Wie blocke ich den Werbemist der adRom-Spammer / Spams nicht erkannt

Danke @lufer. Der Mailsource war nur exemplarisch um den Aufbau zu zeigen von diesen Spams - es kommen von ca. 10 Stück, 3-4 in die Inbox - in schöner Regelmäßigkeit, der Rest wird erkannt (Inhaltsfilter auf "hart"). Ich poste mal den Source von einer dieser Spams, sobald die nächste in die Inbox kommt (die aus dem Beispiel war dann anscheinend aus dem Junk-Ordner).

Den Opt-Out habe ich nicht probiert ... ehrlich gesagt habe ich da Angst, dass dann danach noch mehr von diesen Mistspams kommt. Es steht im Mailimpressum dieser Mails immer Folgendes:

Keine Ahnung wie "sicher" dass ist, dort zu versuchen Druck zu machen und um ein Opt-Out zu betteln.

Aber die Maildomains haben ja alle einen ähnlichen Aufbau: was hälst Du von der Idee, alles mit "nl." in der Domain aus dem Envelope zu blocken? Denke das Risiko von False-positives sollte überschaubar sein, oder?

Hi @lufer,

hier wieder eine dieser Werbespams, die trotz aller strengsten Spameinstellungen (Inhaltsfilter = "hart") in meine Inbox gekommen ist (nicht nach Spam).

Absender hat wieder die bekannte Form: "envelope-from <b15czuagaa3u3fb3rvr71t534339@nl.xxl-berater.de"

Hier der Mailsource:

Return-Path: <b15czuagaa3u3fb3rvr71t534339@nl.xxl-berater.de>
Delivered-To: mail@meinedomain.com
Received: from director-02.heinlein-hosting.de ([2001:67c:2050:104:0:2:25:2])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits))
	by dobby36b.heinlein-hosting.de with LMTPS
	id 2DmOBZH1E2X9pgEAmrdoQw
	(envelope-from <b15czuagaa3u3fb3rvr71t534339@nl.xxl-berater.de>)
	for <mail@meinedomain.com>; Wed, 27 Sep 2023 11:27:45 +0200
Received: from mx2.mailbox.org ([2001:67c:2050:104:0:2:25:2])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits))
	by director-02.heinlein-hosting.de with LMTPS
	id gFZhBJH1E2WufgEAlp8NpQ
	(envelope-from <b15czuagaa3u3fb3rvr71t534339@nl.xxl-berater.de>)
	for <mail@meinedomain.com>; Wed, 27 Sep 2023 11:27:45 +0200
X-Spam-Flag: NO
X-Spam-Score: 2.913
X-Spam-Level: **
X-Spam-Status: No, score=2.913 tagged_above=2 required=5
	tests=[DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
	HS_RSPAMD_12_13=3, HTML_FONT_LOW_CONTRAST=0.001, HTML_MESSAGE=0.001,
	RCVD_IN_DNSWL_NONE=-0.0001, RCVD_IN_MSPIKE_H3=0.001,
	RCVD_IN_MSPIKE_WL=0.001, SPF_HELO_PASS=-0.001, SPF_PASS=-0.001,
	T_KAM_HTML_FONT_INVALID=0.01, URIBL_BLOCKED=0.001]
	autolearn=no autolearn_force=no
Authentication-Results: spamfilter02.heinlein-hosting.de (amavisd-new);
	dkim=pass (1024-bit key) header.d=nl.xxl-berater.de
Received: from smtpddbwjebo.emailsocket.de (smtpddbwjebo.emailsocket.de [78.47.229.39])
	by mx2.mailbox.org (Postfix) with SMTP id 6CE8DA5F91
	for <mail@meinedomain.com>; Wed, 27 Sep 2023 11:27:42 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; bh=toaRDXab4L0I2oiWio9/N2GQyxR2jqVFe0bEdsf/vLw=;
 c=relaxed/relaxed; d=nl.xxl-berater.de; s=directsend;
 h=MIME-Version:To:From:Subject:Date:Content-Type:Message-ID:List-Unsubscribe:List-Unsubscribe-Post;
 b=WQtXn1RphYKQ5vIXmt4yhAJnsQ8I3Jv7koOS2GWMEPiV0e7ZZf6YcnttvekRD+x9Wjk7SS8ot5wurUHb32mFxlDs8WZ3hNfGCiu3FUPmFG4DAgcM0Z5HnPJmaIr4lMTFc9bB5weSMTZ7fiwvTkrMwzsyU0k8v4uWhE5JQWUQNiI=
MIME-Version: 1.0
X-Mailer: EmailSocket 1.0.9 (Build 59719080)
To: mail@meinedomain.com
From: "Sofortentscheidung zu Ihrem Kreditkartenlimit"
 <Kreditkarte@nl.xxl-berater.de>
Subject: =?utf-8?Q?Kreditkarte_ohne_J?=
	=?utf-8?Q?ahresgeb=C3=BChr_-_jet?=
	=?utf-8?Q?zt_beantragen?=
X-MailingId: 534339
Date: Wed, 27 Sep 2023 11:19:42 +0200
X-Date-Sent: Wed, 27 Sep 2023 11:20:16 +0200
X-ProcessingId: MjAyMzA5MjcwOTE5NDIxODY4NTc0X21haWxAZmFiaWFuc2NodWx6Lm1l
Message-ID: <638314031829994118.15mzuagaa3u3fb3rvr71@emailsocket.com>
List-Unsubscribe: <mailto:complaint15czuagaa3u3fb3rvr71t534339@nl.xxl-berater.de>,
 <<a href="https://lu.emailsocket.com/u/complaint15czuagaa3u3fb3rvr71t534339>" rel="nofollow noopener" target="_blank"><a href="https://lu.emailsocket.com/u/complaint15czuagaa3u3fb3rvr71t534339></a>" rel="nofollow noopener" target="_blank">https://lu.emailsocket.com/u/complaint15czuagaa3u3fb3rvr71t534339></a></a>;;;
List-Unsubscribe-Post: List-Unsubscribe=One-Click
X-Report-Abuse: Please forward a copy of this message, including all headers, to
 abuse@emailsocket.com
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_243C_82E28210.05313C2D"
X-MBO-SPAM-Probability: *********
X-Rspamd-Score: 12.76 / 15.00 / 15.00
X-Rspamd-Queue-Id: 6CE8DA5F91

#######################################################################Und hier die nächste ... 20 Minuten später, wieder in die Inbox. Und täglich grüsst das Murmeltier:

#######################################################################

Return-Path: <b15czuagarvu3fb3rvr72t534308@nl.echt.fit>
Delivered-To: mail@meinedomain.com
Received: from director-04.heinlein-hosting.de ([2001:67c:2050:104:0:1:25:1])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits))
	by dobby36b.heinlein-hosting.de with LMTPS
	id aO0tE/37E2X9pgEAmrdoQw
	(envelope-from <b15czuagarvu3fb3rvr72t534308@nl.echt.fit>)
	for <mail@meinedomain.com>; Wed, 27 Sep 2023 11:55:09 +0200
Received: from mx1.mailbox.org ([2001:67c:2050:104:0:1:25:1])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits))
	by director-04.heinlein-hosting.de with LMTPS
	id QHpwEf37E2WuGAEAgupzMw
	(envelope-from <b15czuagarvu3fb3rvr72t534308@nl.echt.fit>)
	for <mail@meinedomain.com>; Wed, 27 Sep 2023 11:55:09 +0200
X-Spam-Flag: NO
X-Spam-Score: 2.911
X-Spam-Level: **
X-Spam-Status: No, score=2.911 tagged_above=2 required=5
	tests=[DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
	FROM_SUSPICIOUS_NTLD=0.001, FROM_SUSPICIOUS_NTLD_FP=1.999,
	HS_RSPAMD_6_7=1, HTML_MESSAGE=0.001, PDS_OTHER_BAD_TLD=0.001,
	RCVD_IN_DNSWL_NONE=-0.0001, SPF_HELO_PASS=-0.001, SPF_PASS=-0.001,
	T_KAM_HTML_FONT_INVALID=0.01, URIBL_BLOCKED=0.001]
	autolearn=no autolearn_force=no
Authentication-Results: spamfilter02.heinlein-hosting.de (amavisd-new);
	dkim=pass (1024-bit key) header.d=nl.echt.fit
Received: from smtprzzh.emailsoftware.net (smtprzzh.emailsoftware.net [62.146.118.8])
	(using TLSv1.2 with cipher AES256-GCM-SHA384 (256/256 bits))
	(No client certificate requested)
	by mx1.mailbox.org (Postfix) with ESMTPS id B417C407BB
	for <mail@meinedomain.com>; Wed, 27 Sep 2023 11:55:05 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; bh=sIrtix3THwrDIk4jkf9GnGDN/jio+3C+L0o4x/WIbZA=;
 c=relaxed/relaxed; d=nl.echt.fit; s=directsend;
 h=MIME-Version:To:From:Subject:Date:Content-Type:Message-ID:List-Unsubscribe:List-Unsubscribe-Post;
 b=R+LQsGDjYxoMNIY3/l0gwWOddPcPBubO5ZZua4+93lXFJZlmRvAJ/q+VT5v2W+NnZ8sGptlCVOiXS9xunq95LI31Tq1TJumH+jeLSydq8viBnnY0snWeIc1/VfXhyzGRi6eYOVEyhOBFiK1nwKlcjymUZqiBKQty6yMMrf6HGXU=
MIME-Version: 1.0
X-Mailer: EmailSocket 1.0.9 (Build 59719080)
To: mail@meinedomain.com
From: "adidas" <adidas@nl.echt.fit>
Subject: Spare 35% - egal ob in der App oder auf dem Desktop
X-MailingId: 534308
Date: Wed, 27 Sep 2023 11:53:58 +0200
X-Date-Sent: Wed, 27 Sep 2023 11:53:54 +0200
X-ProcessingId: MjAyMzA5MjcwOTUzNTQ2OTA1NDM4X21haWxAZmFiaWFuc2NodWx6Lm1l
Message-ID: <638314052382061768.15mzuagarvu3fb3rvr72@emailsocket.com>
List-Unsubscribe: <mailto:complaint15czuagarvu3fb3rvr72t534308@nl.echt.fit>,
 <<a href="https://lu.emailsocket.com/u/complaint15czuagarvu3fb3rvr72t534308>" rel="nofollow noopener" target="_blank">https://lu.emailsocket.com/u/complaint15czuagarvu3fb3rvr72t534308></a>;;
List-Unsubscribe-Post: List-Unsubscribe=One-Click
X-Report-Abuse: Please forward a copy of this message, including all headers, to
 abuse@emailsocket.com
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_AEA6_416F2427.E1452208"
X-MBO-SPAM-Probability: *****
X-Rspamd-Score: 6.02 / 15.00 / 15.00
X-Rspamd-Queue-Id: B417C407BB

Macht es Sinn, dieses Zeug an den Support zu schicken, damit mailbox.org den Spamfilter verbessert/anpasst? Ich werde jetzt anfangen, alles was mit "nl." in der Domain aus dem Envelope beginnt, zu blocken, da der Spamfilter diese Dinger leider nicht zuverlässig erkennt.

Moin Martin,

Danke, ich kenne solche cloudbasierten Anti-Spam Dienste. Ich hatte vor dem Wechsel zu Mailbox.org den Dienst MXGuarddog.com genutzt. Wenn man so einen Service nutzt, muss man im Grunde seine MX-Records zu solch einem Dienst zeigen lassen, dort findet dann das Spamfiltering/Management statt und danach werden Dir Deine gefilterten Mails zu Deinem Mailhost weitergeleitet - wo dann idealerweise KEIN Spamfiltering mehr stattfinden sollte (weil das der externe Spamfilterservice bereits getan hat).

Das heisst für meinen Fall müsste ich mich dann von Mailbox.org mit meiner eigenen Domain für einen Teil des Grundservices hier (Spamerkennung) verabschieden und aus verschiedenen Gründen möchte ich (und das war auch Teil meiner Motiviation) mein gesamten E-Mail Management an einer Stelle haben (meine mailbox.org Email UND meine private Domain).

Ich bin sonst grundsätzlich zufrieden mit der Spamerkennung hier - auch wenn ich mir ein wenig mehr Flexibilität wünschen würde (komfortablere Blacklist Erstellung, Wildcards erlauben für Domains zum Blocken usw.).

Mir ging es speziell um diese penetranten adRom Werbespams, da diese anscheinend so "clever" sind, dass sie die Filter von mailbox.org zum Großteil umgehen.

Ja, stimmt, die volle Punktzahl bei den verschiedenen " Testseiten " kann man dann nicht mehr erzielen. ( DANE, DNSSEC ... )

Auf der anderen Seite kann man aktuell nur so auch kontrollieren, was da als SPAM gefiltert wird.

Ich wünsche dir auf jeden Fall viel Erfolg & dass dich der Support unterstützen kann / konnte ... ;-)

Gruß, Martin

Hi Fabian,

ich hab' ähnliche Probleme, und baue dann tatsächlich eine eigene Blacklist.

Ich würde hier auf Inhalt enthält @nl. (<dot> nicht übersehen :-) filtern, und mal ein paar Wochen damit testen, das nicht valide Mails hängenbleiben.

Hi @TheRealRalf, Danke für Deinen Tip. Folgendes kann ich berichten: ich hatte gegen Ende letzten Jahres mal über einige Wochen ca. 25-30 nicht-erkannte Spams diesen Formates gebündelt an den mailbox.org Support gegeben. Dort wurde mir gesagt, dass man damit den zentralen Spamfilter antrainiert hat. Geholfen hat es quasi nicht, weiterhin flattern fast täglich immer dieselben adRom-Spams in meine Inbox.

Auch das "Als Spam markieren" (und damit angeblich den eigenen Spamfiltern anzulernen) ist für mich nutzlos. Ich kann das 100mal machen nur um an nächsten Tag wieder eine adRom-Spammail zu bekommen, mit dem gleichen Aufbau der Mailstruktur. Da ich jetzt schon bei insges. 3 großen Providern war kann ich sagen, dass keiner diesen adRom-Spammüll in den Griff kriegt.

Eine eigene Blacklist anhand der Domains aufzubauen, habe ich aus 2 Gründen aufgegeben: zum einen kommt quasi jedes mal eine neue Domain ins Spiel (es gibt da gefühlt eine Unendlichkeit an neuen Domains, die für diese Werbe-News-Spams generiert werden), zum anderen ist das mailbox.org Interface zum Handling von riesigen Blacklisten IMHO schlicht unbrauchbar. Keine größeren Importe von eigenen Blacklists möglich, keinerlei reguläre Ausdrücke oder Wildcards zum Blocken von Domains möglich, keine Möglichkeit ganze TLD / Top-Level-Domains zu blocken, usw. Um das alles zu machen, war ich wie geschrieben mal bei "MXGuardDog" als reinen Spamblockanbieter und habe mir die gefilterten Mails dann an meinen Email Provider weiterleiten lassen. Leider ist auch MXGuardDog bei den adRom-Spams gescheitert.

Das gute ist aber - und da hast Du recht, dass man mit einer eigenen Regel das halbwegs hier in den Griff bekommt. Ich habe mir eine eigene Regel definiert und nach Mustern geschaut, welche die immer wieder von mailbox.org nicht erkannten Spams betrifft.

Siehe folgender Screenshot - besagte adRom Spams habe ich anhand des Mailenvelopes geblockt - das scheint mir sicherer als der Inhaltsfilter. Habe das mal einige Wochen laufen lassen und bisher hält es das gut ab. Schade, dass man sich sowas selber "bauen" muss und es der Hauptspamfilter des Providers nicht hinbekommt, aber was solls.

Ja, genau so hatte ich mir das vorgestellt :-)

Ansonsten evt. mal auf Thunderbird wechseln, und dessen eigenen Spam-Filter trainieren? Wäre noch ein Versuch' wert.

Die Spammer sind halt auch nicht dumm. Es sollen so an die 90% des weltweiten Mail Traffics Spam sein. Das dann nicht alles erwischt wird, wundert mich nicht.

Des einem Newsletter, ist des anderen Spam. Du kannst nach Stichworten filtern aber auch da wird dauerndes nacharbeiten nötig sein.

Ich verwende seit ca. 15 Jahren Email Aliase. Das hat sich am wirksamsten rausgestellt. Aktuell hat der Alias Service (nur) 128000 Mails geschluckt. Hätte mehr erwartet aber das ist eine Menge, die schon nicht mehr beim Spamfilter landet. 😄

@4030395M, natürlich wenden die Spammer Tricks an um nicht im Spamfilter zu landen, aber in diesem Fall ist es immer wieder der gleiche Mailaufbau der 50% geblockt und 50% durchgeht. Und es sind definitiv keine "normalen" Newsletter, sondern Spams die einen Newsletter Aufbau haben. Hier wird seitens mailbox.org nicht durchgängig gut genug gefiltert in meinen Augen, zumal - wie beschrieben - das "Anlern" Feature auch nicht funktioniert (wie andere ebenfalls bemängelt haben).

Aliase oder andere Dienste wie AnonAddy habe ich mir auch schon überlegt, aber das nützt Dir ja nichts mehr, wenn wie in meinem Fall meine Hauptmail schon bereits "durchseucht" ist, oder? Ich nutze seit bestimmt 12 Jahren mehr oder weniger eine Hauptmail der Form "mail@meineprivatedomain.com", wahrscheinlich ist die schon in diversen Listen der Spammer enthalten.

Hätte ich sicher schon früher mit beginnen sollen, die zu verschleiern, aber das Problem ist, dass ich die bestimmt bei über 200 Diensten und Accounts im Einsatz habe und mir schlicht die Zeit fehlt, bei jedem einzelnen Dienst durch eine neue Alias-Adresse zu ersetzen. Wäre bestimmt ne Jahresaufgabe in meinem Fall...

Das generell mal ab und was durchschlüpft ist jetzt auch nicht kritisch und klar, kein Mailfilter filtert zu 100% zuverlässig - aber wenn täglich immer derselbe Mist mit demselben Aufbau durchkommt (manchmal werden sie erkannt, mal nicht), dann nervt es irgendwann.

Nun ja, ich bleibe vorerst bei meinem "Workaround" mit dem eigenen Filter. Solange es geht, wieso nicht...

Stimmt. Die Adresse ist verbrannt.

Ich habe eine Neue angelegt, Aliase eingeführt und die alten Adressen weitergeleitet. Nach und nach dann überall die Adressen geändert, wenn ich sowieso etwas dort gemacht habe. Sind jetzt fast 1000 Aliase.

Jetzt ist der perfekte Zeitpunkt zum anfangen. Noch ist es nicht zu schlimm.

@4030395M Was meinst Du denn genau mit "ich verwende nur Mail-Aliasse"? Wie kann ich mir das vorstellen?

@TheRealRalf, schau Dir mal folgenden Artikel an, da ist das Prinzip (am Beispiel AnonAddy) gut erklärt:

https://www.kuketz-blog.de/addy-io-anonyme-e-mail-weiterleitungen-zum-schutz-der-privatsphaere-identitaet/

Jeder Service und jede Firma bekommen nur ein Mail Alias. Du siehst wer die Adressen weiterverkauft oder gehackt wurde. Kommt Spam, wird das Alias gelöscht.

In den USA gibt es das auch für Telefonnummern und Kreditkarten. Das fehlt hier noch!

Ah, ok, danke für den Link. So ähnlilch mache ich das selbst auch seit Jahren :-)

Allerdings nicht als Aliasse. Ich nehm' einfach eine Adresse der Form <dienstleister-domäne>@<meine-domäne>, und hab' dort einen Catchall-Weiterleitung auf meine Hauptadresse laufen.

Spam wird dabei weitestgehend aussortiert, und wie Du schon geschrieben hast, kann ich Hacks zuordnen und die Adressen dann ggf. wegwerfen. Ist mir allerdings in den letzten 5+ Jahren noch nicht einmal untergekommen.

Und der meiste Spam kommt dann eben doch über meine veröffentlichte Geschäftsmail rein, nicht aus irgendwelchen Foren, u.ä..