Nicht erkannte Spam-Mails?

[Carpeventum]

Guten Morgen zusammen,

ich erhalte von den Anwendern Mails, die nicht als Spam gekennzeichnet werden, obwohl der X-Spam-Level auf 1000 steht...


Date: Mon, 14 Apr 2008 20:02:57 +0200
Message-ID: <3f89201c89e59$c5116a70$46676d56@VPS101>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_3F893_01C89E6A.889A3A70"
X-Mailer: Microsoft CDO for Windows 2000
Disposition-Notification-To: <response@frontline-academy.eu>
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.2929
X-Virus-Scanned: by Intranator (www.intranator.com) with AMaViS and F-Secure AntiVirus (fsavdb 2008-04-14_06)
X-Spam-Status: hits=0.0 tests=[BAYES_50=0.001,HTML_MESSAGE=0.001]
X-Spam-Level: 1000

This is a multi-part message in MIME format.

------=_NextPart_000_3F893_01C89E6A.889A3A70
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


Leider flutschen auch solche Mails wie nachfolgend durch den Spamfilter (Absenderdomain war @t-online.de):

Subject: Ficken wie ein Weltmeister ?
Date: Mon, 14 Apr 2008 20:55:28 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0006_01C89E71.DE696000"
X-Mailer: Microsoft Office Outlook, Build 11.0.6353
Thread-Index: Aca6QNIV9SE0NF3XCBM069SN8OBKVR==
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1409
Message-ID: <01c89e71$de696000$38346855@schultze389>
X-Virus-Scanned: by Intranator (www.intranator.com) with AMaViS and F-Secure AntiVirus (fsavdb 2008-04-14_06)
X-Spam-Status: hits=-9969.2
tests=[BAYES_80=2,HASH_IX=1.5,HASH_LOGIN=1.5,HELO_DYNAMIC _DHCP=1.398,HTML_MESSAGE=0.001,RAZOR2_CF_RANGE_51_ 100=0.5,RAZOR2_CF_RANGE_E4_51_100=1.5,RAZOR2_CF_RA NGE_E8_51_100=1.5,RAZOR2_CHECK=0.5,RCVD_IN_BL_SPAM COP_NET=1.96,RCVD_IN_NIX_SPAM=1.5,RCVD_IN_PBL=0.90 5,RCVD_IN_UCEPROTECT1=1,RCVD_IN_UCEPROTECT2=0.5,RC VD_IN_UCEPROTECT3=0.1,RCVD_IN_XBL=3.033,RDNS_NONE= 0.1,URIBL_BLACK=1.955,URIBL_JP_SURBL=1.501,URIBL_O B_SURBL=1.5,URIBL_RHS_DOB=1.083,URIBL_SBL=1.499,UR IBL_SC_SURBL=0.474,URIBL_SC_SWINOG=1.5,XMAILER_MIM EOLE_OL_3857F=0.83]
X-Spam-Level: 0

This is a multi-part message in MIME format.

------=_NextPart_000_0006_01C89E71.DE696000
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit

Online Apotheke - original Qualitaet - 100% wirksam

Spezialangebot: Vi&iaaaagra.. 10 Tab. 100 mg + Ciiaaaaaalis.. 10 Tab. x 20 mg 53,82 Euro
------------------
Vi&iaaaagra.. 10 Tab. - 26,20 Euro
Vi&iaaaagra.. 30 Tab. - 51,97 Euro - Sie sparen: 27,00 Euro
Vi&iaaaagra.. 60 Tab. - 95,69 Euro - Sie sparen: 62,00 Euro
Vi&iaaaagra.. 90 Tab. - 136,91 Euro - Sie sparen: 100,00 Euro

VPXXL 1 - 32.58 Euro
VPXXL 3 - 88.82 Euro - Sie sparen: 9,00 Euro
VPXXL 6 - 161.95 Euro - Sie sparen: 34,00 Euro + Free Airmail shipping
VPXXL 9 - 220.09 Euro - Sie sparen: 73,00 Euro + Free Airmail shipping

Ciiaaaaaalis.. 10 Tab. - 30,00 Euro
Ciiaaaaaalis.. 20 Tab. - 59,35 Euro - Sie sparen: 2,00 Euro
Ciiaaaaaalis.. 30 Tab. - 80,30 Euro - Sie sparen: 12,00 Euro

------------------

Bestellen Sie jetzt und vergessen Sie Ihre Enttauschungen, anhaltende Versagensaengste und wiederholte peinliche Situationen

Jetzt bestellen - und vier Pillen umsonst erhalten

http://againpull.com


Die Domains solcher Mails sind nicht auf unserer Whitelist (nur global) verzeichnet. Als Schwellwerte sind dort 5 bzw. 8 konfiguriert.

Man kann schlecht @t-online.de auf die Blacklist stellen, noch die anderen (Spam-)Domains in selbiger nachpflegen.
Wie kann man sich gegen solche Spams wehren?


Vielen Dank!

CV

[Gerd von Egidy]

Hallo,

das sieht mir ganz so aus, als ob die Mails doch durch die Whitelist durchgelassen wurden.

Wenn Sie etwas in der globalen Whitelist eintragen (Dienste > Emailfilter > Spam > Global), gilt das nicht nur für den globalen Spamfilter, sondern auch für alle Benutzer-Spamfilter.

Herzliche Grüße,

v. Egidy

[Carpeventum]

Hallo Herr von Egidy,

ich habe nachgesehen, t-online.de steht (stand) drauf, falscher Fehler...

@frontline-academy.eu steht allerdings nicht drauf, X-Spam steht auf 1000 und es kam dennoch im Postfach an.

Hier ein weiteres Beispiel von den Domänen blueteamcomputers.it und qro1.uninet.net.mx mit gleichem Phänomen:


Precedence: bulk
X-list: nospam
X-Virus-Scanned: by Intranator (www.intranator.com) with AMaViS and F-Secure AntiVirus (fsavdb 2008-04-17_01)
X-Spam-Status: hits=0.0
X-Spam-Level: 1000

This is a multi-part message in MIME format.
--------------030505090706090503020202
Content-Type: text/plain; charset=iso-8859-1; format=flowed
Content-Transfer-Encoding: 8bit

Das ist eine Spam!

-------- Original-Nachricht --------
Betreff: temp
Datum: Wed, 16 Apr 2008 22:03:15 +0600
Von: Margaret Diaz <teflon@qro1.uninet.net.mx>
Antwort an: teflon@qro1.uninet.net.mx

*First Class Travel, Vacations & Cash*

This is the first time a travel product has been offered with the unique
use of the Revolving Matrix System.

Utilising a Simple, but Effective Compensation Plan that requires
advancement through only 4 levels. . .

Reservation
Planner
Standby
Traveller

Finally, YOU can be in a position to earn huge cash rewards PLUS
fantastic travel and vacation packages.

*Reserve Your Place Here* <http://www.clubfreedom.biz/perfections>



*Pack Your Bags You Have a Vacation*

*Just imagine. . .*
A vacation and cash for you and your family whenever you want for only $200.

*Guess what. . .*
You can have this, not
once, but over and over!

*Interested?*
To learn more about this incredible opportunity and how you can
participate . . .

*Simply Click Here* <http://www.clubfreedom.biz/perfections>

[Gerd von Egidy]

Hallo,

das ist ja keine Spam-Email, sondern eine Spam-Email die von einem tatsächlichen Benutzer an Sie weitergeleitet wurde. Daher hat sie 0 Punkte bekommen, da es ja eine reguläre und erwünschte Email ist.

Sie müssten die Kopfzeilen der tatsächlichen Spam-Email schicken, damit ich Ihnen sagen kann warum der die nicht erkannt hat.

Herzliche Grüße,

v. Egidy

[Reinhard Pfau]

Noch eine Anmerkung zum "X-Spam-Level"; dieser Wert ist eigentlich nur für Mail-Clients gedacht, die danach sortieren können.
Er berechnet sich i.w. aus dem "hits"-Wert beim X-Spam-Status durch:

runden( 1000 + (hits * 10 ) )

(Werte kleiner 0 werden auf 0 gesetzt).

Damit erklärt sich, warum "kein SPAM" (hits=0.0) trotzdem einen X-Spam-Level von 1000 hat. Das ist sozusagen der 0 Wert.
Der eigentliche interessante Wert ist der Wert "hits" und die "X-Spam-Status"-Zeile..

(Hintergrund: manche Mailclients können numerische Vergleiche in Kopfzeilen nur ganzzahlig durchführen; daher wird aus dem "hits"-Wert ein brauchbarer Ganzzahlwert hergeleitet und mit in den Mailkopf gesteckt.)

Nur zur Info

Mit freundlichen Grüßen,
Reinhard Pfau.

[Carpeventum]

Anbei der Header einer solchen Mail:


From - Wed Apr 23 12:35:44 2008
X-Account-Key: account2
X-UIDL: 1207315502.10152
X-Mozilla-Status: 1001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys: Return-Path: <ljohnson06@lear.com>
Received: from xxxxxxxxxxx ([unix socket])
by xxxxxxxxxxxx (Cyrus v2.2.13) with LMTPA;
Wed, 23 Apr 2008 12:13:56 +0200
X-Sieve: CMU Sieve 2.2
Received: by xxxxxxxxxx (Postfix)
id CE9451E06B; Wed, 23 Apr 2008 12:13:56 +0200 (CEST)
Delivered-To: xxxxxxxxxxx
Received: from localhost (xxxxxxxxx [127.0.0.1])
by localhost (Postfix) with ESMTP id 041CA1E066
for <xxxxxxxxxxx>; Wed, 23 Apr 2008 12:13:56 +0200 (CEST)
Received: from Relay1 (xxxxxxxxxxx)
by xxxxxxxx (Postfix) with ESMTP id A622F1E04B
for <xxxxxxxxxxxx>; Wed, 23 Apr 2008 12:13:51 +0200 (CEST)
Received: from dsl.static81215105152.ttnet.net.tr (unknown [81.215.105.152])
by Relay1 (Postfix) with ESMTP id 2FB17EFE5
for <xxxxxxxxxxx>; Wed, 23 Apr 2008 12:13:51 +0200 (CEST)
Message-ID: <000a01c8a52a$0800a769$2c920f81@ddcxrik>
From: "Bvlgari Watches" <ljohnson06@lear.com>
To: "Rolex Watches" <xxxxxxxxxxxxxxxxx>
Subject: Officine Panerai Watches
Date: Wed, 23 Apr 2008 08:26:18 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0007_01C8A52A.07FB2A46"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3138
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
X-Virus-Scanned: by Intranator (www.intranator.com) with AMaViS and F-Secure AntiVirus (fsavdb 2008-04-23_04)
X-Spam-Status: hits=-9962.6
tests=[BAYES_99=3.5,DOS_OE_TO_MX=2.75,HASH_LOGIN=1.5,HTML _MESSAGE=0.001,RAZOR2_CF_RANGE_51_100=0.5,RAZOR2_C F_RANGE_E4_51_100=1.5,RAZOR2_CF_RANGE_E8_51_100=1. 5,RAZOR2_CHECK=0.5,RCVD_IN_BL_SPAMCOP_NET=1.96,RCV D_IN_NIX_SPAM=1.5,RCVD_IN_PSBL=1,RCVD_IN_SWINOG_SP AM=1,RCVD_IN_UCEPROTECT1=1,RCVD_IN_UCEPROTECT2=0.5 ,RCVD_IN_UCEPROTECT3=0.1,RCVD_IN_XBL=3.033,RDNS_NO NE=0.1,REPLICA_WATCH=3.396,URIBL_BLACK=1.955,URIBL _JP_SURBL=1.501,URIBL_OB_SURBL=1.5,URIBL_RHS_DOB=1 .083,URIBL_SBL=1.499,URIBL_SC_SURBL=0.474,URIBL_SC _SWINOG=1.5,URIBL_WS_SURBL=1.5]
X-Spam-Level: 0

This is a multi-part message in MIME format.

------=_NextPart_000_0007_01C8A52A.07FB2A46
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Buy a replica Rolex at only a fraction of the price!

You can safe 15% if you buy 2 or more watches!

&nbsp;Go to that cocktail party with this watch, and be sure to catch =
people's attention.=20
You'll have all the class, and still have all your money.=20
Come to&nbsp;replica watches shop!
------=_NextPart_000_0007_01C8A52A.07FB2A46
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-1">
<META content=3D"MSHTML 6.00.2900.3199" name=3DGENERATOR>
<STYLE></STYLE>

</HEAD>
<BODY bgColor=3D#ffffff>
<font size=3D"3" face=3D"Verdana"><p align=3D"center"><font =
face=3D"Verdana"><font size=3D"4"><strong><font color=3D"#ff9900"><font =
color=3D"#333399">Buy a replica Rolex at only a fraction of the =
price!</font><br /></font></strong></font><br /><strong>You can safe 15% =
if you buy 2 or more watches!</strong><br /><br />&nbsp;Go to that =
cocktail party with this watch, and be sure to catch people's attention. =

<br />You'll have all the class, and still have all your money. =
</font></p>
<p align=3D"center"><font face=3D"Verdana" size=3D"4"><a =
href=3D"http://bolksuep.com/"><strong>Come to&nbsp;replica watches =
shop!</strong></a></font></p></font></BODY></HTML>

[Thomas Jarosch]

Hallo,

X-Spam-Status: hits=-9962.6
tests=[BAYES_99=3.5,DOS_OE_TO_MX=2.75,HASH_LOGIN=1.5,HTML _MESSAGE=0.001,RAZOR2_CF_RANGE_51_100=0.5,RAZOR2_C F_RANGE_E4_51_100=1.5,RAZOR2_CF_RANGE_E8_51_100=1. 5,RAZOR2_CHECK=0.5,RCVD_IN_BL_SPAMCOP_NET=1.96,RCV D_IN_NIX_SPAM=1.5,RCVD_IN_PSBL=1,RCVD_IN_SWINOG_SP AM=1,RCVD_IN_UCEPROTECT1=1,RCVD_IN_UCEPROTECT2=0.5 ,RCVD_IN_UCEPROTECT3=0.1,RCVD_IN_XBL=3.033,RDNS_NO NE=0.1,REPLICA_WATCH=3.396,URIBL_BLACK=1.955,URIBL _JP_SURBL=1.501,URIBL_OB_SURBL=1.5,URIBL_RHS_DOB=1 .083,URIBL_SBL=1.499,URIBL_SC_SURBL=0.474,URIBL_SC _SWINOG=1.5,URIBL_WS_SURBL=1.5]
X-Spam-Level: 0

Es scheint wohl so, daß entweder der Absender oder Empfänger der Nachricht auf der Whitelist des Spamfilters stehen. Haben Sie vielleicht zufällig Ihre eigene Domain in der Whitelist?

Ob die Whitelist aktiv ist erkennt man ganz gut an einem Punktwert von -999x: Steht ein Absender oder Empfänger in der Whitelist, so wird der Wert -9999 auf die eigentlichen Spam-Punktwert addiert. Die oben genannte Nachricht wäre normalerweise bei 38 und mit ziemlicher Sicherheit im Spam-Ordner gelandet, selbst wenn der Preis der Rolex bestimmt unschlagbar ist

Herzliche Grüsse,
Thomas Jarosch