzarxifdoiocmrlxuwbkfaimaexvkedrelq" target=3D"_bla=
nk">Kontoeinblicke</a></p>

Betreff:​	Lanz teilt Details zu neuer Geheiminvestition - potenzielle Reichtümer voraus
Datum:​	Thu, 18 Jan 2024 13:15:44 +0000
Von:​	Charlotte Fisher <amefdzukafe3x@gmx.de>
Antwort an:​	Charlotte Fisher <amefdzukafe3x@gmx.de>

Wie geht es dir,
In einer aktuellen Sendung sprach Markus Lanz über seine neueste Geheiminvestition, die das Potenzial hat, Hunderte von Menschen in Deutschland finanziell erfolgreich zu machen
Dabei legte er Wert auf eine präzise und klare Kommunikation, ohne Sentimentalität oder sensationslüsterne Elemente
Lanz beschrieb die Investition als kreative Möglichkeit, bei der in angemessener Weise die Standards des deutschen Journalismus berücksichtigt wurden
Der Text erfüllt sowohl inhaltlich als auch stilistisch höchste Ansprüche und vermeidet dabei Formulierungen, die Dringlichkeit suggerieren oder unglaubliche Versprechungen machen
Kontoeinblicke

 

[greystone]

Der Betreff ist nicht verschlüsselt, nur kodiert. Das dekodiert postfix AFAIK vor den Checks automatisch.

Was den Rest betrifft: Ist da noch JavaScript mit drin in der Mail (für die Entschlüsselung)?

 

[david191186]

Was den Rest betrifft: Ist da noch JavaScript mit drin in der Mail (für die Entschlüsselung)?

Alle Mails mit Javascript würde ich sowieso als Spam markieren. Regex sollte doch eines der Tools können oder? Mit Regex kann man schon viel erreichen, denke ich mal.

 

[GwenDragon]

Mit Regex kann man schon viel erreichen, denke ich mal.

Au weh. Der Mythos, dass Regex gut HTML oder JS parsen kann, hält sich immer noch hartnäckig. HTML-JS-Parser sind ganz anders im Ablauf als eine PCRE-Regex-Maschine.
Na, dann viel Erfolg bei Experimenten und Testen.

 

[danton]

Was den Rest betrifft: Ist da noch JavaScript mit drin in der Mail (für die Entschlüsselung)?

Die URL oben aus der Spam-Mail ist eine tinyurl.com Adresse. Davor steht viel Blödsinn, in der dritten Zeile ist ein @-Zeichen, danach tinyurl.com mit allen Zeichen uuencodiert, dann der Zielcode, ein Fragezeichen und danach wieder viel Blödsinn. Entscheidend ist das, was zwischen dem @ und dem ? steht und das decodiert ein Browser von ganz alleine. Nach dem Fragezeichen ist vermutlich ein Tracking-Code, um zu erkennen, welches Spam-Opfer den Link angeklickt hat.

 

[david191186]

Au weh. Der Mythos, dass Regex gut HTML oder JS parsen kann, hält sich immer noch hartnäckig.

Und das aus gutem Grund. Vor ein paar Jahren hatte ich sehr viel damit erreichen können. Klar ist es nicht optimal viel solche Zwecke, aber versuchen kann man es.
2021 hatte ich es viel verwendet mit PHP IMAP, JS und HTML zu ändern. Aber klar, es ist nicht für sowas geeignet da gebe ich dir recht.
Ich glaube es gibt bei dem SoGo Client auch Regex Regeln die man gegen Spam einstellen kann. Ich benutze aber kein SoGo.

 

[d4f]

Auch wenn ich keine Erfahrungen mit Mailserver habe, bin ich der Meinung, das Spam Tools Sache des Imap Client ist.

Imho nicht Aufgabe des IMAP Clients aber Aufgabenbereich des Endanwenders sofern wir hier nicht von Firmenumfeld mit vorgegebenen Policies reden. Will heissen, die Konfiguration sollte im Email-Server erfolgen aber durch den Endanwender beeinflussbar sein
- ob aktiv
- whitelist/blacklist
- Training (falls Bayes oder andere lernfähige Filter)
- Agressivität

Sowie natürlich auch: Was soll mit der Email passieren?
- Markieren
- In Spam verschieben
- Annahme verweigern

Zur eigentlichen Frage:
Normalerweise betreibt man mehrschichtige Filter:
- zuerst einen simplen Basisfilter (postgrey, ...) welcher die Email auf Plausibilität und Blacklisting prüft
- Spamassassin mit Bayes, DKIM-Erkennung, ...
- Ggf zusätzliche Filter im Emailprogramm

 

[shopuser]

Der Betreff ist nicht verschlüsselt, nur kodiert. Das dekodiert postfix AFAIK vor den Checks automatisch.

Was den Rest betrifft: Ist da noch JavaScript mit drin in der Mail (für die Entschlüsselung)?

Aha ok also müsste ich die Spam Worte im Betreff in dekodierter form im header_check ablegen.
Gute wäre wenn man die filtereden Worten nur in Klartext ablegen müsste und der header / body check würde auch gleich dekodierte Versionen prüfen.

Im Rest der Mail ist kein JS drin.


hier ist einen neue mail mal mit dem Kompletten Quelltext:

Return-Path: <puzzrigineld3@gmx.de>
X-Original-To:  @
Delivered-To: 
Received: from mout-xforward.gmx.net (mout-xforward.gmx.net [82.165.159.13])
    by server. .de (Postfix) with ESMTPS id 82BBF402456
    for < >; Fri, 19 Jan 2024 11:51:09 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=gmx.de; s=s31663417;
    t=1705661456; x=1706266256; i=puzzrigineld3@gmx.de;
    bh=+7G0x4U2YVa9AHn1dfZAwjzQX1MEfmgeLYblLsX7kyk=;
    h=X-UI-Sender-Class:Subject:Reply-To:From:Date;
    b=PqE0jcrtnRvtYWs/E1PMrzv/mouCReAezJ49GI+UI55RSVpI2rinyfiGbRLB2cIk
     fGKT65pkV10zKt2WJNUESU7btAPWzh3M+H8nmCst3nmQzKj4R3CccAxrSRC3qylnl
     S9+Bs5Nwn7Tl5zvReamxraDvr6iUhwToSLhLwZQzgFvpt9FlavhfXU3qLla/0L2C4
     1LXgJUK5LHoBlpxWS8ZU29XMZpynGZpYQNV3HVo1t+WK5BYP8vkaZtRdkDzl69lO+
     SLnBeajqS/UU2kKiOTQ329JGuUqratUm6+tFFaKWZHdMiy2/keHso65mr3EAq2zCP
     kjruOcmPxznbV0QgIQ==
X-UI-Sender-Class: 724b4f7f-cbec-4199-ad4e-598c01a50d3a
Received: from 62.112.8.72 ([79.234.157.14]) by mail.gmx.net (mrgmx004
 [212.227.17.190]) with ESMTPSA (Nemesis) id 1MqaxO-1qnL3O21BI-00maOk; Fri, 19
 Jan 2024 11:50:56 +0100
Subject: Neueste Plattform von Elon Musk: Machen Sie sich finanziell gesund
Reply-To: Evie Martin <puzzrigineld3@gmx.de>
From: Evie Martin <puzzrigineld3@gmx.de>
Date: Fri, 19 Jan 2024 10:50:26 +0000
MessageID: <EDAEBAABEADFFDC@fetncn>
Content-Type: multipart/alternative; boundary="2083ca6195517b75d67c35bafe3b2b7cb0d4"
X-Priority: 2
X-Field: mdwxabcqximfbzvqlsffmnhpsluwos
MIME-Version: 1.0
X-SubscriberID: txlwzehlbsgzeyhwflmypdwhuyeitl
X-Mailer: AquaMail 1.19.1
Message-ID: <1M1HZo-1rO2dQ3Gag-002lGe@mail.gmx.net>
X-Provags-ID: V03:K1:GJKCaDdw1vwD6DDPSWqLYrGT7Z4qfd1ScqerYwbXxp9/fqiw6Tr
 oLLauFuozDCGHbnyqpuagRQ2ymYmj/IZcOnFZM17tUfQFtB+MwdSBpLeJ8DbyVWC2rMW5wY
 RikToSvZoFgBcI0J+figkiLjyqdPTZCMrW9w/QgkJZfF8GdXXQIJCeCEDifHMcOltRXgRQZ
 7pbKA367v8EQx+6mBwxkA==
X-Spam-Flag: YES
UI-OutboundReport: junk:10;M01:P0:x+cXIb79S7k=;Y0iU1998vER5NGLXSNVWpjgQsL42n
 85pRJ8FhlSelFYp7rHITsy1Q90VuOfqCH8Uc97ygN8mWfJeISI80nS3GLmOtHiQG62djHl+Np
 UqMRKI4MhQBpAeR4F6G1tG/g8UTFfLB0Jw9VsUSth/YFHQdNfznBHCjqgDXRbTNxkROVfnpNR
 BumRmvXrwzrtFtPgRDO96gUNB5ivChVLdnfiEyjggch8KG7ySjZp8CCgMWod7BYS5BbpPkf/M
 nfJuMWOY468ujtGb0JVC/fXXjGYvLTbyAjesb3v5BC6ryoGyQQguYTWXPAKebpsL8IvxwePHo
 StJYL54cGhv6t5hzKpjUHsqIwWzTMqm1tYw6LvcZUM9ovi1UUBs0/gCraBWkYKo/7RHnuVVap
 JLGxtdRT07+bqoazcyA7rnT4J/p01zCd+daZqigcZ69aaZUrPZJFCvch5f8jVlpnr71apHARv
 I6XhMnwGVRbBdl/PKI7AEjxJmiSzGMbAA82irZcHuhJwwcWVNmLbJCBdFSCOYmNW95GewZ5E0
 QTiyNeg3r5GQ83Xmi7k3APnOffEZinMn995NWr9VDyi0nTCcvuNauR8qu76QJca2Zv3N+ojux
 WcUzkOu+NUrvLyTdASrh/06AiPptesvgXBR6aL8BDRgLvg6RSHSH1opXIx9qyVbRW1BbRd5e3
 KSJhV56KQ9X9ySIomxn5ExHiDV76J77kAeVr+MAoi+uCOH2pGKFrhedKvmz8RaTxL/nt6VvzM
 4Tv2qL3sch+qHjRyIhVUBtzjHC2u3MA95eWq4Ze3/KaCLjfhO8PmhqDasQoYgiQwtxyOTx7z7
 0Kg6wIcDWjVV7p4FObL215AbRNcc6p5RVEslY8gZJqrW8KlMCA9lNPzgPUe7DDzt10+tYVA3z
 wQwwgLoh82MWvmCDrwBg8TCxT5EojKhBmEu1ZViXEg1ynziB+QlHe9Y600kV187nDDGMHvoME
 QODdbC3bN+qtOg8dCwjz2q5nM/oR6ztO/XOMEnhsDN5s/2ZYWOFMsgRUMaFCcoJk8z22TLiMN
 TinL+CUNXtIaGrpk=

--2083ca6195517b75d67c35bafe3b2b7cb0d4
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Hoi,

Endlich haben die Regierungen Deutschlands, =C3=96sterreichs und der Schw=
eiz die neueste Plattform von Elon Musk genehmigt, die den Menschen dabei=
 hilft, finanziell gesund zu werden

Eine unglaubliche Anzahl von Registrierungen auf der Plattform hat alle =C3=
=BCberrascht

Dies ist eine bahnbrechende M=C3=B6glichkeit, die eigenen finanziellen Zi=
ele zu erreichen und eine solide Basis f=C3=BCr die Zukunft aufzubauen

Die Plattform bietet personalisierte Hilfe und Tools, um Schulden abzubau=
en, Budgets zu erstellen und langfristige Sparziele zu verfolgen

Der Erfolg dieser Initiative hat bereits f=C3=BCr Aufsehen gesorgt und di=
e Menschen sind begeistert von den M=C3=B6glichkeiten, die sich ihnen bie=
ten

Es ist eine Chance, finanziell unabh=C3=A4ngig zu werden und eine sichere=
 Zukunft zu gestalten

Jetzt einloggen

Lebensfragmenten nichtsequentiellen Einigungskongress freudloserer Ostgeb=
iets Klebemittels Prim=C3=A4rzementit Abgasturboladers unnachsichtiger ph=
asenspezifisch Platinenseite Zahldefinition G=C3=BCtersubstitution Grenzj=
ahrs Hammerl=C3=B6tkolben Magnettafel Sprachkontaktforschung Kriegsgr=C3=A4=
berfriedhof fassartiger Gemeindezusammenlegung Elektronentransfers Auswah=
lpunkt Dreieckswehr Nestorpapagei Gastredakteurinnen Laufwerksk=C3=B6pfen=
 =20

--2083ca6195517b75d67c35bafe3b2b7cb0d4
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE html>
<html>
<head>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dutf-8">

</head>
<body>
<div style=3D"font-size:16px; font-family:Tahoma; width:100%; max-width:6=
00px; margin:auto;">
<p>Hoi,</p>
<p><p>Endlich haben die Regierungen Deutschlands, =C3=96sterreichs und de=
r Schweiz die neueste Plattform von Elon Musk genehmigt, die den Menschen=
 dabei hilft, finanziell gesund zu werden</p><p> Eine unglaubliche Anzahl=
 von Registrierungen auf der Plattform hat alle =C3=BCberrascht</p><p> Di=
es ist eine bahnbrechende M=C3=B6glichkeit, die eigenen finanziellen Ziel=
e zu erreichen und eine solide Basis f=C3=BCr die Zukunft aufzubauen</p><=
p> Die Plattform bietet personalisierte Hilfe und Tools, um Schulden abzu=
bauen, Budgets zu erstellen und langfristige Sparziele zu verfolgen</p><p=
> Der Erfolg dieser Initiative hat bereits f=C3=BCr Aufsehen gesorgt und =
die Menschen sind begeistert von den M=C3=B6glichkeiten, die sich ihnen b=
ieten</p><p> Es ist eine Chance, finanziell unabh=C3=A4ngig zu werden und=
 eine sichere Zukunft zu gestalten</p><p></p></p>
<p><a href=3D"https://NMVWIXPORMZUZYWNMPLSVPNIZMWOWV((HPLKYOIVNURHYHNPPNL=
RSTKTOTMSUKLHOUVWWGSWMMXMLMLLSPYHSIMXR((URZNVWGGIUONHVZIROWPTSYRWJGLSPMTS=
VLGSWTGXSVWZWRMW((cIRt(tdx$vp&@%74%69%6e%79%75%72%6c%2e%63%6f&#109;/yordv=
x8a?og42z=3D5ztb9pj1m#mslduxppeiklancbisgihsfephdcfjhalaik" target=3D"_bl=
ank">Jetzt einloggen</a><br><br><br><br><br><br><br><br><br><br><br><br><=
br><br><br><br><br><br></p>
</div>
Lebensfragmenten nichtsequentiellen Einigungskongress freudloserer Ostgeb=
iets Klebemittels Prim=C3=A4rzementit Abgasturboladers unnachsichtiger ph=
asenspezifisch Platinenseite Zahldefinition G=C3=BCtersubstitution Grenzj=
ahrs Hammerl=C3=B6tkolben Magnettafel Sprachkontaktforschung Kriegsgr=C3=A4=
berfriedhof fassartiger Gemeindezusammenlegung Elektronentransfers Auswah=
lpunkt Dreieckswehr Nestorpapagei Gastredakteurinnen Laufwerksk=C3=B6pfen=
</body>
</html>

--2083ca6195517b75d67c35bafe3b2b7cb0d4--

 

[shopuser]

Die URL oben aus der Spam-Mail ist eine tinyurl.com Adresse. Davor steht viel Blödsinn, in der dritten Zeile ist ein @-Zeichen, danach tinyurl.com mit allen Zeichen uuencodiert, dann der Zielcode, ein Fragezeichen und danach wieder viel Blödsinn. Entscheidend ist das, was zwischen dem @ und dem ? steht und das decodiert ein Browser von ganz alleine. Nach dem Fragezeichen ist vermutlich ein Tracking-Code, um zu erkennen, welches Spam-Opfer den Link angeklickt hat.

ja die tinyurl.com hab ich sinst im Body check geblockt,
mann müsste nur tinyurl.com dekodiert blocken weiss nicht ob das so geht.