Styggeste email-spam

Skriver du til mig, så skal din email forcere mit spam-filter i form af spamassassin (og lidt andet) så jeg sorterer automatisk HORDER af spam fra dagligt. Det er lidt hårdt af have beholdt sin email-adresse i 10 år...

Hvis I har brug for det, så kan I hente mit spamassassion træningssæt på

Hent filerne og træn spamassassin med
$ bunzip2 *gz
$ sa-learn --spam --mbox spam
$ sa-learn --ham --mbox ham

Jeg slipper efterhånden for det meste spam, men en af de spam-mails, som slap igennem skal I lige se nedenfor. Jeg undrer mig over hvad afsenderen ville have ud af det. Jeg har sjældent set en mere smadret email mht. specialtegn. De sidste par linier handler klart om at omgå kontekst, og starten handler om en eller andet (kendt) skod-aktie. Jeg synes den er sjov fordi, den er så langt ude...

Hvad bruger I pt. til at bekæmpe spam og har det ændret sig over de sidste to år' Hvorfor har I lavet det "tool"-valg I har'

/pto eller rettere /p+T#o..

H_u.g-e N-e w,s To Impa'ct C*Y'T+V

C,hina Y+ouTV C_o r_p,.
S.ymbol: C.Y*T_V

We h,a-v-e al'ready s-e e n CYT_V's mark,et
impac+t befo+re c-lim-bing to o v_e,r $+2.00
w i.t h n e-w*s,.

Pr_ess Release,:
China Y'ouTV's CnBo,o We-b S_i-t-e Ra+nks
No-.'1 on Mi''crosoft L_i.v.e Sear,ch Engin_e
C_nBoo T raffic Incr-'eases 4,9_% O'v'e'r T'w o
Mo,nths
R
e,a_d t_h'e n-ews, th_ink a-bout t.he imp_act, and
j'u,m_p on t+h i's fir
st thing Tom'o rrow mo-rnin,g!
$0.4.2 is a g'i,f.t at t-h i+s price,. ....
Do y o u-r h
ome_work a_n_d w_atch t h.i_s t'rade
Mon'day morni'ng.

P+eople c-a,m-e f,r+o'm m a.ny miles a.w_a y
s+imply to g'aze on t'h-e c*i-t.y of v-all'enwood.

P_eople wou_ld s+a-y 'Where's lit,tle Piglet b.e_e_n
blow,n to. Oth_er t_ypes of curso,rs supp_orte'd incl,ude
I--bar f or edi',table text, a.n+d an h+ourglas_s or
w-atch to signi'fy w,a*i,t
.
It ref'ers to somethi.n g alm,ost as eas'ily rec.o,gnized,
a-n'd as limit-ed in purp 'ose, as a c.hair or a t*able.
H'o+w exact'ly d o'e_s a cl.ient sys-tem ini-tia te a l_i.n_k
to a ser-ver sy+stem.

Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kristian Vilmann

pto,

Den er grum!

Jeg er meget træt af at vedligeholde spamassassin.
Så skal den trænes lidt, så fik den for meget og noget skal pilles ud igen. Spamd skal lukkes mens opdateringen foregår, og på langsomme maskiner kan det sagtens vare en time eller mere.
Egentlig har jeg bedre ting at foretage mig end at se på mail jeg ikke vil have, og et par tusinde mails om dagen berettiger altså ikke til superhurtige muliticore processorer.

Din og min (ja, ok der er nogle andre med også :)) fælles mailserver kører for tiden helt uden spamassassin.
Eneste antispam foranstaltning er policyd-weight. Det har kørt i små to uger nu, og jeg er faktisk ret imponeret. Vi modtager omkring 2000 mails i døgnet. Heraf går omkring 50 gennem policyd-weight. Resten bliver afvist før de når postfix.
Af disse får jeg vel 10-15 stykker i døgnet. I andre får resten :)
Af de 10-15 stk jeg får, er der gerne 3-4 legitime mails.

Jeg synes faktisk det er en OK statistik. Og jeg har ikke konstateret falske negativer (endnu). Men jeg har skruet lidt på konfigurationen, specielt af hensyn til de mange TDC-kunder der kører gennem maskiner der er skævt konfigureret. (jojo, der er også andre der er skævt konfigureret)

De spammails der ryger gennem policyd-weight, bliver i første omgang scannet af spamassassin på min egen server og derefter af thunderbird. Resultatet er at jeg næsten ikke får spam i min INBOX.
Men jeg overvejer om det er besværet værd at have spamassassin kørende på min egen gamle server. Thunderbirds spam-filter er ret effektivt.

policyd-weight fungerer ved at foretage en vægtet kontrol af mange parametre, og så give de enkelte parametre en score - ligesom spamassassin.
Men policyd-weight ved intet om indhold, så der er ingen scanning involveret.
Checks foretages på et udvalg af databaser: dynablock.njabl.org, sbl-xbl.spamhaus.org, bl.spamcop.net, dnsbl.njabl.org, list.dsbl.org og ix.dnsbl.manitu.net samt en hel del direkte på headerne: Check om HELO matcher hostnavn pog IP og den slags.
Ideen er at ingen af disse checks alene kan afvise en mail, men sammenlagt kan det give et ret godt fingerpeg.

debian-brugere installerer med "apt-get install policyd-weight". Andre kigger på http://www.policyd-weight.org/

/k

  • 0
  • 0
Adam Sjøgren

Mit primære spam-forsvar er greylisting (jeg bruger sqlgrey http://sqlgrey.sourceforge.net/ med Postfix). Det har nogle ulemper (forsinkelse ved første email), men for mig er det klart til at leve med.

Greylisting er det der har gjort det største forskel hos mig - fra over 200 spams om dagen til 10-20.

Undtagen når nogen joe-job'er mit domæne og jeg får 100-200 bounces på en dag: http://asjo.org/spam/ - øv!

De - forholdsvis få - spams der kommer igennem bliver filtreret med crm114 - http://crm114.sourceforge.net/ - integreret i Gnus. Det virker som oftest ret godt.

Jeg har tidligere læst at det er en dårlig idé at træne sine filtre på andres spam/ham, da mixet sandsynligvis er forskelligt fra modtager til modtager - jeg har desværre ikke på stående fod nogen referencer.

  • 0
  • 0
Danni Finne

Peter, det er da en fin service.

De vil jo bare sikre at vi modtager deres gode nyhed om en aktie, som de jo helt klart anbefaler - Og som fagmænd, kan vi kun stole på dem.

Fint og professionelt udformet salgsmail.

Jeg får helt lyst til at købe.

  • 0
  • 0
Anders Hansen

Greylisting har også gjort en stor forskel for os, vi tændte for det i slutningen af august sidst år og vi får betydeligt mindre spam og vira nu (se billede). Så det kan absolut anbefales. Vi har dog whitelistet .dk-domæner så de ikke bliver greylistet og vi oplever ikke at der kommer mere spam af den grund.

http://www.0wnz.dk/spam.png

Vi benytter også spamassassin og RBL-liste og det er minimalt hvad vi får af spam, set i forholdt til vi har 1400 e-mailadresser. Vi modtager ca 80000 legitime mails om måneden.

  • 0
  • 0
Anne-Sofie Nielsen

Jeg gik over til at have min mail hos Google Apps, så kan jeg bruge deres spamfilter. Der slipper ca. en igennem om dagen.

Jeg havde i de glade 90'ere min ene mail-adresse liggende frit tilgængeligt på mit website, så der kommer RIGTIG MEGET spam på den adresse. Øv at man ikke kan være naiv og tillidsfuld mere. :-P

  • 0
  • 0
Uffe R. B. Andersen

Adam nævner bounces:
>Undtagen når nogen joe-job'er mit domæne og jeg får
>100-200 bounces på en dag: http://asjo.org/spam/ -
>øv!

Det kan minimeres med SPF-records, især hvis vi kan få flere med på vognen. Min subjektive opfattelse er, at jeg får færre bounces nu, men jeg har ingen tal til dokumentation.

Udover SPF benytter jeg rimeligt restriktive smtp-settings, greylisting og spamassassin med MySQL, så brugerne kan have forskellige præferencer. MailScanner kan være et alternativ til SpamAssassin.

Mvh.
/Uffe

  • 0
  • 0
Henrik Kramshøj Blogger

Hey Kristian og andre

Spamassassin er lidt trist, enig - god men kræver for meget arbejde med træning.

Du skal da bruge dspam og postfix ;-)

Postfix kan nemt konfigureres til at bruge RBL lister:
smtpd_client_restrictions = regexp:/etc/postfix/access, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client list.dsbl.org

og dspam fra nuclearelephant er super nemt, google det :-)

Der er også præsentationer fra spam-deathmatch på Linuxforum 2007.

  • 0
  • 0
Søren Klintrup

Jeg bruger spamassassin, og har brugt det i mange år efterhånden - og er faktisk ret godt tilfreds.

Jeg får et sted mellem 200 og 300 spammails om dagen til min mailadresse, og af dem ender et sted mellem 0 og 3 i min inbox, og der kan sagtens gå dage mellem jeg ser en spam-mail - samtidig er det omkring et år siden jeg har set en false-positive.

En god ting at installere er FuzzyOCR, det sørger for at billedspam'en også bliver fanget, ved at OCR-genkende teksten, for så at sende den videre til spamassassin.

Den vigtigste ting at huske i sit setup er dog sa-update(1), det henter de seneste versioner af spamassassins regler - det hjælper meget på hvor godt den fungerer.

Et andet trick er at lave nogle spam-only adresser, som du så sætter spamassassin til at lære som spam - abuse@domæne.dk, info@domæne.dk, sales@domæne.dk, support@domæne.dk osv (evt også domæne@domæne.dk).

Det virker selvfølgelig ikke så godt hvis du er et firma, men det er de færreste privatpersoner som har brug for disse adresser, og efter nogle måneder vil de helt sikkert blive fyldt ganske godt op med spam - evt putte dem ind på jeres hjemmesider hvid på hvid i størrelse 1 - så crawlers finder dem - men brugerne ikke gør.

  • 0
  • 0
Peter Larsen

her troede man der var nogen der havde skrevet noget pænt om www.domæne.dk ...

nåh..

Jeg kan dog klart anbefale greylisting, desværre, virker det ret godt (det holder 3 mailservers jeg har i live!)

dspam er dog også et godt tillæg til postfix/greylisting setup, men webgui'en er godt nok et helvede at få toptunet.. mere om det senere i en anden blog

  • 0
  • 0
Simon Krogh

Jeg har haft min Hotmail-adresse i 9-10 år nu. Jeg har brugt den til alt muligt, lige fra almindelig kontakt med venner til at tilmelde mig mere eller mindre troværdige konkurrencer forskellige steder på nettet.
Ud over de nyhedsbreve, jeg selv har tilmeldt mig som led i konkurrencer, får jeg ikke meget mere end et par spam-mails igennem om måneden. Det synes jeg er ok, og faktisk ret imponerende når man tænker på hvor hensynsløs jeg har været med den i tidens løb.

  • 0
  • 0
Log ind eller Opret konto for at kommentere