AW: Spamassasin, Zips u.a.

Magnus Wagner Wagner at dhm.de
Do Sep 22 08:53:20 CEST 2016 

Wir haben einige Anhänge gesperrt'
Alles ausführbare, alle archive, Office mit macro(docym etc) u d so weiter.

HTML_IMAGE_ONLY würde ich eventuell höher schrauben.

Gruss,
Magnus
________________________________
Von: Markus Gonzalez<mailto:ml at markus-gonzalez.de>
Gesendet: ‎22.‎09.‎2016 08:39
An: postfix-users at de.postfix.org<mailto:postfix-users at de.postfix.org>
Betreff: Re: Spamassasin, Zips u.a.

Hallo Matthias, Hallo Liste,

On 22.09.2016 07:13, Matthias Schmidt wrote:
> Hallo,
>
> ich hab meinen Server von MacOS 10.6 auf 10.11 aktualisiert.
> Das war ein Akt :-D
>
> Dafür läuft die gesamte Spamfilterung jetzt wesentlich besser :-)
>
> - Dennoch kommen immer wieder unerwünschte und unbestellte Werbemails durch, die anscheinend nicht durch den spamassasin laufen.
> diese Mails zeichnen sich in der Regel durch eine valide dkim signatur als Inhalt ist dann meist nur ein Bildchen drin.
> Und dann steht im Header keine Spambewertung mehr.
> Ich hab jetzt das noch mit reingenommen:
> score HTML_MESSAGE        1.3
> score HTML_IMAGE_ONLY_04  3
> score HTML_SHORT_LINK_IMG_2 3
>
> - das grössere Problem ist, dass nach wie vor Mails durchkommen mit:
> Hallo + mehr oder weniger korrekte Anrede
> In der Anlage befindet sich die gewünschte Rechnung/Dokument (oder dergleichen)
> (…)
> und dann hängt da ein zip oder ein Word doc dran freilich mit der ausdrücklichen Bemerkung, Macros sollen doch bitte aktiviert sein.
>
> Jeder auf der Liste hier weiss, was da drin ist ;-)
>
> Wie kann ich sowas effektiv abfangen (ohne jetzt den Leuten verbieten zu wollen Dokumente zu empfangen ;-)
> oder zumindest mit dem SPAM-Tag versehen lassen. Diese “Freunde” mit ihrer Ramsoftware schaffen es ja immer wieder selbst den Spamassasin auszutricksen.


Wiederholen sich bestimmte Muster wie bsp. als TLD .us ?
Wäre es eine Möglichkeit, ggf. ganze IP-Subnetze abzufiltern, wie zb.
alles was von ARIN kommt ?

Immer wieder mache ich die Erfahrung gleicher Absender, andere mx-IPs,
andere Signaturen - alle aus einem Subnetz der ARIN ...


Greets,
Markus


> Dank und Gruss
> Matthias
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://de.postfix.org/pipermail/postfix-users/attachments/20160922/bf0b95c6/attachment.html>

Mehr Informationen über die Mailingliste postfix-users