EDV - Ende der Vernunft

Im ersten Teil habe ich ganz bewusst darauf verzichtet auf Plugins einzugehen. Sie sind für mich so ein bißchen das Salz in der Suppe mit denen man den Spamtöter um beliebige Funktionen erweitern kann.

SpamAssassin liefert ein Anzahl Plugins mit welche hauptsächlich über die Datei v310.pre ein- und ausgeschaltet werden können. Ich weiss nicht welche schon an sind, aber bei mir haben sich folgende bewährt:

• DCC - Distributed Checksum Clearinghouse. Zieht eine Checksumme über die Mail und vergleicht sie mit einer Online-Datenbank
• Pyzor - Ähnliche Funktionalität wie DCC
• Razor2 - Ähnliche Funktionalität wie DCC
• SpamCop - DNS Blacklist
• MIMEHeader - Regular Expressions auf Mime Header anwenden
• ReplaceTags - Lest selbst

Neben den offiziellen Plugins gibt es noch eine Reihe andere Plugins. Einige sind im SpamAssassin-Wiki genannt, hier ein paar zu denen ich etwas sagen kann:

• iXhash - Ähnliche Funktionalität wie DCC. Liefert sehr gute Ergebnisse
• BotNet - Versucht zu erkennen, ob der Versender einem Botnet angehört. Funktioniert gut
• ImageInfo - Ermittelt welche Art Bilder eine Mail enthält und welchen Anteil sie an der gesamten Mail haben. Funktioniert eigentlich sehr gut, kann allerdings zu False Positives führen wenn die Benutzer eine Vorliebe für Gif-Smilies haben
• PDFInfo - Module gegen PDF-Spam. Die erste PDF-Spamwelle kam bei mir durch. Mittlerweile bleiben PDF-, XLS- und DOC-Spam meist am Bayesfilter hängen. Sollte das Versagen bleibt dann noch PDFinfo und liefert gute Ergebnisse
• FuzzyOcr - Macht OCR (Texterkennung) bei Bildern in Mails. Sollte man damit Probleme haben kann man es einsetzen, ansonsten stört es nicht weiter
• P0f - P0f macht passives Fingerprinting vom Absender. Für alle die der Meinung sind, das Spam sowieso nur von Windows-Rechnern kommt. Charmante Idee, aber irgendwie bin ich von der Sinnhaftigkeit nicht sonderlich überzeugt

Software, Spam Anti-Spam, DCC, FuzzyOcr, P0f, PDF, plugins, Pyzor, Razor2, Spamassassin, Spamcop

Gar nicht mitbekommen, das eine neue Spamwelle reingerollt ist. Diesmal sind es XLS-Dateien für Excel die wohl in Wellen in den Postfächern ausgekippt werden. Durch Referer von Die Welt der Spambekämpfung bin ich darauf aufmerksam geworden und dort steht auch gleich die Lösung: SaneSecurity.

Die hatte ich schon im Zusammenhang mit PDF Spam. Deren Viren-Pattern erkennen nun nicht nur PDF-, sondern auch XLS-Spam. Ich benutze im Moment ein Script von Pierre Habouzit für das täglich Update der Spam-Signaturen und die arbeiten so gut das mir die neue Spamwelle gar nicht aufgefallen ist.

Spam MSRBL, PDF, SaneSecurity, Spam, XLS

Das PDF-Spamming treibt sonderliche Blüten. Man findet intressante Detail bei der Computerwoche:

[..] kam es am gestrigen Mittwoch zu einem der größten Spam-Angriffe des Jahres mit einem Volumen von rund fünf Milliarden Nachrichten

und im Heise-Forum gibts eine Lösung via procmail:

:0 B
* name\=\"(.*)\_report\.pdf
* Subject:\(.*)\_report\.pdf
/dev/null

Nur Microsoft patzt wieder, denn die zwei Jahre in denen Bill Gates den Spam besiegen wollte sind leider um.

Spam PDF, procmail, Spam

Heute in meiner Inbox:

Zuerst dachte ich an einen Virus, aber es ist tatsächlich ein Pdf und enthält Aktien Spam. Der Anhang ist schlanke 111Kb gross, was befürchten lässt, das man in Zukunft noch mehr davon sehen wird. Bezeichnend ist die Personalisierung, die sich anscheinend nach dem vor dem Klammeraffen richtet. Bandbreite und Rechenpower scheinen immer weniger ein Problem zu sein. Spam wird uns also noch länger erhalten bleiben *seufz*

Spam Mail, PDF, Spam