Täglich mehrmals die selbe Spam - wie filtern?

3df

Registered User
Hallo zusammen,

ich bekomme mehrmals täglich ein und die selbe Mail, diese ist natürlich Spam. Die Domain ist immer eine andere, deshalb hilft mir die Blacklist nicht wirklich weiter. Auch das dauernde verschieben in den Spam Ordner damit SpamAssassin lernt bringt nichts, die mails kommen trotzdem täglich an.

Gibt es vielleicht bei SpamAssassin die Möglichkeit, dass man Namen angeben kann die gesperrt werden sollen wenn diese in einer Mail auftauchen? Wie z.B. von dieser Mail "FINTECH LTD".

Ich habe mal einen Screenshot angehängt wie die Mail aussieht.


Danke euch.
 

Attachments

  • Bildschirmfoto 2017-01-20 um 11.02.43.jpg
    Bildschirmfoto 2017-01-20 um 11.02.43.jpg
    145.6 KB · Views: 341
In die Datei /etc/mail/spamassassin/local.cf fügst du folgende ganz unten an

Code:
body SPAM_FINTECH _RULE           /FINTECH\s+LTD/i
score SPAM_FINTECH _RULE           8.0
describe SPAM_FINTECH _RULE       Block spam FINTECH

Dann startest du Spamssassin neu.

Ungetestet.
 
Hey, vielen Dank!

Kannst Du mir evtl. bitte noch erklären, für was "/" " \ " "s+" und "/i" dabei steht?
 
Danke. Und wenn ich noch etwas blocken möchte, dann lege ich dies noch mal neu an. Also zB.:



Code:
body SPAM_FINTECH _RULE           /FINTECH\s+LTD/i
score SPAM_FINTECH _RULE           8.0
describe SPAM_FINTECH _RULE       Block spam FINTECH

body SPAM_FINTECH _RULE           /NAME\s+NAME2/i
score SPAM_FINTECH _RULE           8.0
describe SPAM_FINTECH _RULE       Block spam FINTECH

Oder dann einfach so?:

Code:
body SPAM_FINTECH _RULE           /FINTECH\s+LTDs+Name2s+Name3/i
score SPAM_FINTECH _RULE           8.0
describe SPAM_FINTECH _RULE       Block spam FINTECH
 
Du legst dann eine weitere Regel an und du solltest ihr dann auch einen anderen, passenden Namen geben statt "SPAM_FINTECH_RULE"


(Ich glaube die Leerstelle vor dem "_RULE" im Code war von Gwen nicht beabsichtigt?!)
 
Und verfl.... Ja, copy&paste ein Leerzeichen zu viel.

Du kannst bestimmt keine komplexen regulären Ausdrücke wie PCRE.
Nee, jede Regel separat sonst ist das schlecht zu pflegen.
 
Last edited by a moderator:
body SPAM_FINTECH _RULE /FINTECH\s+LTDs+Name2s+Name3/i

Das SPAM_FINTECH ist ein Regelname. Der dürfte beliebgig sein, aber den darfst Du nur einmal verwenden.

Der Regex passt vermutlich nicht so wie Du das willst. Es gibt viele RegEx-Testerseiten bei denen Du prüfen kannst, ob Dein RegEx bei einem beliebigen Text greift. Z. B.:

https://regex101.com/

Ich würde Dir aber trotzdem empfehlen, erst mal das kurze Tutorial durchzuarbeiten, dass Du die Basics lernst.
 
Also dann so?:

Code:
body SPAM_FINTECH _RULE           /FINTECH\s+LTD/i
score SPAM_FINTECH _RULE           8.0
describe SPAM_FINTECH _RULE       Block spam FINTECH

body SPAM_FINTECH2 _RULE           /NAME\s+NAME2/i
score SPAM_FINTECH2 _RULE           8.0
describe SPAM_FINTECH2 _RULE       Block spam FINTECH2

Genau, ist das Lehrreichen bei "_RULE" beabsichtigt?

Wa genau ist denn mit "Der Regex passt vermutlich nicht so wie Du das willst." gemeint? Das verstehe ich jetzt gerade garnicht :confused:
 
Ich empfehle PCRE (Perl compatible regular Expressions) zu lernen und sich mit den Regeln von Spamassassin mehr zu beschäftigen.

Das
Code:
body SPAM_FINTECH _RULE /FINTECH\s+LTDs+Name2s+Name3/i
bedeutet folgendes:

/
FINTECH
\s+
LTD
s+
Name2
s+
Name3
/i

Auf Untechnisch:
FINTECH
gefolgt von Leerstelle mehrfach
gefolgt von LTD
gefolgt von mehrfachen s
gefolgt von Name2
gefolgt von mehrfachen s
gefolgt von Name3
/i egal ob Groß oder Kleinschreibung

Wenn das so sein soll, ok.
 
Last edited by a moderator:
Hallo, ich muss mich leider noch mal zu diesem Thema melden. Ich weiß langsam nicht mehr weiter. Es kommen täglich diese Spam-Mail auf einer Mail-Adresse bei mir an.

Der Inhalt der Mail ist immer der selbe: Krankenversicherung, Betriebsversicherung, 500$ gewonnen. Der Aufbau von der Mail ist auch weitgehend immer gleich. Die Absender Domains sind natürlich immer unterschiedlich, der Absender Name ist öfter der gleiche.

Ich weiß einfach nicht mehr weiter, ich bin täglich die "/spamassassin/local.cf" am füllen und die Einträge werden auch geblockt, doch es nimmt einfach kein Ende, es macht mich noch wahnsinnig :(.

Habt ihr vielleicht einen rat für mich? Darüber wäre ich sehr dankbar.

Hier mal ein paar Auszüge:
 

Attachments

  • Bildschirmfoto 2017-02-07 um 16.42.15.png
    Bildschirmfoto 2017-02-07 um 16.42.15.png
    183.5 KB · Views: 219
  • Bildschirmfoto 2017-02-07 um 16.42.21.png
    Bildschirmfoto 2017-02-07 um 16.42.21.png
    234 KB · Views: 190
  • Bildschirmfoto 2017-02-07 um 16.42.35.png
    Bildschirmfoto 2017-02-07 um 16.42.35.png
    241.4 KB · Views: 184
  • Bildschirmfoto 2017-02-07 um 16.43.31.png
    Bildschirmfoto 2017-02-07 um 16.43.31.png
    166.9 KB · Views: 185
  • Bildschirmfoto 2017-02-07 um 16.44.07.png
    Bildschirmfoto 2017-02-07 um 16.44.07.png
    214.9 KB · Views: 170
Last edited by a moderator:
...weitere Auszüge
 

Attachments

  • Bildschirmfoto 2017-02-07 um 16.44.18.jpg
    Bildschirmfoto 2017-02-07 um 16.44.18.jpg
    177.1 KB · Views: 216
  • Bildschirmfoto 2017-02-07 um 16.44.50.jpg
    Bildschirmfoto 2017-02-07 um 16.44.50.jpg
    201.2 KB · Views: 202
  • Bildschirmfoto 2017-02-07 um 16.44.55.jpg
    Bildschirmfoto 2017-02-07 um 16.44.55.jpg
    175.7 KB · Views: 184
  • Bildschirmfoto 2017-02-07 um 16.51.07.jpg
    Bildschirmfoto 2017-02-07 um 16.51.07.jpg
    203.7 KB · Views: 163
  • Bildschirmfoto 2017-02-07 um 16.51.15.jpg
    Bildschirmfoto 2017-02-07 um 16.51.15.jpg
    162.9 KB · Views: 168
Last edited by a moderator:
Moin

Das habe ich mit Meta rules gelöst.

Du suchst die Merkmale, die in den Mails immer wieder vorkommen und verknüpfst die, so das mehrere Merkmale nötig sind, um die Regel zu triggern.
Code:
header __BHV1 From =~ /vergleich/
header __BHV2 From =~ /uebersicht/
header __BHV3 From =~ /buv/
header __BHV4 From =~ /bhv/
header __BHV5 From =~ /pkv/
header __BHV6 From =~ /gewinn/
body __BHV /Betriebshaftpflicht/

meta  BHV + (( __BHV1 + __BHV2 + __BHV3 + __BHV4 + __BHV5 + __BHV6 > 2)
In dem Beispiel müssen 3 der Regeln zutreffen, damit der score gewertet wird.

Thorashh
 
Hallo, dies wäre dann für die ganzen Versicherungs Mails oder nur für die mit Betriebshaftpflicht?

Kann ich dein Beispiel oben so übernehmen und in die die "/spamassassin/local.cf" einfügen?

Diese beiden Mails sind gestern Abend auch wieder eingetrudelt:
 

Attachments

  • Bildschirmfoto 2017-02-08 um 05.29.32.png
    Bildschirmfoto 2017-02-08 um 05.29.32.png
    197.8 KB · Views: 295
  • Bildschirmfoto 2017-02-08 um 05.29.42.png
    Bildschirmfoto 2017-02-08 um 05.29.42.png
    210.8 KB · Views: 234
Last edited by a moderator:
Kannst du mir das bitte erklären, wäre sehr nett. Mein Englisch ist leider nicht das beste. Danke.
 
Back
Top