Fabienne: Maßnahmen gegen Spammer

0 72

Maßnahmen gegen Spammer

Fabienne
  • meinung
  1. -1
    Zeromancer
    1. 0
      Fabienne
      1. 0
        TomIRL
        1. 0
          Fabienne
          1. 0
            Armin
          2. 0
            Sven Rautenberg
            1. 0
              Fabienne
    2. 0
      Chris
      1. 0
        Zeromancer
        1. 0
          Chris
          1. 0
            Fabienne
  2. 0
    Stefano Albrecht
    1. 0
      TomIRL
  3. 0
    Mathias Bigge
    1. 0
      wahsaga
    2. 0
      Der Martin
      1. 0
        wahsaga
        1. 0
          Chris
          1. 0
            Der Martin
      2. 0
        Armin
        1. 0

          Vernünftiger Mail-Client?

          Chris
          • e-mail
          1. 0
            Der Martin
          2. 0
            Armin
            1. 0
              Ashura
            2. 0
              Der Martin
        2. 0
          Alexander Brock
          1. 0
            Armin
            1. 0
              Alexander Brock
              1. 0
                Mathias Bigge
                1. 0
                  Alexander Brock
                  1. 0
                    Mathias Bigge
                    1. 0
                      Alexander Brock
    3. 0
      Sven Rautenberg
      1. 0
        Mathias Bigge
        1. 0
          Christian Seiler
          1. 3
            Christian Kruse
            1. 0
              Christian Seiler
              1. 0
                Tim Tepaße
  4. 0
    Christoph Zurnieden
    1. 0

      Wie funktioniert SMTP?

      Chris
      • e-mail
      1. -1
        Vinzenz Mai
        1. 0
          Henryk Plötz
          1. 0
            Vinzenz Mai
      2. 2
        Sven Rautenberg
        1. 0
          Der Martin
        2. 0

          Wie RICHTIG Mails versenden?

          Chris
          1. 1
            Henryk Plötz
            1. 0
              Chris
              1. 0
                Der Martin
        3. 0
          Henryk Plötz
          1. 0
            Sven Rautenberg
            1. 0
              Christian Kruse
      3. 0
        Christoph Zurnieden
  5. 0
    Alexander Brock
    1. 0
      Sven Rautenberg
      1. 0
        Alexander Brock
  6. 0
    Andreas Lindig
    1. 0
      Alexander Brock
      1. 0
        at
        1. 0
          Alexander Brock
          1. 0
            at
            1. 0

              Formmailer

              Alexander Brock
      2. 0
        Andreas Lindig
        1. 0
          Andreas Lindig
        2. 0
          Alexander Brock
        3. 0
          Detlef G.
    2. 0
      Detlef G.
      1. 0
        Andreas Lindig
    3. 0
      Johannes Zeller
    4. 0
      Christian Seiler
  7. 0

    Software gegen Spammer

    Alexander Brock

Hallo zusammen,

was könnte man eurer Meinung nach am besten gegen Spammer machen?
Was ist sinnvoll?
Zur Zeit erhalte ich Unmengen an "Return"- und "Failure"-Mails, die über irgendwas@meine_domain.tld verschickt werden. Meistens sind es irgendwelche "Pills" und "Viagra"-Mails....

Bringt es was, Anzeige gegen unbekannt zu erstatten?
... Nur um das mal Aktenkundig zu machen, nicht dass ich selbst dann als Retour-Kutsche eine Anzeig erhalte, weil _ich_ :-) so viel Spam-Mails verschicke?

Was ist eure Meinung?

Grüße Fab

  1. Hallo Fabienne,

    was könnte man eurer Meinung nach am besten gegen Spammer machen?
    Was ist sinnvoll?

    keine Emails im Netz veröffentlichen, keine info@-Adressen verwenden, kein Catch-All verwenden, eventuell Internet meiden ;-)

    Mit freundlichen Grüßen,
    André

    1. Rehallo,

      keine Emails im Netz veröffentlichen, keine info@-Adressen verwenden, kein Catch-All verwenden, eventuell Internet meiden ;-)

      Ich gehe sehr restriktiv mit "E-Mail-Adressen im Netz veröffentlichen" um. Soll heißen, es gibt auf meinen Seiten nur im Impressum eine E-Mail-Adresse.
      Über diese Adresse werden aber keine E-Mails verschickt,
      sondern z.B. über adelheit@meine_domain.com oder supermaster@meine_domain.com

      Und dadurch bekomme ich jede Menge Spams als Unknown-User-Mails zurück.....

      Grüße

        1. Kuckst Du hier:?
          https://forum.selfhtml.org/?t=119195&m=764425

          Thanx, das hilft mir aber nicht wirklich weiter.

          Was soll ich tun? Anzeige?

          Grüße

          1. More Ning!

            Thanx, das hilft mir aber nicht wirklich weiter.

            Mir hat's schon geholfen.

            Was soll ich tun? Anzeige?

            Tee aufsetzen, catch-all abstellen und abwarten. Vielleicht noch irgendwo den Aerger von der Seele schreiben.

            Gegen wen willst Du Anzeige erheben? Irgendeinen Amerikaner oder Koreaner den Du mit ziemlicher Sicherheit nicht ausfindig machen kannst und der den Kram ueber irgendwelche Server in China oder der Mongolei verschickt? Oder vielleicht auch irgendwelche infizierten PCs in Tausenden von Privathaeusern?

            Moeglicherweise wird Deine Domain bei einigen weniger cleveren Providern fuer eine zeitlang blacklistet, so dass Du dahin keine mails schicken kannst. Viel mehr wird nicht passieren.

            Was bleibt? Ich bin so vorgegangen:

            Tee aufgesetzt, catch-all abgestellt und abgewartet (nachdem ich mir sicher war dass der Spam nicht ueber meine Site kam). Und mir den Aerger von der Seele geschrieben.

            Thema durch.

            --
            Zeit nach draussen zu gehen, die Sonne kommt durch.
            Armin
          2. Moin!

            Kuckst Du hier:?
            http://forum.de.selfhtml.org/my/?t=119195&m=764425

            Thanx, das hilft mir aber nicht wirklich weiter.

            Wenn du Catch-All abschaltest, kriegst nicht mehr DU die ganzen ausgedachten Accounts, vornehmlich also alle Bounces, ab, sondern diejenigen Postmaster, deren Server diese Bounces verschicken. Dann gewöhnen sie das ihren Servern eventuell mal ab. Denn oftmals sind das ja wirklich nur Bounces von Accounts, die auch auf der Gegenseite nicht existieren - und das sollte NIEMALS ein Grund für den anderen Mailserver sein, die Mail erst anzunehmen und dann also Bounce zurückzusenden. Sowas macht man einfach nicht.

            Was soll ich tun? Anzeige?

            Gegen wen? Unbekannt? Irgendjemanden, den du noch nicht mal sicher bestimmen kannst, weil alle Angaben in den Bounce-Mails bis auf die, woher der Bounce stammt, gefälscht sein könnten?

            - Sven Rautenberg

            --
            My sssignature, my preciousssss!
            1. Hullabaloo,

              Was soll ich tun? Anzeige?

              Gegen wen? Unbekannt? Irgendjemanden, den du noch nicht mal sicher bestimmen kannst, weil alle Angaben in den Bounce-Mails bis auf die, woher der Bounce stammt, gefälscht sein könnten?

              OK, das ist einleuchtend. Ich hab nur Sorgen, dass irgendwas auf mich zukommt....

              Die Catch-All hab ich schon deaktiviert.

              Jetzt mal noch ein Teewasser aufsetzen und zusehen, was passiert...

              Grüße und besten Dank nochmals an alle!

    2. Hallo André,

      keine Emails im Netz veröffentlichen,

      Dafür, dass sie niemand kennt, sind Emailnamen schließlich auch da ;-)

      LG
      Chris

      1. Hallo Chris,

        Dafür, dass sie niemand kennt, sind Emailnamen schließlich auch da ;-)

        eben! ;-) Aber vielleicht sollte man auf "mailto" verzichten?! Eine Grafik könnte doch auch helfen?

        Mit freundlichen Grüßen,
        André

        1. Hallo André,

          eben! ;-) Aber vielleicht sollte man auf "mailto" verzichten?! Eine Grafik könnte doch auch helfen?

          Die Diskussion hatte wir gerade erst.
          Ich finds eben nicht.
          Siechfred hatte sich da besonders skeptisch geäußert.

          LG
          Chris

          1. Helas,

            also ich kenne Studenten, die für nen Hungerlohn Adressen gezielt sammeln (also z.B. nur Artzpraxen in der Stadt XY) usw....
            Da bringen sämtlich Bilder / JS / PHP -Mail-Verschüsselungen gar nix!
            Sobald man die Adresse lesen / sehen kann, ist die Adresse bekannt.

            Das ist aber nicht unser Thema...

            Grüße

  2. Hallo Fabienne ;~)

    Hier eine Schritt-für-Schritt-Anleitung zur Tötung der "SPA" (Spam Transfer Agents), oder besser derjenigen, die dahinter stehen:

    1.) Finde die Faxnummer des Unternehmens heraus.
    2.) Nehme zwei DIN A 4 Blätter und verbinde sich an den kurzen seiten mit Tesafilm o.ä.
    3.) Schreibe Deine Nacricht darauf.
    4.) Führe die zusammengeklebten Blätter in Deinen Fax und schicke es an die Nummer des SPA, halte dabei einen Tesafilmstreifen bereit.
    5.) Sobald eine Hälfte des doppelten DIN A 4 Blatts hinaus ragt, nehme dieses Ende und verbinde (klebe) es mit dem noch herausragenden Anfang.
    6.) Faxe deinen Fax-Spam unendlich lange! Vernichte Deinen Feind!

    Mit freundlichen Grüßen
    Stefano Albrecht

    1. 6.) Faxe deinen Fax-Spam unendlich lange! Vernichte Deinen Feind!

      Kassiere eine Strafanzeige, verhelfe der Telekom oder wem auch immer zur steigerung ihres Unternehmsgewinn.
      Ägere Dich über die hohe Telefonrechnung.
      Ägere Dich darüber. wenn der gegenüber kein Fax hat, ägere Dich darüber, dass nach dem 2. Durchlauf das Papier alle ist.

      Nee ehrlich das ist mir viel zu stressig..
      Ich werde mal kucken ob mein Spamer fertig ist meine Domain zu mißbrauchen, oder ob ich immer noch 1300 Bounce am Tag bekommen.
      TomIRL

  3. Hi Fabienne,

    machen kannste praktisch nichts, außer probehalber eine Anzeige bei den grünen Männchen zu erstatten.

    Was mich momentan besonders nervt sind die Spams, die ausschließlich aus einer Grafik mit der Werbung bestehen.

    Viele Grüße
    Mathias Bigge

    1. hi,

      Was mich momentan besonders nervt sind die Spams, die ausschließlich aus einer Grafik mit der Werbung bestehen.

      Ach, bei dir auch?
      Und ich kann es dem Spamfilter von Operas M2 noch nicht antrainieren, diese auch als solchen einzusortieren. Na ja, dafür ist lediglich ein Bild ja auch etwas wenig ...

      gruß,
      wahsaga

      --
      /voodoo.css:
      #GeorgeWBush { position:absolute; bottom:-6ft; }
    2. n'Abend,

      Was mich momentan besonders nervt sind die Spams, die ausschließlich aus einer Grafik mit der Werbung bestehen.

      warum? Die bestehen doch -zumindest fürs Auge- praktisch aus "nichts". Jedenfalls dann, wenn man seinem Mailclient untersagt, Inhalte per HTTP nachzuladen.

      Oder gibt's die Variante jetzt schon mit Inline Images? Dann kenne ich diese Form (zum Glück) noch nicht.

      Schönen Abend noch,

      Martin

      --
      Okay, Alkohol ist keine Antwort.
      Aber manchmal vergisst man beim Trinken wenigstens die Frage.
      1. hi,

        Oder gibt's die Variante jetzt schon mit Inline Images?

        Jepp, so isses.
        Lediglich ein inline image, sonst nichts.

        gruß,
        wahsaga

        --
        /voodoo.css:
        #GeorgeWBush { position:absolute; bottom:-6ft; }
        1. Hallo,

          Oder gibt's die Variante jetzt schon mit Inline Images?

          Jepp, so isses.
          Lediglich ein inline image, sonst nichts.

          Meinst Du wirklich "Inline-Image" oder meisnt Du ein per CID referenziertes Image in einer HTML-Mail?

          LG
          Chris

          1. Hi,

            Meinst Du wirklich "Inline-Image" oder meisnt Du ein per CID referenziertes Image in einer HTML-Mail?

            mit "inline" meinen wir hier ein Bild, dass per "cid:" referenziert wird und direkt im body der Mailnachricht übertragen wird (im Gegensatz zu denen, die nur per "http:" referenziert und erst beim Betrachten der nachricht nachgeladen werden, falls erlaubt).

            Ciao,

            Martin

            --
            Lebensmotto der Egoisten: Was ist so schlimm daran, dass jeder nur an sich selbst denkt? Dann ist doch an alle gedacht!
      2. Eve Ning!

        warum? Die bestehen doch -zumindest fürs Auge- praktisch aus "nichts".

        Nein, die bestehen fuer den Spamfilter (insbesondere Bayesfilter) aus nichts, da er nichts zum lesen/auswerten hat. Zumindest ist mir Bayesfilter bekannt der Texte in Bilder lesen kann.

        Jedenfalls dann, wenn man seinem Mailclient untersagt, Inhalte per HTTP nachzuladen.

        Das macht doch sowieso kein vernuenftiger Mailclient mehr.

        Oder gibt's die Variante jetzt schon mit Inline Images? Dann kenne ich diese Form (zum Glück) noch nicht.

        Ja, schon seit laengerem. Und um gerade die geht es. Bekomme ich in letzter Zeit oft, insbesondere fuer irgendwelche "hot stocks" die ich unbedingt kaufen soll.

        Fuer den Spammer bzw hier eher Betrueger besonders praktisch: Die wenigsten Spamfilter duerften die Dinger bis jetzt aussortieren und einen Link braucht er auch nicht. Er will ja nur dass man sein Geld in diese wertlosen Aktien (oder andere Geldanlagen) steckt damit er sein Geld bekommt.

        --
        Ich geh jetzt zu meinem Broker, Aktien kaufen...
        Armin
        1. Hallo "Der Martin",

          Jedenfalls dann, wenn man seinem Mailclient untersagt, Inhalte per HTTP nachzuladen.

          Das macht doch sowieso kein vernuenftiger Mailclient mehr.

          Nun erwarte (und erhoffe) ich von Dir die Nennung von mindestens vier Mailclients, die "vernünftig" sind.

          LG
          Chris

          1. Hallo Chris,

            Nun erwarte (und erhoffe) ich von Dir die Nennung von mindestens vier Mailclients, die "vernünftig" sind.

            da ich mit denen, die ich bisher nutze und kenne, sehr zufrieden bin, kann ich leider nur zwei nennen, die ich wirklich gut kenne:

            * MS Outlook Express (ganz okay, aber nur der zweite Platz)
             * Mozilla Thunderbird (ich kenne keinen besseren!)

            Ich hoffe, das erfüllt die Erwartungen so einigermaßen. ;-)

            Schönen Abend noch,

            Martin

            --
            Lieber eine Fliege im Porzellanladen
            als ein Elefant in der Suppe.
          2. Eve Ning!

            Hallo "Der Martin",

            Huh? Ich bin immer noch Armin, aber das nur am Rande.

            Nun erwarte (und erhoffe) ich von Dir die Nennung von mindestens vier Mailclients, die "vernünftig" sind.

            Vier? Wieso vier? Aber egal, was das Thema angeht duerfte inzwischen fast jeder Mailclient vernuenftig geworden sein.

            The Bat! hat noch nie was nachgeladen (und wird dies vermutlich zumindest in absehbarer Zukunft auch nicht tun.

            Thunderbird tut es meines Wissens nicht.

            Der Opera mail client vermutlich auch nicht (oder man kann es zumindest abstellen).

            Selbst MS Outlook (zumindest die Vollversion, OE kenne ich nicht) tut es inzwischen nicht mehr. Soweit ich mich entsinnen kann sogar als default, so dass man es bewusst einschalten muss falls man es doch will. Oder man kann es fuer bestimmte Absender erlauben.

            Und das ist nur Windows, fuer die Linux Clients sind andere zustaendig.

            --
            Ich geh jetzt Spam sortieren,
            Armin
            1. Hallo Armin.

              Und das ist nur Windows, fuer die Linux Clients sind andere zustaendig.

              Evolution ist ebenfalls brav.

              Einen schönen Sonntag noch.

              Gruß, Ashura

            2. Hi Armin,

              Vier? Wieso vier?

              Naja, aller guten Dinge sind vier? Nee... ach, wieder dieses typische Plusminus-Eins-Problem! ;-)

              Selbst MS Outlook (zumindest die Vollversion, OE kenne ich nicht) tut es inzwischen nicht mehr.

              Und Outlook Express war seinem kostenpflichtigen Bruder schon immer ein beträchtliches Stück voraus. OE zeigt in der Voreinstellung prinzipiell keine HTML-Mails mehr an, damit ist auch das Nachladen kein Thema mehr.

              Und das ist nur Windows, fuer die Linux Clients sind andere zustaendig.

              So isses!

              Schönes Wochenende noch,

              Martin

              --
              Du kannst dem Leben nicht mehr Tage geben.
              Aber dem Tag mehr Leben.
        2. Hallo Freunde des gehobenen Forumsgenusses,

          Nein, die bestehen fuer den Spamfilter (insbesondere Bayesfilter) aus nichts, da er nichts zum lesen/auswerten hat. Zumindest ist mir Bayesfilter bekannt der Texte in Bilder lesen kann.

          Dass dein Bayesfilter die nicht rausschmeißt wundert mich jetzt aber sehr,
          der sieht doch mindestens noch <img etc., oder ignoriert der das sträflicherweise?

          Oder geht es um leere Mail mit einem Bild im Anhang?
          Die sind dann aber auch Spam-typisch und somit leicht zu filtern.

          Gruß
          Alexander Brock

          --
          /voodoo.css:
          #GeorgeWBush { position:absolute; bottom:-6ft; }
          1. Eve Ning!

            Dass dein Bayesfilter die nicht rausschmeißt wundert mich jetzt aber sehr,
            der sieht doch mindestens noch <img etc., oder ignoriert der das sträflicherweise?

            Ich bin mir nicht ganz sicher, aber ich meine bei der Analyse werden HTML tags herausgefiltert, unter anderem um diese Spaesschen zu erkennen:

            <div>V</div><span>I</span><div>A</div><span>G</span><div>R</div><span>A</span>

            Mal davon abgesehen duerfte ein <img> bei mir nicht notwendigerweise zu einer Spamklassifiziung fuehren, da ich auch mails mit <img> bekomme die nicht als Spam einzuordnen sind.

            Oder geht es um leere Mail mit einem Bild im Anhang?
            Die sind dann aber auch Spam-typisch und somit leicht zu filtern.

            Noe. Habe mal eine rausgesucht, die sehen ungefaehr so aus (Ausschnitt aus dem Source Code):

            ==8<=================================================

            --=_776505f807dd860bba9fdf5044a11bbb
            Content-Type: text/html; charset="ISO-8859-1"
            Content-Transfer-Encoding: quoted-printable

            <img src=3Dcid:0185479c8a3be73e5076e93f882c8005>

            --=_776505f807dd860bba9fdf5044a11bbb
            Content-Type: image/gif
            Content-Transfer-Encoding: base64
            Content-Disposition: inline; filename="rhbgmg.gif"
            Content-ID: <0185479c8a3be73e5076e93f882c8005>

            ==8<=================================================

            Filename usw ist natuerlich jedes Mal anders.

            --
            Und wech, in windige Aktien investieren...
            Armin
            1. Hallo Freunde des gehobenen Forumsgenusses,

              Ich bin mir nicht ganz sicher, aber ich meine bei der Analyse werden HTML tags herausgefiltert, unter anderem um diese Spaesschen zu erkennen:

              <div>V</div><span>I</span><div>A</div><span>G</span><div>R</div><span>A</span>

              Je nach dem, woran der Filter die Zeichenkette teilt (ich würde [^a-zA-Z0-9€$]+ nehmen)
              sollte das auch kein größeres Problem darstellen.

              Mal davon abgesehen duerfte ein <img> bei mir nicht notwendigerweise zu einer Spamklassifiziung fuehren, da ich auch mails mit <img> bekomme die nicht als Spam einzuordnen sind.

              Die haben aber i.d.R. genug andere positive Wörter, so dass sie nicht in Spam eingeordnet werden.

              Oder geht es um leere Mail mit einem Bild im Anhang?
              Die sind dann aber auch Spam-typisch und somit leicht zu filtern.

              Noe. Habe mal eine rausgesucht, die sehen ungefaehr so aus (Ausschnitt aus dem Source Code):

              [...]
              Filename usw ist natuerlich jedes Mal anders.

              Das ist ja genau das Spamtypische, eine (fast) leere Mail nur mit Bildern.

              Gruß
              Alexander Brock

              --
              Ceterum censeo Carthaginem esse delendam
              1. Hi Alexander,

                Das ist ja genau das Spamtypische, eine (fast) leere Mail nur mit Bildern.

                Der Mozilla-Filter wird mit den Dingern nicht fertig, viellleicht lohnt sich ja ein Update, weiß das jemand?

                Theoretisch klingen Deine Ausführungen gut, de facto machen die DInger den Filtern Probleme...

                Viele Grüße
                Mathias Bigge

                1. Hallo Freunde des gehobenen Forumsgenusses,

                  Theoretisch klingen Deine Ausführungen gut, de facto machen die DInger den Filtern Probleme...

                  Ich habe inzwischen auf Basis von "A Plan for Spam" eine Software in PHP geschrieben, die auf Basis von Häufigkeiten Texte kategorisiert (in Spam/nicht-Spam oder beliebige andere Kategorien). Ich habe dann meine Mail-Korrespondenz und meine Spams in die Häufigkeiten-Tabelle eingetragen und eine Spam-Mail, die ich später erhalten habe und die nur ein Bild enthält kategorisieren lassen.

                  Das Ergebnis:
                  Wahrscheinlichkeit für Spam:       0.59332102638312
                  Wahrscheinlichkeit für nicht-Spam: 0.40667897361688

                  Hier die verräterischen Worte:
                  word                spam ham
                  account4            1212   2
                  <brockalexander@web  446   1
                  multipart/related    322   1
                  brockalexander@web   807   7 << Meine alte Adresse, an die kommt fast nur noch Spam.
                  Content-ID           332   3
                  src=3Dcid             77   0
                  mx25                 106   1
                  image/gif            267  10
                  web                 5296 641
                  gif"                2125 284
                  news                 229  30
                  <img                 517  71
                  #340                  11   1

                  BTW: Es gibt da noch ein paar Ungereimtheiten und Unsauberkeiten in der Software,
                  sobald ich die gefixt habe stelle ich sie unter die GPL und auf meine Homepage.

                  Gruß
                  Alexander Brock

                  --
                  [latex]\lim_{3 \to 4}{\sqrt{3}} = 2[/latex]
                  1. Hi Alexander,

                    BTW: Es gibt da noch ein paar Ungereimtheiten und Unsauberkeiten in der Software, sobald ich die gefixt habe stelle ich sie unter die GPL und auf meine Homepage.

                    Vielleicht hast Du ja Lust, sie dann hier noch einmal vorzustellen.

                    Viele Grüße
                    Mathias Bigge

                    1. Hallo Freunde des gehobenen Forumsgenusses,

                      BTW: Es gibt da noch ein paar Ungereimtheiten und Unsauberkeiten in der Software, sobald ich die gefixt habe stelle ich sie unter die GPL und auf meine Homepage.
                      Vielleicht hast Du ja Lust, sie dann hier noch einmal vorzustellen.

                      klar doch :-)

                      Gruß
                      Alexander Brock

                      --
                      Ceterum censeo Carthaginem esse delendam
    3. Moin!

      Was mich momentan besonders nervt sind die Spams, die ausschließlich aus einer Grafik mit der Werbung bestehen.

      Letztens erhielt ich ein besonders perfides Exemplar:

      Der Text komplett als Bild - das übliche "Bankproblem". Darin ein hübscher, blauer Link.

      Das Bild selbst war komplett verlinkt mit <a href="http://echtebankdomain">. Diese echte Domain zeigte mein Eudora beim überfahren auch an.

      Aber im Quelltext offenbarte sich: Das gesamte Bild war noch ein zweites Mal verlinkt, über eine vollflächige Imagemap. Und da wäre dann eine ganz andere Domain, nämlich die des Phishers, aufgerufen worden.

      Naja, bei dem Institut habe ich sowieso kein Konto. :)

      - Sven Rautenberg

      --
      My sssignature, my preciousssss!
      1. Hi Sven,

        mal eine Frage an den Mailexperten. Ich nutze zur Zeit Mozilla-Mail und der Spam an Bildern über meine Selfadressen wächst stetig. Warum kann er Mails wie die folgende nicht erkennen?
        ---------------------------
        MIME-Version: 1.0
        Content-Type: multipart/related;
         boundary="=_b59745ed745d09269d70c3a2dc3cbd67"
        Message-Id: 11960310199.25854118780@cp206266-a.landg1.lb.home.nl
        Date: Mon, 28 Nov 2005 18:37:52 +0100
        From: chaste@authier.net
        Subject: Breaking News

        From: chaste@authier.net
        Subject: Breaking News

        --=_b59745ed745d09269d70c3a2dc3cbd67
        Content-Type: text/html; charset="ISO-8859-1"
        Content-Transfer-Encoding: quoted-printable

        <img src=3Dcid:4dc512c357837172ac760c02dcbd6f53>

        --=_b59745ed745d09269d70c3a2dc3cbd67
        Content-Type: image/gif
        Content-Transfer-Encoding: base64
        Content-Disposition: inline; filename="hrsbpf.gif"
        Content-ID: <4dc512c357837172ac760c02dcbd6f53>

        R0lGODdhswFYAuMAAAAAAP////Hx8enp6eHh4dnZ2dDQ0MfHx729vbOzs6enp5ubm42NjXx8fGho
        aE5OTiwAAAAAswFYAgAE/hCEAGSdNFfLr6QcuG2aWI7ehYXfqIUv2YFiimbm3e6pOfU0XI0k1HVY
        Pwut9VriULecqqiCzobGGhZrtR29rq2ym10lnbmVZxjjhtVkaJIZnBnpYuY7Pn7KZX42ZjFjenwf
        c1+KZE5Kc4RfZy46XI8yk2t9MHFSfJZ/LFOhbj9tS3d0VVqamJWUhVk9gpddn7BRm3+lPqc8s3KS
        wLuTjZKlnJWnkG1gtbVnVGuNnIVbvW6I2ZmosmBSbM3VV47Huq6rz73dO+rgdduYrOWL8cuJcGpB
        iYDgVj6y+9KM+oW weiterer Image-Code....

        Viele Grüße
        Mathias Bigge

        1. Hallo Mathias,

          mal eine Frage an den Mailexperten. Ich nutze zur Zeit Mozilla-Mail und der Spam an Bildern über meine Selfadressen wächst stetig. Warum kann er Mails wie die folgende nicht erkennen?

          Mozilla Mail verwendet einen Bayes-Filter, der nach Wörtern sucht. Vermutlich werden HTML-Tags einfach weggeworfen, bevor der Bayes-Filter drauf losgelassen wird. Deswegen sind so kleine Mails schlecht bis gar nicht zu erkennen mit einem Bayes-Filter. Ob neuere Thunderbird-Versionen zusätzlich noch andere Filter implementiert haben (z.B. nur-ein-Bild-Mails führen zur Abwertung), weiß ich nicht, sinnvoll wäre es aber allemale.

          Viele Grüße,
          Christian

          1. 你好 Christian,

            mal eine Frage an den Mailexperten. Ich nutze zur Zeit Mozilla-Mail und
            der Spam an Bildern über meine Selfadressen wächst stetig. Warum kann
            er Mails wie die folgende nicht erkennen?

            Mozilla Mail verwendet einen Bayes-Filter, der nach Wörtern sucht.

            Das stimmt nicht. Er sucht nicht nach Wörtern, sondern er gewichtet Wörter.
            Und aus der Gewichtung der Wörter folgt durch ein wenig Statistik-Magie
            eine Klassifizierung des Textes (in Ham bzw. Spam).

            Vermutlich werden HTML-Tags einfach weggeworfen, bevor der Bayes-Filter
            drauf losgelassen wird. Deswegen sind so kleine Mails schlecht bis gar
            nicht zu erkennen mit einem Bayes-Filter.

            Kleine Mails sind deshalb schwer zu erkennen, weil die statistischen
            Methoden, die zur Klassifizierung verwendet werden, besonders gut bei
            großen Datenmengen funktionieren. Je mehr Daten, desto sicherer kann
            klassifiziert werden, weil mehr Wörter vorliegen, die gewichtet werden
            können. Je weniger Daten vorliegen, desto unsicherer ist die
            Klassifizierung.

            Die Urpsprungsidee war übrigens, die Mail völlig unverändert inkl. Header
            und allem drum und dran durch den Filter laufen zu lassen, damit gerade
            auch kurze HTML-Mails korrekt klassifiziert werden können. Ausserdem sind
            Spam-Header sich häufig ähnlich (meist der gleiche X-Mailer-Header, etc,
            pp.), wodurch die Gewichtung dieser Header-Felder bei ausreichend Training
            sehr hoch ausfallen würde. Viele Mail-Clients machen das jedoch nicht,
            meist aus rein technischen Gründen, manche haben auch (für mich abstruse)
            Argumente für diese Verfahrensweise.

            再见,
             克里斯蒂安

            --
            Wundert euch nicht, … | Noch eine Block-Installation: SELFHTML Aktuell
            Wenn gewöhnliche Menschen Wissen erlangen, sind sie weise. Wenn Weise Einsicht erlangen, sind sie gewöhlnliche Menschen.
            http://wwwtech.de/
            1. Hallo Christian,

              Das stimmt nicht. Er sucht nicht nach Wörtern, sondern er gewichtet Wörter.
              Und aus der Gewichtung der Wörter folgt durch ein wenig Statistik-Magie
              eine Klassifizierung des Textes (in Ham bzw. Spam).

              Ja stimmt, blöd ausgedrückt meinerseits. Danke für die Klarstellung.

              Die Urpsprungsidee war übrigens, die Mail völlig unverändert inkl. Header
              und allem drum und dran durch den Filter laufen zu lassen, damit gerade
              auch kurze HTML-Mails korrekt klassifiziert werden können. Ausserdem sind
              Spam-Header sich häufig ähnlich (meist der gleiche X-Mailer-Header, etc,
              pp.), wodurch die Gewichtung dieser Header-Felder bei ausreichend Training
              sehr hoch ausfallen würde. Viele Mail-Clients machen das jedoch nicht,
              meist aus rein technischen Gründen, manche haben auch (für mich abstruse)
              Argumente für diese Verfahrensweise.

              Naja, es spricht durchaus etwas dafür, HTML-Code zu entfernen, um Tricks wie <span>V</span><span>I</span>... entgegenzuwirken. Man könnte allerdings beides anwenden, um so auch Mini-HTML-Mails zu erwischen.

              Viele Grüße,
              Christian

              1. Hallo Christian und Christian,

                Naja, es spricht durchaus etwas dafür, HTML-Code zu entfernen, um Tricks wie <span>V</span><span>I</span>... entgegenzuwirken.

                Wobei bei passender Tokenisierung der String „</span><span>“ und ähnliche beknackte Konstrukte wunderbar signifikante Spamwahrscheinlichkeiten abgeben. Das Problem ist also eher nicht, HTML oder sonstigen Code herauszufiltern, sondern in der Tokenisierung. Leider ist das dann etwas komplizierter zu lösen, der goldglänzende Ausweg isses ja nicht, einen besseren Tokenizer für viele strukturierte Textformate (HTML, vCard, whateverML) plus „normalen Text“ zu bauen, auch wenn MIME das einem erleichtert und es für unsere derzeitige, bislang nur aus Text und HTML bestehende Mailwelt noch praktikabel ist. Dummerweise sind andere Möglichkeiten in Rechenzeit betrachtet beschissen, sei es n Mal den String in Token mit n Zeichen Länge aufzuteilen oder gleich alle möglichen Substrings zu berücksichtigen. Dann doch lieber erstmal einen Tokenizer, der auf „<“ und „>“ achtet.

                Tim

  4. Hi,

    was könnte man eurer Meinung nach am besten gegen Spammer machen?

    Ich hatte ja schon in einem anderem Posting meine handwerklichen Faehigkeiten bezueglich der Herstellung einer soliden Mauer herausgestellt.

    Zur Zeit erhalte ich Unmengen an "Return"- und "Failure"-Mails, die über irgendwas@meine_domain.tld verschickt werden. Meistens sind es irgendwelche "Pills" und "Viagra"-Mails....

    Erhaeltst Du die wirklich? Oder doch nur Dein Catch-all?

    Bringt es was, Anzeige gegen unbekannt zu erstatten?

    Warum gegen unbekannt? Die Bouncer sind doch bekannt! Es steht doch nirgendwo in RFC 2821, das solche Mails an den vermeintlichen Absender zurueckgeschickt werden, oder? Ein "550 No such mailbox" ist voellig ausreichend[1], daher koennte sich evt sogar ein Staatsanwalt dafuer interessieren. Gut, Letzteres dann doch eher nicht ;-)

    ... Nur um das mal Aktenkundig zu machen, nicht dass ich selbst dann als Retour-Kutsche eine Anzeig erhalte, weil _ich_ :-) so viel Spam-Mails verschicke?

    Nicht als Retourkutsche sondern direkt, aber die Gefahr besteht durchaus. Da Du dagegen aber eh nichts Sinnvolles vorsorglich machen kannst und das Risiko sehr gering ist (mir ist da schon lange kein Fall mehr untergekommen): lass Dir davon den Schlaf nicht rauben.
    Auch das Catch-All kannst Du eingeschaltet lassen wenn Du meinst es zu benoetigen, da krabbelt ja eh nur 'agrep' mit 'ner Userliste in de Hand durch die Logfiles, mehr Aerger hast Du damit nicht.
    Spamfilter vor oder gar auf dem Mailserver machen auch mehr Aerger als Nutzen. Die modernen Mailclients bieten da gewoehnlich ausreichend Komfort.

    so short

    Christoph Zurnieden

    [1] Bei bestimmten Firmen koennte das evt auch sowas sein (sprachangepasst):

    503 User ambiguous
    503 Please use webformular at
    503 http://example.com/webform

    1. EHLO gmx.de

      oder fragt der MTA

      EHLO 213.165.64.215

      oder doch besser

      EHLO 213.165.64.20

      Wie funktioniert das wirklich?
      Wann wird der Name vom MTA bzw. dem sendenden SMTP-Service aufgelöst/Auflösung angefordert?

      Ich habe die RFC http://rfcs.kleines-lexikon.de/rfc2821.txt noch nicht vollständig durch und noch nicht verstanden. Gibts sowas eigentlich auch auf Deutsch?

      503 User ambiguous
      503 Please use webformular at
      503 http://example.com/webform

      Entscheidend für die Abmahnfähigkeit scheint mir doch zu sein, bis in welche Protokollschicht man sich rauf bewegt. Alles was auf der reinen Verhandlungsebene zwischen den Servern abläuft, ist schließlich mehr oder weniger gewollt von beiden Teilnehmern des "Systems Internet". Wenn dann aber einer keine reine Statusmeldung zurücksendet, sondern die komplette email, geht es wohl zu weit.

      Ist mir gestern aber auch passiert. Ich sende da eine email mit einer *.cdr-Datei. Die hatte sich aufgebläht auf 147MB. Und als ich endlich fertig war, hat der blöde Empfängerserver die komplette email zurückgeschickt mit dem Vermerk "Mail ist zu groß für das Postfach".

      Stell Dir mal vor, die wäre aus Versehen woanders gelandet, wo man mit ISDN runterlädt.

      LG
      Chris

      1. Hallo Chris,

        Wann wird der Name vom MTA bzw. dem sendenden SMTP-Service aufgelöst/Auflösung angefordert?

        gleich zu Beginn. Zuerst wird eine DNS-Anfrage gesendet, um den Mail-Exchanger
        (MX) der Zieldomain zu ermitteln. Kein MTA muss irgendwelche Servernamen o.ä. kennen, dafür ist DNS zuständig. Anschliessend läuft alles, wie bei TCP/IP üblich, über IP-Adressen.

        Übrigens ist dies bei Deinem Mail-Client ähnlich, außer dass der erste Mailserver bekannt ist. Und wenn Du eine Mail per telnet versendest genauso. Du setzt ein

        telnet mail.example.org 25

        ab. Daraufhin wird zunächst eine Namensauflösung veranlasst, anschliessend geht es ganz normal mit

        EHLO

        weiter. Du hast keine Veranlassung hier noch einen Parameter mitzugeben, schliesslich weisst Du ja, mit welchem Mailserver Du Dich verbunden hast.

        Freundliche Grüße

        Vinzenz

        1. Moin,

          Daraufhin wird zunächst eine Namensauflösung veranlasst, anschliessend geht es ganz normal mit

          EHLO

          weiter. Du hast keine Veranlassung hier noch einen Parameter mitzugeben, schliesslich weisst Du ja, mit welchem Mailserver Du Dich verbunden hast.

          Äh, nein. Du solltest dir RFC 2821, Abschnitt 4.1.1.1 nochmal ansehen. Der Parameter für EHLO ist nicht die Identität des Servers, sondern die des Clients. Und der Parameter ist nicht optional (wird allerdings in der Tat häufig nicht für mehr als Logeinträge und den Received:-Header verwendet).

          --
          Henryk Plötz
          Grüße aus Berlin
          ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
          ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
          1. Hallo

            Äh, nein. Du solltest dir RFC 2821, Abschnitt 4.1.1.1 nochmal ansehen. Der Parameter für EHLO ist nicht die Identität des Servers, sondern die des Clients. Und der Parameter ist nicht optional (wird allerdings in der Tat häufig nicht für mehr als Logeinträge und den Received:-Header verwendet).

            Ja, Du hast natürlich Recht. Man sollte nicht aus dem mitgeschnittenen Gespräch seines Mailclients mit dem Mailserver auf die Vorschriften schließen. Und erst recht nicht auf die Kommunikation zwischen Mailserver und Mailserver. Extrapolation ist da nicht die richtige Methode.

            Freundliche Grüße

            Vinzenz

      2. Moin!

        EHLO gmx.de

        Das wäre ein korrekter Wert für EHLO oder HELO.

        oder fragt der MTA

        EHLO 213.165.64.215

        Das nicht.

        oder doch besser

        EHLO 213.165.64.20

        Das ebenso nicht.

        Wie funktioniert das wirklich?
        Wann wird der Name vom MTA bzw. dem sendenden SMTP-Service aufgelöst/Auflösung angefordert?

        Der sendende SMTP extrahiert aus dem Mailtext alle TO-, CC- und BCC-Adressen. Er kann Adressen der gleichen Domain zusammenfassend bearbeiten, oder jede Mail einzeln verschicken (Qmail arbeitet so).

        Zu einer Zieldomain wird dann ein DNS-Query nach den MX-Einträgen gestartet. Wird keiner zurückgeliefert, wird alternativ nach dem A-Eintrag für diese Domain gesucht. Wird auch keiner geliefert, kann die Mail nicht zugestellt werden.

        Wurden MX-Einträge gefunden, wird in der Regel der Server mit der niedrigsten Priorität kontaktiert - im Mißerfolgsfall der mit der nächsthöheren Prio usw. Spammer nutzen es aus, dass die Ersatzserver (mit höherer Prio) unter Umständen schlechter bis garnicht gegen Spam abgesichert sind, und bevorzugen diese. Das kann aber beim Empfänger nicht erkannt werden, denn hereinkommende Mails können ja tatsächlich wegen einer gestörten Leitung auf dem Backup-MX landen.

        Wenn der Kontakt zum Server hergestellt werden konnte, erst dann wird SMTP gesprochen.

        Ich habe die RFC http://rfcs.kleines-lexikon.de/rfc2821.txt noch nicht vollständig durch und noch nicht verstanden. Gibts sowas eigentlich auch auf Deutsch?

        Keine Ahnung, ob die RFC irgendwo übersetzt wurden - vermutlich eher nicht. Bei solch technischen Dingen muß man eben Englisch können.

        503 User ambiguous
        503 Please use webformular at
        503 http://example.com/webform

        Entscheidend für die Abmahnfähigkeit scheint mir doch zu sein, bis in welche Protokollschicht man sich rauf bewegt. Alles was auf der reinen Verhandlungsebene zwischen den Servern abläuft, ist schließlich mehr oder weniger gewollt von beiden Teilnehmern des "Systems Internet". Wenn dann aber einer keine reine Statusmeldung zurücksendet, sondern die komplette email, geht es wohl zu weit.

        Es gibt ja die berühmte Mitstörerhaftung. Wenn ein Mailserverbetreiber nicht in der Lage ist, seinen Front-MX so zu konfigurieren, dass dieser eingehende Mails an nichtexistente Postfächer direkt ablehnt, sondern diese erst einmal annimmt und später, weil weiter "innen" dann ein Mailserver feststellte, dass die Mail unzustellbar ist, dann ein Bounce zurückschickt - an den vollkommen unschuldigen Empfänger, dessen Adresse mißbraucht wurde, dann würde ich schon behaupten, dass man da gerichtlich einen Anspruch geltend machen könnte.

        Genau das Gleiche gilt für die "Virus enthalten"-Rückmeldungen.

        Das sind alles Kollateralschäden des Spammings, aber vollkommen unnötig. Wessen Mailserver sich so verhält, der macht sich mitschuldig.

        Ist mir gestern aber auch passiert. Ich sende da eine email mit einer *.cdr-Datei. Die hatte sich aufgebläht auf 147MB. Und als ich endlich fertig war, hat der blöde Empfängerserver die komplette email zurückgeschickt mit dem Vermerk "Mail ist zu groß für das Postfach".

        Ist auch ein schönes Beispiel, wie man Mailbombing betreiben kann. Einfach einen Mailserver finden, der ein relativ kleines Maximum hat, und darauf einen existierenden Benutzer finden. Und dann mit der Absenderadresse seines ärgsten Feindes immer kräftig Mails dort hinsenden.

        Funktioniert natürlich nur, wenn die Mailgröße in das Opferpostfach reinpaßt. Andernfalls würde die Mail abermals bouncen. Und für Spammer ist das so oder so uninteressant, weil viel Traffic notwendig ist.

        Stell Dir mal vor, die wäre aus Versehen woanders gelandet, wo man mit ISDN runterlädt.

        Dann wäre der Mailempfänger wahrscheinlich so schlau gewesen, die Mails nicht direkt sofort herunter zu laden, sondern zunächst nur die Header oder die ersten paar KB. Daran sieht er dann, wo die Mail herkommt, und ob sie interessant und wichtig ist, oder gelöscht gehört.

        Du gehörst dafür allerdings auch gevierteilt. Maildaten blähen sich auf, weil EMail ursprünglich nur ein 7-Bit-Format war, und alle Binärdaten vorher umcodiert werden - das sorgt für einen "Größengewinn" von 30%! Aus 60 MB werden 90MB im Versand.

        - Sven Rautenberg

        --
        My sssignature, my preciousssss!
        1. Hallo Sven,

          Du gehörst dafür allerdings auch gevierteilt. Maildaten blähen sich auf, weil EMail ursprünglich nur ein 7-Bit-Format war, und alle Binärdaten vorher umcodiert werden

          genau, base64 macht aus jedem 3Byte-Päckchen 4 Zeichen, die dann wiederum als 4 Bytes verschickt werden. Also ein Drittel Zuwachs.

          das sorgt für einen "Größengewinn" von 30%! Aus 60 MB werden 90MB im Versand.

          Hmm, selbst wenn ich 30% als umgangssprachliche Kurzform für 1/3 sehe - da ist dir wohl ein Fehler unterlaufen:  ;-)

          60MB * 4/3 = 90MB ?

          Nee, knapp daneben. Es werden zum Glück nur 80MB. Aber das ist natürlich auch schon ein Haufen Zeugs.

          Schönen Sonntag noch,

          Martin

          --
          Ungeschehene Ereignisse können einen katastrophalen Mangel an Folgen nach sich ziehen.
            (Unbekannter Politiker)
        2. Hallo Sven,

          [...]

          Du gehörst dafür allerdings auch gevierteilt. Maildaten blähen sich auf, weil EMail ursprünglich nur ein 7-Bit-Format war, und alle Binärdaten vorher umcodiert werden - das sorgt für einen "Größengewinn" von 30%! Aus 60 MB werden 90MB im Versand.

          In diesem Fall hat sich eine *.cdr-Datei von ca. <50MB auf diese 147MB in der email aufgebläht. Ich habe es noch nicht verstanden, woran das lag. Ich habe es extra nochmals mit einem Test-Account nachvollzogen - dito.

          Wenn an die *.CDR-Dateien vorher mit ZIP verpackt, schrumpfen sie auf um ca. 5% und wachsen beim Mailen überhaupt nicht.

          Wo ist da das Geheimnis?

          LG
          Chris

          1. Moin,

            In diesem Fall hat sich eine *.cdr-Datei von ca. <50MB auf diese 147MB in der email aufgebläht. Ich habe es noch nicht verstanden, woran das lag. Ich habe es extra nochmals mit einem Test-Account nachvollzogen - dito.

            Meine Glaskugel sagt: Dein Mailprogramm (welches?) hat 'erkannt'/glaubte erkannt zu haben, dass es sich da um Textdaten oder textähnliche Daten (HTML, oder so) handelt und deswegen nicht Base64 als Kodierungsmethode, sondern Quoted-Printable gewählt. Bei Quoted-Printable werden alle Zeichen, die nicht druckbar sind, durch 3 Zeichen umschrieben. Wenn fast alle Zeichen der Datei nicht druckbar waren, würde sich so ein Zuwachs auf das Dreifache erklären lassen.

            Richtige[tm] Mail-Clients erlauben deshalb dem Benutzer die Auswahl, welche Kodierung er verwenden möchte.

            --
            Henryk Plötz
            Grüße aus Berlin
            ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
            ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
            1. Hallo Henryk,

              Meine Glaskugel sagt: Dein Mailprogramm (welches?)

              Outlook Express

              hat 'erkannt'/glaubte erkannt zu haben, dass es sich da um Textdaten oder textähnliche Daten (HTML, oder so) handelt und deswegen nicht Base64 als Kodierungsmethode, sondern Quoted-Printable gewählt. Bei Quoted-Printable werden alle Zeichen, die nicht druckbar sind, durch 3 Zeichen umschrieben. Wenn fast alle Zeichen der Datei nicht druckbar waren, würde sich so ein Zuwachs auf das Dreifache erklären lassen.

              Das wäre eine Lösung.
              Leider habe ich die Mails schon wieder gelöscht, sonst könnte ich da nochmal nachschauen. Nochmal will ich sie aber nicht generieren ...

              Ob das mit einer kleineren *.cdr-Datei dann genauso gehandhabt wird? Kann man wahrscheinlich doch auch nur glaskugeln, oder?

              LG
              Chris

              1. Hallo Chris,

                Leider habe ich die Mails schon wieder gelöscht, sonst könnte ich da nochmal nachschauen. Nochmal will ich sie aber nicht generieren ...

                warum nicht?
                Du musst sie ja nicht nochmal versenden. Speichern als Entwurf reicht ja schon, um den Quelltext anzusehen.

                Ob das mit einer kleineren *.cdr-Datei dann genauso gehandhabt wird?

                Vermutlich ja, aber...

                Kann man wahrscheinlich doch auch nur glaskugeln, oder?

                Genau!
                So long,

                Martin

                --
                Fettflecke werden wieder wie neu, wenn man sie regelmäßig mit etwas Butter einschmiert.
        3. Moin,

          Es gibt ja die berühmte Mitstörerhaftung. Wenn ein Mailserverbetreiber nicht in der Lage ist, seinen Front-MX so zu konfigurieren, dass dieser eingehende Mails an nichtexistente Postfächer direkt ablehnt, sondern diese erst einmal annimmt und später, weil weiter "innen" dann ein Mailserver feststellte, dass die Mail unzustellbar ist, dann ein Bounce zurückschickt - an den vollkommen unschuldigen Empfänger, dessen Adresse mißbraucht wurde, dann würde ich schon behaupten, dass man da gerichtlich einen Anspruch geltend machen könnte.

          Das ist ja wohl nicht dein Ernst.

          Genau das Gleiche gilt für die "Virus enthalten"-Rückmeldungen.

          Das vielleicht schon eher. Den Lachtest vor Gericht besteht das aber bestimmt ebenfalls nicht.

          --
          Henryk Plötz
          Grüße aus Berlin
          ~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
          ~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~
          1. Moin!

            Es gibt ja die berühmte Mitstörerhaftung. Wenn ein Mailserverbetreiber nicht in der Lage ist, seinen Front-MX so zu konfigurieren, dass dieser eingehende Mails an nichtexistente Postfächer direkt ablehnt, sondern diese erst einmal annimmt und später, weil weiter "innen" dann ein Mailserver feststellte, dass die Mail unzustellbar ist, dann ein Bounce zurückschickt - an den vollkommen unschuldigen Empfänger, dessen Adresse mißbraucht wurde, dann würde ich schon behaupten, dass man da gerichtlich einen Anspruch geltend machen könnte.

            Das ist ja wohl nicht dein Ernst.

            Wer Auto fährt, und auch vollkommen unschuldig in einen Unfall verwickelt wird, kriegt auch immer einen Teil der Schuld ab. Gefährdungshaftung - man muß ja nicht zwingend mit dem Auto fahren, man geht die Gefahr freiwillig ein.

            Ebenso bei Mails.

            Genau das Gleiche gilt für die "Virus enthalten"-Rückmeldungen.

            Das vielleicht schon eher. Den Lachtest vor Gericht besteht das aber bestimmt ebenfalls nicht.

            Ich beabsichtige allerdings nicht, das mal gerichtlich ausprobieren zu lassen. Denn das würde bedeuten, dass massiv Bounce-Mails verschickt würden, der Nerv-Faktor liegt hierbei sicherlich im Bereich "macht das eigene Postfach nahezu unbenutzbar", z.B. weil sich innerhalb kurzer Zeit mehr als die erlaubte Menge Mails ansammelt und keine regulären Mails mehr empfangen werden können.

            Bevor sowas aber passiert, schreibe ich den bösen Bounce-Server lieber auf die Blacklist. Soll sich doch der Verursacher-Postmaster damit rumärgern. :)

            - Sven Rautenberg

            --
            My sssignature, my preciousssss!
            1. 你好 Sven,

              [...]
              Ebenso bei Mails.

              Halte ich, gelinde gesagt, für sehr weit hergeholt.

              再见,
               克里斯蒂安

      3. Hi,

        Ich habe die RFC http://rfcs.kleines-lexikon.de/rfc2821.txt noch nicht vollständig durch und noch nicht verstanden.

        Muss man auch nur dann vollstaendig verstehen, wenn man einen Mailserver oder -client bauen moechte.
        Aber so ungefaehr und im Prinzip sollte es schon sitzen. Da ist dann aber das RFC die denkbar schlechteste Quelle fuer die Erleuchtung ;-)

        Gibts sowas eigentlich auch auf Deutsch?

        Nein, nicht das ich wuesste. Die Sprache des Netzes ist numal Englisch. Genauso, wie die Sprache der katholischen Kirche Latein ist, in der Kueche Franzoesisch gequasselt wird und vor noch nicht allzulanger Zeit Deutsch die Lingua Franca der Mathematiker war.

        Wenn dann aber einer keine reine Statusmeldung zurücksendet, sondern die komplette email, geht es wohl zu weit.

        Es kommt drauf an.

        Ist mir gestern aber auch passiert. Ich sende da eine email mit einer *.cdr-Datei. Die hatte sich aufgebläht auf 147MB. Und als ich endlich fertig war, hat der blöde Empfängerserver die komplette email zurückgeschickt mit dem Vermerk "Mail ist zu groß für das Postfach".

        Tja, was sollte er sonst machen?
        Wenn dieser Umstand erst festgestellt wurde, als bereits der Empfang der vollstaendigen(!) Mail mit "250 OK" quittiert wurde (Die Empfangsstelle kann auch ein Relay/Lastverteiler o.ae. sein), dann kann es sein, das die gesendete Mail beim Sender bereits geloescht wurde. Es gibt aber keine Moeglichkeit, das nachzufragen, also hat sich der Postmaster dazu entschieden die Mail komplett zu retournieren. Ich bin gerade noch mal ueber die RFC geflogen (6.1 Reliable Delivery and Replies by Email): das ist nicht verboten.
        Allerdings steht ebenda auch ausdruecklich:
        " It MUST NOT lose the message for frivolous reasons, such as because the host later crashes or because of a _predictable_ _resource_ _shortage_." [Hervorhebung durch Unterstreichen von mir]
        Das Schluesselwort "MUST NOT" ist das Flammenschwert der RFCs: bis hierhin und nicht weiter.

        Stell Dir mal vor, die wäre aus Versehen woanders gelandet, wo man mit ISDN runterlädt.

        Fuer das Runterladen ist wiederum ein anderes Protokoll zustaendig, die meisten davon koennen die Groesse vorher ansagen und ein Abbruch verliert auch keine Daten.

        so short

        Christoph Zurnieden

  5. Hallo Freunde des gehobenen Forumsgenusses,

    Ich habe jetzt einen Bayes-Filter implementiert, ich weiß aber nicht, ob ich das auch wirklich richtig verstanden habe. Hier meine Vorgehensweise:

    Ich habe zwei Tabellen in einer Datenbank:

    Eine, in der steht wie viele Wörter alle Spam-Mails zusammen haben und wie viele alle erwünschten Mails.

    Eine, in der steht welches Wort wie oft in Spam und wie oft in erwünschten Mails auftritt.

    Wenn jetzt eine neue Mail getestet werden soll, wird für jedes Wort abgefragt,
    wie häufig es in Spam-Mails und wie häufig in erwünschten Mails auftrat.

    Dann werden die Summen gebildet und jeweils durch die gesamt-Zahl aller Wörter in den Spam- bzw. erwünschten Mails geteilt. Dann hat man zwei Zahlen,  deren Betrag sehr nahe an null ist (wie nahe liegt an dem Verhältnis Textlänge/Größe der vorhandenen Datenbank), diese werden so umgerechnet, dass sie zusammen eins ergeben (wie sich das für Wahrscheinlichkeiten gehört) und das Verhältnis erhalten bleibt.

    Ist das soweit verständlich?

    Als Trenner für Wörter habe ich übrigens folgenden regulären Ausdruck: #[\s.:,;(){}\[\]!?´`']+# hat da jemand einen besseren?

    Gruß
    Alexander Brock

    --
    [latex]\lim_{3 \to 4}{\sqrt{3}} = 2[/latex]
    1. Moin!

      Ich habe zwei Tabellen in einer Datenbank:

      Eine, in der steht wie viele Wörter alle Spam-Mails zusammen haben und wie viele alle erwünschten Mails.

      Die Anzahl der Wörter in Spammails halte ich zwar nicht unbedingt für ein Kriterium, aber man weiß ja nie. Wenn Spammer sich üblicherweise sehr kurz fassen, und deine regulären Mailsender immer Romane schreiben, wäre das allein ja eventuell schon ein Kriterium.

      Es spricht jedenfalls nichts dagegen, dieses Kriterium auch irgendwie auszuwerten und zumindest die Statistik zu befüllen.

      Eine, in der steht welches Wort wie oft in Spam und wie oft in erwünschten Mails auftritt.

      Das ist der eigentliche Bayes-Ansatz. Wobei das weitere Vorgehen unterschiedlich ist:

      Wenn jetzt eine neue Mail getestet werden soll, wird für jedes Wort abgefragt, wie häufig es in Spam-Mails und wie häufig in erwünschten Mails auftrat.

      Bis hierhin korrekt. Wobei der originale Ansatz nur die TOP-10 der gefundenen Worte nimmt. Also genauer:

      Alle in der Mail gefundenen Worte werden in der Datenbank gesucht. Die dort am häufigsten in den Kategorien HAM oder SPAM eingetragenen 10 Worte werden zur Bewertung herangezogen - wenn die Mehrzahl der Worte "SPAM" sagt, scheint die Mail wohl SPAM zu sein, und umgekehrt.

      Wobei jedes Wort natürlich sowohl einen HAM als auch einen SPAM-Wert besitzt, also selten wirklich eindeutig böse ist. Aber nur die eindeutigsten Worte heranzuziehen bedeutet unter Umständen einen Vorteil, weil man damit gegen die Verwässerungstaktiken in Spammails wirkt.

      Dann werden die Summen gebildet und jeweils durch die gesamt-Zahl aller Wörter in den Spam- bzw. erwünschten Mails geteilt. Dann hat man zwei Zahlen,  deren Betrag sehr nahe an null ist (wie nahe liegt an dem Verhältnis Textlänge/Größe der vorhandenen Datenbank), diese werden so umgerechnet, dass sie zusammen eins ergeben (wie sich das für Wahrscheinlichkeiten gehört) und das Verhältnis erhalten bleibt.

      Wie du genau errechnest, was dein "Spamfaktor" sein soll, ist im Prinzip auch wieder egal, solange das Ergebnis dich zufrieden stellt. Es gibt da kein "richtig" oder "falsch", sondern nur ein reichhaltiges Experimentierfeld für dich. Und: Je individueller jeder Mailnutzer seine Spamfilter gestaltet, desto schwieriger wird es für die Spammer, Mailtexte zu erfinden, die bei allen durchkommen.

      Als Trenner für Wörter habe ich übrigens folgenden regulären Ausdruck: #[\s.:,;(){}\[\]!?´`']+# hat da jemand einen besseren?

      Wo du deine Worte trennst, ist ebenfalls komplett dir überlassen. Es könnte sogar schlau sein, diverse Ansätze zu benutzen. Beispielsweise kann man vor dem Worttrennen ja HTML-Tags rausfiltern, damit man Dinge wie "<span>VIA</span>GRA" erkennt. Andererseits sind solche seltsamen HTML-Tag-Kombos doch eher in SPAM zu finden, und daher doch interessant für den Filter. Eine Kombination von beidem ist also nicht unbedingt "böse", sondern bietet eventuell sogar eine Verbesserung der Erkennungsquote.

      - Sven Rautenberg

      --
      My sssignature, my preciousssss!
      1. Hallo Freunde des gehobenen Forumsgenusses,

        Moin!

        Ich habe zwei Tabellen in einer Datenbank:

        Eine, in der steht wie viele Wörter alle Spam-Mails zusammen haben und wie viele alle erwünschten Mails.

        Die Anzahl der Wörter in Spammails halte ich zwar nicht unbedingt für ein Kriterium, aber man weiß ja nie. Wenn Spammer sich üblicherweise sehr kurz fassen, und deine regulären Mailsender immer Romane schreiben, wäre das allein ja eventuell schon ein Kriterium.

        Ich wusste, dass man mich missverstehen würde ;-)
        Ich ziehe diese Zahlen nicht zur Bewertung heran, sondern verhindere mit ihnen,
        dass 1Mio Spam-Mails die wenigen hundert erwünschten Mails erdrücken.

        Alle in der Mail gefundenen Worte werden in der Datenbank gesucht. Die dort am häufigsten in den Kategorien HAM oder SPAM eingetragenen 10 Worte werden zur Bewertung herangezogen - wenn die Mehrzahl der Worte "SPAM" sagt, scheint die Mail wohl SPAM zu sein, und umgekehrt.

        Also so etwa?
        select ham, spam from spamfilter order by ((ham+1)/(spam+1)) limit 10;

        An diesem Vorgehen stört mich, dass es im Vergleich zu folgender Abfrage ewig dauert:
        select ham, spam from spamfilter where word='wort1' or word='wort2' etc.;

        Wobei jedes Wort natürlich sowohl einen HAM als auch einen SPAM-Wert besitzt, also selten wirklich eindeutig böse ist. Aber nur die eindeutigsten Worte heranzuziehen bedeutet unter Umständen einen Vorteil, weil man damit gegen die Verwässerungstaktiken in Spammails wirkt.

        Ich weiß nicht, ob das gut ist. Mein Spamfilter hat gerade einer Mail,
        die Thunderbird nicht aussortiert hat eine Spam-Wahrscheinlichkeit von 0.6322 gegeben.

        Es ist natürlich immer das Problem, wo man die Grenze setzt.

        Als Trenner für Wörter habe ich übrigens folgenden regulären Ausdruck: #[\s.:,;(){}\[\]!?´`']+# hat da jemand einen besseren?

        Wo du deine Worte trennst, ist ebenfalls komplett dir überlassen.

        Ja, es hätte ja sein können, dass jemand meint, ein anderer Trenner wäre besser geeignet,
        und zwar aus dem und dem Grund.

        Gruß
        Alexander Brock

        --
        [latex]\lim_{3 \to 4}{\sqrt{3}} = 2[/latex]
  6. Hallo Fabienne,

    ich wiederhole mich zwar, aber warum nicht ,-) Mein praxiserprobtes Rezept lautet: die Mailadresse nicht veröffentlichen. Das ist sehr einfach und wirkungsvoll. Ich habe in zwei Jahren an meine Privatadresse keine einzige Spammail erhalten.

    Gruß, Andreas

    --
    SELFFORUM - hier werden Sie geholfen,
    auch in Fragen zu richtiges Deutsch
    1. Hallo Freunde des gehobenen Forumsgenusses,

      ich wiederhole mich zwar, aber warum nicht ,-) Mein praxiserprobtes Rezept lautet: die Mailadresse nicht veröffentlichen. Das ist sehr einfach und wirkungsvoll. Ich habe in zwei Jahren an meine Privatadresse keine einzige Spammail erhalten.

      Im Impressum muss man leider eine E-Mail-Adresse angeben (ein Formmailer reicht nicht),
      und Mails an diese Adresse will man ja auch vom Spam trennen, es ist daher sehr wohl nötig,
      Spamfilter zu entwickeln.

      Gruß
      Alexander Brock

      --
      Ceterum censeo Carthaginem esse delendam
      1. Hallo.

        Im Impressum muss man leider eine E-Mail-Adresse angeben (ein Formmailer reicht nicht)

        Die Reaktionszeiten deuten vielfach darauf, dass diese Adressen ohnehin kaum abgefragt werden.
        MfG, at

        1. Hallo Freunde des gehobenen Forumsgenusses,

          Die Reaktionszeiten deuten vielfach darauf, dass diese Adressen ohnehin kaum abgefragt werden.

          Damit hat das Gesetz, dass "eine Möglichkeit zu schnellen Kontaktafnahme" im Impressum vorschreibt seinen Zweck vollkommen verfehlt. D.h. ich werde beides anbieten: E-Mail-Adress und Formmailer.

          Gruß
          Alexander Brock

          --
          SelfCode: ie:{ fl:( br:> va:) ls:[ fo:) rl:( n4:? ss:| de:> js:( ch:| sh:( mo:} zu:}
          http://againsttcpa.com
          1. Hallo.

            Damit hat das Gesetz, dass "eine Möglichkeit zu schnellen Kontaktafnahme" im Impressum vorschreibt seinen Zweck vollkommen verfehlt.

            Das weiß ich, ändert aber offenbar nichts.

            D.h. ich werde beides anbieten: E-Mail-Adress und Formmailer.

            Ja, das doch ohnehin, oder hattest du jemals etwas anderes vor?
            MfG, at

            1. Hallo Freunde des gehobenen Forumsgenusses,

              Ja, das doch ohnehin, oder hattest du jemals etwas anderes vor?

              Bis jetzt gebe ich nur meine E-Mail-Adresse an (die ich regelmäßig abrufe, und die erstaunlicher Weise [egal, wie man das schreibt] fast keinen Spam bekommt). Ich habe den ganzen Formmailer-Kram schlicht und ergreifend *schluchz* ;-) vergessen.

              Gruß
              Alexander Brock

              --
              /voodoo.css:
              #GeorgeWBush { position:absolute; bottom:-6ft; }
      2. Im Impressum muss man leider eine E-Mail-Adresse angeben (ein Formmailer reicht nicht),

        wo steht denn das eigentlich? "eine Möglichkeit zu schnellen Kontaktafnahme" ist ja wohl mit einem Formmailer viel sicherer gegeben.

        Gruß, Andreas

        --
        SELFFORUM - hier werden Sie geholfen,
        auch in Fragen zu richtiges Deutsch
        1. davon abgesehen, ist eine Mailadresse im Impressum nicht so schlimm, weil man die z.B. alle drei Monate ändern kann (halt wenn der Spam anfängt). Mit der Privatadresse ist das anders, weil man die Änderung dann allen mitteilen muß.

          Gruß, Andreas

          --
          SELFFORUM - hier werden Sie geholfen,
          auch in Fragen zu richtiges Deutsch
        2. Hallo Freunde des gehobenen Forumsgenusses,

          Im Impressum muss man leider eine E-Mail-Adresse angeben (ein Formmailer reicht nicht),

          wo steht denn das eigentlich? "eine Möglichkeit zu schnellen Kontaktafnahme" ist ja wohl mit einem Formmailer viel sicherer gegeben.

          Ich finde es gerade nicht, meine aber, dass es ein Urteil dazu gibt, das genau das sagt.

          Gruß
          Alexander Brock

          --
          SelfCode: ie:{ fl:( br:> va:) ls:[ fo:) rl:( n4:? ss:| de:> js:( ch:| sh:( mo:} zu:}
          http://againsttcpa.com
        3. Hallo Andreas,

          Im Impressum muss man leider eine E-Mail-Adresse angeben (ein Formmailer reicht nicht),

          wo steht denn das eigentlich? "eine Möglichkeit zu schnellen Kontaktafnahme" ist ja wohl mit einem Formmailer viel sicherer gegeben.

          Teledienstgesetz-TDG

          § 6 - Allgemeine Informationspflichten
          ...
          2. Angaben, die eine schnelle elektronische Kontaktaufnahme und unmittelbare
          Kommunikation mit ihnen ermöglichen, einschließlich der Adresse der
          elektronischen Post,
          ...

          Auf Wiederlesen
          Detlef

          --
          - Wissen ist gut
          - Können ist besser
          - aber das Beste und Interessanteste ist der Weg dahin!
    2. Hallo Andreas

      ... Mein praxiserprobtes Rezept lautet: die Mailadresse nicht veröffentlichen.

      Überhaupt nicht, also absolut geheim?
      Wozu hast du die dann überhaupt? ;-)

      Das ist sehr einfach und wirkungsvoll. Ich habe in zwei Jahren an meine Privatadresse keine einzige Spammail erhalten.

      Da habe ich ein wenig andere Erfahrungen.
      Regelmäßig Spam (wenn auch nicht viel) bekomme ich nur auf eine meiner
      Mailadressen. Und genau diese habe ich nur meinen Verwandten und Freunden
      mitgeteilt, sie wurde von mir nie veröffentlicht.

      Auf Wiederlesen
      Detlef

      --
      - Wissen ist gut
      - Können ist besser
      - aber das Beste und Interessanteste ist der Weg dahin!
      1. Überhaupt nicht, also absolut geheim?

        unveröffentlicht ist nicht gleich geheim. Aber das weißt Du ja ;-)

        Da habe ich ein wenig andere Erfahrungen.

        hm!

        Gruß, Andreas

        --
        SELFFORUM - hier werden Sie geholfen,
        auch in Fragen zu richtiges Deutsch
    3. Hallo Andreas,

      ich wiederhole mich zwar, aber warum nicht ,-) Mein praxiserprobtes Rezept lautet: die Mailadresse nicht veröffentlichen. Das ist sehr einfach und wirkungsvoll. Ich habe in zwei Jahren an meine Privatadresse keine einzige Spammail erhalten.

      Dir ist aber schon bewusst, dass dir dadurch auch Mails entgehen, die du eigentlich erhalten willst? ;-)

      Schöne Grüße,

      Johannes

      --
      ie:% fl:( br:< va:) ls:[ fo:) rl:) n4:& ss:| de:] js:| ch:} sh:) mo:} zu:)
    4. Hallo Andreas,

      apropros Mail, könntest Du Dich mal bei mir per Mail melden? Ich hab nur Deine @andreas-lindig.de-Adresse, die ja wohl offensichtlicherweise nicht mehr geht.

      Viele Grüße,
      Christian

  7. Hallo Freunde des gehobenen Forumsgenusses,

    Ich habe meine PHP-Klassen zur Kategorisierung von Text jetzt kommentiert,
    einen erklärenden Text dazu geschrieben, dem ganzen einen Namen gegeben und hochgeladen:
    V-Text-Categorizer

    Damit könnte man z.B. Anti-Kommentarspam-Plugins für Weblogs o.ä. schreiben.

    Was haltet ihr von

    • der Software
    • dem Text
    • der Dokumentation
    • was euch sonst noch einfällt
      ?

    Gruß
    Alexander Brock

    --
    /voodoo.css:
    #GeorgeWBush { position:absolute; bottom:-6ft; }