Richpro SPAM erkennen

Wer sich die Links (URI) in dem E-Mails der Richpro Internet GmbH genauer anschaut, wird feststellen, dass die letzten Zeichen der Verknüpfungsadresse immer identisch sind. Um SpamAssassin ein wenig auf die Sprünge zu helfen, hilft folgender Regelsatz:

# Erkennung eines Links der Richpro Internet GmbH
uri TA_RichproURI /eindeutige Zeichen$/i

describe TA_RichproURI Mail enthaelt Link, der auf die Richpro Internet GmbH hindeutet

score TA_RichproURI 2.0

Da die eindeutigen Zeichen von Kunde zu Kunde verschieden sein dürften, muss jeder die Zeichen aus seinen E-Mails selbst heraussuchen. Bei mir ist die Zeichenkette fünf Zeichen lang – muss aber nicht jeder wissen, welche Zeichen es sind.

Einen weiteren Hinweis gibt der Link zum Abmelden der E-Mails. Hier ist immer die E-Mailadresse enthalten. Womit folgender Eintrag hilfreich sein könnte:

uri TA_RichproMail /v=[0-9]*&a=thomas%40example.com/i

describe TA_RichproMail Mail enthaelt Link mit meiner E-Mails-Adresse (moeglicherweise Richpro Internet GmbH)

score TA_RichproMail 2.0

Leider ist auch die E-Mail-Adresse sehr individuell.

Genug für heute, gute Nacht

Spam von RichVestor und Co

Wie ich in einem früheren Betrag erläutert habe, steht hinter E-Mails der RichVestor GmbH und RS Mobile Marketing GmbH vermutlich die Software von adresspark UG. Heute kam eine Werbung für ein Freundschaftsportal. In dieser Mail war kein direkter Link enthalten, sondern der typische Link über rv-mm.de. Ich möchte meine Adresse nicht auch noch bestätigen und so kann ich im Moment nicht sagen, was sich hinter diesen Links verbirgt.

Da die offenbar reger werden, habe ich mir die Zeit genommen meiner SpamAssassin[1] Konfiguration einen Satz neuer Regeln zu spendieren, die ich hier wiedergebe. Nicht die hohe Kunst, aber ich denke, für eine Weile sind sie wirksam. Die Texte in den Mails lassen sich sehr leicht ändern. Die Serverinfrastruktur ist nicht ganz so einfach geändert. Durch kleine Änderungen wird sich der Bayes Filter sicher nicht täuschen lassen. Für RichVestor und RS Mobile Marketing habe ich keine extra Regeln hinzugefügt. Dies erledigt der Bayes Filter ganz alleine.

# Filter Spam von adresspark.de und freunde

header TA_adresspark_list_01 list-id =~ //i
describe TA_adresspark_list_01 Countains mailing list id "mawuvs.de" from adresspark.de
score TA_adresspark_list_01 10.0

header TA_adresspark_list_02 list-unsubscribe  =~ /http:\/\/rv-mm.de/i
describe TA_adresspark_list_02 Countains mailing list unsubscribe link to RichVestor (rv-mm.de)
score TA_adresspark_list_02 10.0

body TA_adresspark_01 /Dieser Newsletter ist ein unentgeltlicher Service der .* und wurde an Sie versandt, da Sie mit Ihrer E-Mail-Adresse .* an einer von uns oder unseren Partnern veranstalteten Aktion teilgenommen haben./i
describe TA_adresspark_01 Body contains a standard adresspark.de diclaimer
score TA_adresspark_01 0.5
 
body TA_adresspark_02 /Da die .* ausschließlich der Versender dieser E-Mail ist, bitten wir Sie sich bei Fragen zum Inhalt der Mail direkt an den Anbieter zu wenden. Regressansprüche gegen die .* sind ausgeschlossen./i
describe TA_adresspark_01 Body contains a standard adresspark.de diclaimer
score TA_adresspark_02 0.5

meta TA_m_adresspark_01 ( TA_adresspark_01 + TA_adresspark_02 ) > 1
describe TA_m_adresspark_01 Contains at least two lines standard disclaimer from adresspark.de -spam
score TA_m_adresspark_01 10.0

Den Absender habe ich mit spamassassin –add-addr-to-blacklist=send@richvestor.com der Blacklist hinzugefügt.

PS: Liebe Nora Schneider von der Servicezentrale Freundschaftsanfragen, so wird es nicht mit uns.

  1. [1]SpamAssassin ist ein Spam-Filter für Unix Systeme. Mehr auf der SpamAssassin-Homepage