kmail2 und SpamAssassin

Wie ich schon berichtet habe, kann SpamAssassin mittels sa-learn nicht die im mbox-Format gespeicherten Mails lernen. sa-learn erkennt keine Mails in dem von kmail2 verwendetet mbox-Format. Nach langem Rätseln habe ich gestern eine minimale Mail erzeugt und diese mit kmail (Version 1.36.6) und mit kmail2 (Version 4.8.3) empfangen und gespeichert. Der Vergleich ergab einen wesentlichen Unterschied in der „From_“ Zeile und führte schließlich zur Klärung der Ursache.

Beispiel kmail

From thomas@example.com Tue, 15 May 2012 22:01:41 +0200

Beispiel kmail2

From thomas@example.com Tue May 15 2012 22:01:41

In kmail (Version 1) Datum und Uhrzeit waren im ctime Format, wie unter RFC 4155 oder man 5 mbox beschrieben. kmail2 verwendet ein Datum-Zeit-Format wie in RFC 822 beschrieben. Leider gibt es keinen – einheitlichen – Standard für das mbox-Format bzw. die Definitionen für das Datums-Zeit-Format in der „From_“ Zeile widersprechen sich. Diese Zeile ist jedoch für die Trennung der Mails in der mbox -Datei entscheidend. SpamAssassin erkennt derzeit das zweite Format nicht als eine gültige „From_“ Zeile.

Dieses Problem habe ich bei KDE (Bug 297198) und bei SpamAssassin (Bug 6703) gemeldet.

Um SpamAssassin endlich wieder ein paar Mails lernen zu lassen, habe ich das – neue – Format mit sed quick and dirty in das – alte – ctime Format konvertiert. Da rechnen in sed nicht so einfach ist, habe ich von einer Anpassung der Uhrzeit an die Zeitzone UTC (+0000) abgesehen. Für eine bessere Lösung müsste ich wohl mit awk oder anderen Programmen arbeiten, was nicht so schnell umsetzbar ist. Hier der sed-Befehl in seiner vollen Schönheit:

sed ‚/^From / s#\(…\), \([0-3][0-9]\) \(…\) 2012 \([0-2][0-9]:[0-5][0-9]:[0-5][0-9]\) [+-][0-9]\{4\}#\1 \3 \2 \4 2012#‘ < spam-kmail2.mbox > spam-kmail1.mbox

Das einfachste wäre, kmail2 ginge zum alten Datum-Zeit-Format zurück. Vielleicht bewegt sich auf der einen oder anderen Seite etwas. Bei SpamAssassin bewegte sich in den letzten Stunden sehr viel – bei KDE nichts außer meine Kommentare.

Paypal: Fortsetzung blockiert ! Oder lieber ?

Screen Shot Paypal Fraud

Heute landete eine obige Mail in meinem Postfach. SpamAssassin hat sie leider durchgelassen. Aber da ich Paypal nutze, ist es nicht ganz einfach die Spreu vom Weizen zu trennen. Eigentlich nichts ungewöhnliches – nur schlechtes Deutsch und die alten Tricks. Interessant ist der angebliche Virenscan und der Hinweis, wie man Spoof- oder Phishing-E-Mails erkennt. Allerdings führt der Link nur zur Hauptseite von Paypal und von dort müsste man noch etwas suchen, um die gewünschte Information zu bekommen. In sich hat es der Link zum Einloggen, der nicht zu Paypal sondern zu einer Seite http://lordandladytantrum.co.uk/… führt. (Den vollständigen Link veröffentliche ich hier lieber nicht.) Eine andere Mail zeigt auf travelling-tots.co.uk. Da wurden wohl wieder ein paar Server gehackt.

Screen Shot der angeblichen Paypal Web Seite
Screen Shot der angeblichen Paypal Web Seite

Ich habe bei Paypal nachgelesen, wie ich echte E-Mails erkennen kann. (Gut, dass ich in diesen Punkten einen robusten Magen habe.) Ich darf mal zitieren:

Daran erkennen Sie echte Paypal E-Mails

Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang. Wir werden Sie darin nie auffordern, eine der folgenden Informationen preiszugeben:

Ihre Kreditkartennummer oder Kontoverbindung
Ihr Passwort, Ihre E-Mail-Adresse oder Ihren vollständigen Namen
die PIN oder TAN Ihres Bankkontos

Das ist ja alles ganz nett und wenig hilfreich – die obige Fraud Mail hält sich an diese Erkennungskriterien. Einzige wertvolle Information ist: Keine Anhänge! Aber bedeutet dies auch kein HTML? Ich schaue mal in mein Postfach. Nein, Paypal nutzt auch für die einfachen Zahlungsbestätigungen HTML. Unterschiede zur Fraud Mail: Paypal verwendet den Absender service (at) paypal.de und nicht PayPal (at) paypal.de. Außerdem nutzt Paypal sowohl Text als auch HTML (also doch Anhänge) und nicht wie die Fraud Mail ausschließlich HTML.

Ob Paypal schon etwas von digitalen Signaturen gehört hat? Wahrscheinlich genauso viel wie Banken, Postbank, Sparkassen und Co. Zu umständlich? Wohl kaum! Eher dürften da die geringen zusätzlichen Kosten pro E-Mail eine Rolle spielen. Die Masse macht es eben. Obwohl! DKIM-Signaturen werden schon genutzt. Nur welcher Nutzer sieht dies in seinem Mail-Client?

Belustigend ist auch der Server, der die Mails schickt (siehe Bild 3). Bei Gelegenheit werde ich recherchieren, wer sich hinter diesen Critcom – Trusted Internet Marketing Professionals verbirgt. „Trusted“ müssen die mir mal erklären.

CRITCOM - Trusted Internet Marketing Professionals
CRITCOM - Trusted Internet Marketing Professionals

Spam von RichVestor und Co

Wie ich in einem früheren Betrag erläutert habe, steht hinter E-Mails der RichVestor GmbH und RS Mobile Marketing GmbH vermutlich die Software von adresspark UG. Heute kam eine Werbung für ein Freundschaftsportal. In dieser Mail war kein direkter Link enthalten, sondern der typische Link über rv-mm.de. Ich möchte meine Adresse nicht auch noch bestätigen und so kann ich im Moment nicht sagen, was sich hinter diesen Links verbirgt.

Da die offenbar reger werden, habe ich mir die Zeit genommen meiner SpamAssassin[1] Konfiguration einen Satz neuer Regeln zu spendieren, die ich hier wiedergebe. Nicht die hohe Kunst, aber ich denke, für eine Weile sind sie wirksam. Die Texte in den Mails lassen sich sehr leicht ändern. Die Serverinfrastruktur ist nicht ganz so einfach geändert. Durch kleine Änderungen wird sich der Bayes Filter sicher nicht täuschen lassen. Für RichVestor und RS Mobile Marketing habe ich keine extra Regeln hinzugefügt. Dies erledigt der Bayes Filter ganz alleine.

# Filter Spam von adresspark.de und freunde

header TA_adresspark_list_01 list-id =~ //i
describe TA_adresspark_list_01 Countains mailing list id "mawuvs.de" from adresspark.de
score TA_adresspark_list_01 10.0

header TA_adresspark_list_02 list-unsubscribe  =~ /http:\/\/rv-mm.de/i
describe TA_adresspark_list_02 Countains mailing list unsubscribe link to RichVestor (rv-mm.de)
score TA_adresspark_list_02 10.0

body TA_adresspark_01 /Dieser Newsletter ist ein unentgeltlicher Service der .* und wurde an Sie versandt, da Sie mit Ihrer E-Mail-Adresse .* an einer von uns oder unseren Partnern veranstalteten Aktion teilgenommen haben./i
describe TA_adresspark_01 Body contains a standard adresspark.de diclaimer
score TA_adresspark_01 0.5
 
body TA_adresspark_02 /Da die .* ausschließlich der Versender dieser E-Mail ist, bitten wir Sie sich bei Fragen zum Inhalt der Mail direkt an den Anbieter zu wenden. Regressansprüche gegen die .* sind ausgeschlossen./i
describe TA_adresspark_01 Body contains a standard adresspark.de diclaimer
score TA_adresspark_02 0.5

meta TA_m_adresspark_01 ( TA_adresspark_01 + TA_adresspark_02 ) > 1
describe TA_m_adresspark_01 Contains at least two lines standard disclaimer from adresspark.de -spam
score TA_m_adresspark_01 10.0

Den Absender habe ich mit spamassassin –add-addr-to-blacklist=send@richvestor.com der Blacklist hinzugefügt.

PS: Liebe Nora Schneider von der Servicezentrale Freundschaftsanfragen, so wird es nicht mit uns.

  1. [1]SpamAssassin ist ein Spam-Filter für Unix Systeme. Mehr auf der SpamAssassin-Homepage

Hilfe, mein Postfach wird zugemüllt – Spam und kein Ende?

Mein Postfach wird durch Werbung zugemüllt. Was kann ich dagegen tun? Die ist wohl eine der häufigsten Fragen. Und die häufigsten Antworten kommen hier.

Erstmal können Sie gegen echte Spam nichts tun. Sie können sie nur aussortieren. Warum? Die großen Spam Versender schert es wenig, was sie über sie denken. Es geht ihnen nur um ihr Bestes. Ihr Geld. Eine Gegenleistung für ihr Geld dürfen Sie nicht erwarten. Die Geschäfte laufen in einer Grauzone oder sind – zumindest in Deutschland – auf beiden Seiten illegal. Beispiele sind Online-Glücksspiele und verschreibungspflichtige Potenzmittel. Darüber hinaus wollen sie Ihnen Trojaner unterschieben oder Passwörter abgreifen. Die Versender sitzen oft im Ausland und selbst Deutsche operieren getarnt über Scheinfirmen/-adressen über das Ausland. Einmal den Link geklickt und doch gekauft, dann hat es sich gelohnt – für den Versender. Trotz Mahnung den Anhang geöffnet und der Trojaner ist darauf. Die Kosten pro Mail sind minimal meist werden Bot-Netze verwendet. Deren Verwaltung ist zwar nicht umsonst, im Vergleich zur erzielten Geheimhaltung und Rechenleistung aber spottbillig. Auch wenn Sie heute keinen Bedarf an Viagra und Co haben. Wie ist es morgen, übermorgen oder in ein paar Jahren? Egal, ob Mann oder Frau. Für den einen ist es Viagra für den anderen Lovegra. Irgendwann bekommen sie Dich!

Wer auch nur dem „Unsubscribe“ Link einer echten Spam folgt, hat zumindest ein Ziel der Spammer erreicht: Seine Existenz und ein lebendes Postfach bestätigt. Hurra! Der Wert der Adresse ist gestiegen. Und Adressen haben einen Wert. Je mehr – bestätigte – Daten zu einer Adresse passen, desto wertvoller. Ab besten mit Kreditkartennummer. Deshalb die Anfragen der vorgeblicher Kreditinstitute oder angebliche Benachrichtigungen über angebliche Riesengewinne. Unter Hundert Millionen Empfänger finden Sie immer mehrere Trottel. Wäre es anders, wäre der Spuk in wenigen Tagen vorbei. Doch die Dummen wollen nicht aussterben. Es scheint ein Gesetz der Evolution zu sein, dass eine kritische Menge Volltrottel nicht unterschritten werden kann. Es gibt keine Lotterie auf der Welt, bei der Millionen ausgeschüttet werden, und die Lose kostenlos sind. (Legale Online-Gewinnspiele haben einen anderen Sinn. Dazu später.) Geben Sie auch noch ihre PIN und eine Transaktionsnummer an, ist ihr Geld weg, wenn sich die Seite nach dem „Senden-Klick“ neu aufgebaut hat.

Genug der Vorbemerkungen: Was können Sie dagegen tun?

„Hilfe, mein Postfach wird zugemüllt – Spam und kein Ende?“ weiterlesen