Willkommen im User-Forum von mailbox.org
 
Neues Thema
mailbox.org UserforumThemaFrageSpam und Viren
Eigenschaften
Kategorie Spam und Viren
Tags spam

Spam-Mail erst erkannt, kurze später nicht erkannt ... ?

Fabian hat dies geteilt, 9 Monaten her
unbeantwortet

Hi zusammen, ich bin seit einigen Wochen Kunde und habe mal eine Frage zum Spamfilter, bzw. konkreter zum "Anlernen". Bisher wurden die meisten Spams soweit gut erkannt, diese Woche ist mir jedoch folgendes aufgefallen - siehe dazu Screenshot anbei.

Die Spam von "Moneycourier" (1) wurde korrekt als Spam geflaggt. Heute kam jedoch exakt die gleiche Spam (2) in meinen Posteingang. Ich habe sie erst im Posteingang als Spam markiert, so dass sie dann wie im Screenshot zu sehen nach Spam verschoben ist.

bbf0315158f0349fcee2ad910de55038Wie kann das sein, dass die genau gleiche Spammail einmal korrekt als Spam erkannt und ein paar Tage später nicht erkannt wurde?

Es ist aber generell richtig, den Spamfilter anzulernen, in dem man false-positives als Spam markiert und in Spam verschiebt ... korrekt?

Danke & Gruss!

1 Ich habe die gleiche Frage
Beste Antwort
Foto
zapata 9 Monaten her

Laut X-Spam-Status: 6 (Required). Kannst du aber ändern, indem du den "Content spam filter" auf "strict" setzt (required 6 -> 5). Kann/wird aber zu einigen false positives führen! Ob beide MX Server die gleiche RSpamd/Amavisd Konfiguration haben und inwiefern sich die Einstellungen an den beiden Tagen unterschieden haben, wird dir, wenn, nur der Support beantworten können.

Antworten (1)

Foto
1
Stephan 9 Monaten her

Sind die beiden E-Mails wirklich identisch? Ich beziehe mich hier auf die Header, denn der Inhalt trägt nur wenig zur Erkennung als Spam bei.


https://kb.mailbox.org/de/privat/e-mail-artikel/spam-und-virenschutz-bei-mailbox-org


Zudem ist die Klassifizierung ein dynamischer Prozess. Ein Host, der heute als Spam-Schleuder bekannt ist, kann morgen schon wieder als "sauber" gelten.


Aber ja, Dein Vorgehen zum Anlernen ist korrekt.

Antworten
Foto
1
Fabian 9 Monaten her

Danke Dir Stephan! Ich hab die Header bei beiden mal verglichen und einen diff gemacht - siehe Screenshot. Rot war die korrekt als Spam erkannte Mail, die in grün die nicht erkannte, nur 2 Tage später. Der Spamscore bei der nicht-erkannten liegt bei 5. Ich weiss jetzt nicht, welches der Threshold zur Spamklassifizierung ist, aber der scheint nicht viel weiter drüber zu sein.ee007d6e5bc6d60ef2bccec0b3fe0924

Trotzdem ist der (Spam-)Host wie ich das sehe exakt der Gleiche. Ich gehe auch davon aus, dass die Mailbox.org Spamfilter auf jedem Mailserver (mx1 und mx2) identisch konfiguriert sind, da beide Spams von einem anderen Mailserver verarbeitet wurden.

Ist jetzt nicht wirklich kritisch, trotzdem interessiert es mich einfach. ;-) Vielleicht hat ja noch jemand eine Idee?

Foto
1
zapata 9 Monaten her

Laut X-Spam-Status: 6 (Required). Kannst du aber ändern, indem du den "Content spam filter" auf "strict" setzt (required 6 -> 5). Kann/wird aber zu einigen false positives führen! Ob beide MX Server die gleiche RSpamd/Amavisd Konfiguration haben und inwiefern sich die Einstellungen an den beiden Tagen unterschieden haben, wird dir, wenn, nur der Support beantworten können.

Foto
1
Fabian 9 Monaten her

Danke zapata! Wollte das Thema wie gesagt nicht überanalysieren, grundsätzlich bin ich mit dem Spamfilter zufrieden. Ich habe auch alles auf den Default-Einstellungen belassen... Mal schlüpft was durch, aber da hoffe ich mal, dass durch das Training das etwas besser wird.


Generell würde ich mir noch etwas mehr Einstellungsmöglichkeiten beim Spamfilter wünschen. Ich war vorher mit meiner eigenen Domain bei MXGuardDog und dort gab es sehr mächtige Funktionen wie Landesbasierte-Blockfilter, eigene reguläre Ausdrucke für Blacklists möglich, blocken von TLDs, usw. usw. Ist aber auch ein Kompromiss wie viel Einstellungsmöglichkeiten man dem Nutzer zumuten möchte.


Das Risiko für mehr False-Positives ist mir bei einem strikteren Setting derzeit nicht Wert - ich lasse es erstmal weiter laufen und schaue mal, ob dieser konkrete Fall (zwei anscheinend exakt gleiche Spams einmal erkannt & nicht erkannt) noch mal auftritt.

Foto
1
Fabian 9 Monaten her

Update: Das gleiche trat heute wieder auf. Allerdings war der Absender/Host leicht unterschiedlich. Vom Aufbau war die Mail jedoch identisch. Screen 1 zeigt die erkannte Spam von gestern:

a523851d529e313469bab01cc308f2c9

Heute kam die fast identische Spam direkt in den Posteingang:

21060144e90df61ca1aa34381adbfc4f

95% meiner Spams haben immer diesen gleichen Aufbau wie im Screenshot zu erkennen. Meistens steht irgendein Werbemüll wie eben oben zu sehen als Absendername ("druckerpatronen.de") und dann steht im Absenderdomain irgendeine Ländersubdomain ("nl") und danach irgendeine Mülldomain.

Ich hatte bei meinem vorherigen Hoster schon Probleme diese Art vom Spams zu blocken, da der Aufbau immer genau gleich ist, aber die Hauptdomain immer wechselt. Selbst Versuche diese Domains auf eine Blacklist jedesmal zu setzen waren für die Katz, da alle paar Tage eine neue Domain kam.

Hat jemand eine Idee wieso es anscheinend unmöglich ist, zumindest diese Art von Spam in den Griff zu kriegen und vernünftig zu blocken? Einfach nur mega nervig...

Bringt das "Anlernen" dieser Art vom Spam Eurer Erfahrung nach etwas langfristig mit dem mailbox.org Filter?

Foto
1
zapata 9 Monaten her

Hast du dir den Header der E-Mails genauer angeschaut? Bist du vielleicht auf einem Newsletter gelandet? Wenn man sich die Server im SPF-Eintrag anschaut, stößt man auf die Firma adRom Holding AG; die betreiben offenbar Server bei Hetzner, IP Exchange/NorthC Deutschland, etc.

Beim (m)einem privaten Mailserver würde ich es eventuell mal mit check_(sender|client)_ns_access (dnssocket.net reject) probieren.

Foto
1
Fabian 9 Monaten her

Danke zapata, ja den Header habe ich mir angeschaut. Leider bin ich nicht so tief in der Materie um daraus exakt ableiten zu können, wieso sie durchgerutscht ist: 

Return-Path: <b15czuarazzu3fb3rvr80t530366@nl.meintierportal.de>
Delivered-To: mail@meinedomain.com
Received: from director-04.heinlein-hosting.de ([2001:67c:2050:104:0:1:25:1])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits))
	by dobby36b.heinlein-hosting.de with LMTPS
	id KKrfIDApwWQWagEAmrdoQw
	(envelope-from <b15czuarazzu3fb3rvr80t530366@nl.meintierportal.de>)
	for <mail@meinedomain.com>; Wed, 26 Jul 2023 16:09:52 +0200
Received: from mx1.mailbox.org ([2001:67c:2050:104:0:1:25:1])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits))
	by director-04.heinlein-hosting.de with LMTPS
	id uPjUHzApwWSLGgAAgupzMw
	(envelope-from <b15czuarazzu3fb3rvr80t530366@nl.meintierportal.de>)
	for <mail@meinedomain.com>; Wed, 26 Jul 2023 16:09:52 +0200
Authentication-Results: spamfilter02.heinlein-hosting.de (amavisd-new);
	dkim=pass (1024-bit key) header.d=nl.meintierportal.de
Received: from smtpszdg.cpxmedia.com (smtpszdg.cpxmedia.com [62.146.123.47])
	(using TLSv1.2 with cipher AES256-GCM-SHA384 (256/256 bits))
	(No client certificate requested)
	by mx1.mailbox.org (Postfix) with ESMTPS id E52064077B
	for <mail@meinedomain.com>; Wed, 26 Jul 2023 16:09:37 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; bh=qnpWO3cTFiwmeNC3/3tm56wAq+Vfs0x5X/yfxiHjlSo=;
 c=relaxed/relaxed; d=nl.meintierportal.de; s=smtp;
 h=MIME-Version:To:From:Subject:Date:Content-Type:Message-ID:List-Unsubscribe:List-Unsubscribe-Post;
 b=DURXvx6UKLrfnH8udMqC8Nc1SJmMyKVnCuv5hYM6yqy+FEEEx8Hzoe4a55RI6YMkVrEURSCHfEZCKHTXF9bdno0OyDgY0USk75olaaJ+z/iWMwCh8QjPtaJmxWBEN7BA7JvyiQfeOXJxiHM0y5pC15GYfqHdwhOvO8yMKVIJoj4=
MIME-Version: 1.0
X-Mailer: EmailSocket 1.0.9 (Build 59719080)
To: mail@meinedomain.com
From: "druckerpatronen.de" <dp@nl.meintierportal.de>
Subject: =?utf-8?Q?=F0=9F=8D=80Jetzt_schnell_?=
	=?utf-8?Q?und_g=C3=BCnstig_Druck?=
	=?utf-8?Q?erpatronen_bestell?=
	=?utf-8?Q?en!?=
X-MailingId: 530366
Date: Wed, 26 Jul 2023 16:08:43 +0200
X-Date-Sent: Wed, 26 Jul 2023 16:08:43 +0200
X-ProcessingId: MjAyMzA3MjYxNDA4NDMwOTMzOTM5X21haWxAZmFiaWFuc2NodWx6Lm1l
Message-ID: <638259773234840384.15mzuarazzu3fb3rvr80@emailsocket.com>
List-Unsubscribe: <mailto:complaint15czuarazzu3fb3rvr80t530366@nl.meintierportal.de>,
 <<a href="https://lu.emailsocket.com/u/complaint15czuarazzu3fb3rvr80t530366>" rel="nofollow noopener" target="_blank">https://lu.emailsocket.com/u/complaint15czuarazzu3fb3rvr80t530366></a>;;
List-Unsubscribe-Post: List-Unsubscribe=One-Click
X-Report-Abuse: Please forward a copy of this message, including all headers, to
 abuse@emailsocket.com
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_49F1_C6EE4982.2FD1768A"
X-Rspamd-Queue-Id: E52064077B
X-Rspamd-Score: 8.55 / 15.00 / 15.00
X-MBO-SPAM-Probability: ******
Aber zu Deinem zweiten Punkt: ja, es sind diese Penner der adRom Holding AG :( Wenn man mal ein wenig nach deren Namen sucht, findet man seitenweise Beschwerden zu deren aggresiven Spam-"Newslettern", hier nur ein Beispiel:

Der Ärger der Verbraucher über die vielen Spam-Mails - Verbraucherschutz.de

Diese Spams sind wie Kleber den man irgendwie nicht abwaschen kann. Ich glaube wenn ich das richtig gesehen habe, verschicken diese ihre Spams mit validen DKIM Signaturen über "seriöse" Server und die (so vermute ich) werden deswegen manchmal nicht als Spam erkannt werden. Es greifen dann zwar die Inhaltsfilter, aber andere Merkmale wie bei den meisten Spams eben nicht.

Zu Deiner letzten Frage: ich habe keinen privaten Mailserver - mein Mailserver ist mailbox.org ;-) Ich habe meine private Domain zu mailbox.org gezogen und somit filtert MBO neben meiner MBO-EMail Adresse eben auch die Mails von meiner eigenen Domain (und die ist leider eben auch in der Datenbank von den adRom Holding Spammern).

Evtl. wäre noch eine Option die Filter-Agression etwas schärfer zu stellen, damit habe ich aber noch nicht expermimentiert.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen
© 2024 mailbox.org