Word-Scanning

[Robert1962]

Hallo,

Ich habe für meinen SA eine Regel erstellt, die einzelne Worte eines Mail-Body scannt. Wenn ich allerdings mehr als ein Wort eintrage kommen die Mails durch und werden nicht als Spam erkannt.

Kennt jemand eine funktionierende Regel mit der man z.B. einen ganzen Satz scannen/abgleichen könnte?

Die meisten PDF-Spam mails haben auch einige Zeilen im Body und so könnte man diese ja erwischen.

Ich füttere meinen SA zwar auch mit den Mails aber einige kommen immer mal wieder durch (Hält sich in Grenzen).

Gruß

Robert1926

 

[Huschi]

Zeige Deine Regel die nicht funktioniert und wir zeigen Dir, wie sie funktionieren könnte.

huschi.

 

[Robert1962]

Sorry für die späte Antwort:

Hier meine Regel:

# some parser section

body   Keywords_Trading       /Matters being thus adjusted|The message is ready to be sent/i
score  Keywords_Trading       2.9

Hoffe die ist richtig?

Robert1962

 

[Huschi]

Diese Regel gibt 2.9 Punkte wenn im Body der String "Matters being thus adjusted" oder "The message is ready to be sent" auftaucht. Wenn beide auftauchen übrigens ebenfalls nur 2.9 Punkte.

Wo hast Du die Regel rein geschrieben und hast Du auch überprüft ob diese Datei mit in das Regelwerk übernommen wird? ("spamassassin -lint -D")
Was passiert wenn Du Dir von extern (also Gmx, Web.de, Yahoo, etc.) eine Email mit diesen Sätzen schickst? Was steht dann im X-Spam-*-Header?

huschi.

 

[Robert1962]

Hallo

habe die Regel in eigene Datei.cf geschrieben und unter

/etc/mail/spamassassin/own_Rules

abgelegt, dann in der local.cf diese mit include Regel-Name eingehängt.

Mit spamassassin --lint -D kommt kein Fehler, es wird nur ausgegeben das die Rules included sind.

Das zuschicken muss ich noch mal Testen, zu letzt wurde die Mail abgefangen, darum wundert es mich immer wieder wenn dann doch mal wieder mails durch kommen die eigentlich als Spam abgefangen werden sollten.

ist der Score von 2.9 zu tief, sollte ich da eher höher gehen?

 

[Huschi]

es wird nur ausgegeben das die Rules included sind.

Das ist gut. Hast Du denn alle nötigen Dienste nach der Änderung neu gestartet?

ist der Score von 2.9 zu tief, sollte ich da eher höher gehen?

Kommt darauf an, was Du mit der Regel erreichen willst.
Wenn es grundsätzlich ausgefiltert werden soll, dann sollte der Score etwa um den Required-Score liegen.

huschi.

 

[Robert1962]

Ja klar! Ich habe alle Dienste neu gestartet, so gar einen reboot gemacht!

Ich will eigentlich, dass keine Mail mit diesem Inhalt mehr durch kommt. Also würde das bedeuten, ich habe im SA einen Score von 4, klar sollte dann mein Score in der Regel höher sein! Man hätte mir auch auffallen dürfen!

Danke für den Tipp