Image only spam

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
13 messages Options
Reply | Threaded
Open this post in threaded view
|

Image only spam

Claas Goltz-2

Hallo!
Es kommt von Zeit zu Zeit immer mal wieder vor, dass Spam Mails, die nur ein Bild mit Werbung enthalten, es durch meine Filter schaffen (amavis mit sa). Die bekommen zwar schon einen relativ hohen score, aber eben nicht genug, ab 5.2 blockiere ich die E-Mails. Mein erster Gedanke ist, dass ich einfach die Scores von HTML_IMAGE_ONLY erhöhe, aber da weiß ich leider nicht, welche Stellschraube da die Richtige ist. Meint ihr, dass ist der Richtige weg? Und wenn ja, was würdet ihr da empfehlen?

Danke!


Hier der Auszug der

/var/lib/spamassassin/3.004000/updates_spamassassin_org/50_scores.cf


score HTML_IMAGE_ONLY_04 1.680 0.342 1.799 1.172
score HTML_IMAGE_ONLY_08 0.585 1.781 1.845 1.651
score HTML_IMAGE_ONLY_12 1.381 1.629 1.400 2.059
score HTML_IMAGE_ONLY_16 1.969 1.048 1.199 1.092
score HTML_IMAGE_ONLY_20 2.109 0.700 1.300 1.546
score HTML_IMAGE_ONLY_24 2.799 1.282 1.328 1.618
score HTML_IMAGE_ONLY_28 2.799 0.726 1.512 1.404
score HTML_IMAGE_ONLY_32 2.196 0.001 1.172 0.001
score HTML_IMAGE_RATIO_02 2.199 0.805 1.200 0.437
score HTML_IMAGE_RATIO_04 2.089 0.610 0.607 0.556
score HTML_IMAGE_RATIO_06 0.001 0.001 0.001 0.001
score HTML_IMAGE_RATIO_08 0.001 0.001 0.001 0.001

Beispiel E-Mail:

Received: from  ex02.localdomain.de (x.x.x.x) by  ex01.localdomain.de
 (x.x.x.x) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256) id 15.1.845.34 via Mailbox
 Transport; Mon, 24 Apr 2017 13:55:34 +0200
Received: from mx1.localdomain.de (x.x.x.x) by  ex02.localdomain.de
 (x.x.x.x) with Microsoft SMTP Server (TLS) id 15.1.466.34; Mon, 24 Apr
 2017 13:55:34 +0200
Received: from localhost (localhost [127.0.0.1])
    by  mx1.localdomain.de (Postfix) with ESMTP id 1BE47FF2F3
    for <[hidden email]>; Mon, 24 Apr 2017 13:55:39 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at mx1.localdomain.de
X-Spam-Flag: NO
X-Spam-Score: 4.797
X-Spam-Level: ****
X-Spam-Status: No, score=4.797 tagged_above=-999 required=5.2
    tests=[HTML_IMAGE_ONLY_04=0.342, HTML_MESSAGE=0.001,
    HTML_SHORT_LINK_IMG_1=0.139, MPART_ALT_DIFF=0.724,
    RCVD_IN_BRBL_LASTEXT=1.644, RP_MATCHES_RCVD=-0.001, SPF_PASS=-0.001,
    URIBL_ABUSE_SURBL=1.948, URIBL_BLOCKED=0.001]
    autolearn=no autolearn_force=no
Received: from  mx1.localdomain.de ([IPv6:::1])
    by localhost (mx1.localdomain.de [IPv6:::1]) (amavisd-new, port 10024)
    with ESMTP id m76-z8EjAC2e for <[hidden email]>;
    Mon, 24 Apr 2017 13:55:38 +0200 (CEST)
Received: from mail.htcforum.eu (mail.htcforum.eu [163.172.221.180])
    by  mx1.localdomain.de (Postfix) with ESMTP
    for <[hidden email]>; Mon, 24 Apr 2017 13:55:38 +0200 (CEST)
Received: from htcforum.eu (mail.htcforum.eu [163.172.221.180])
    by mail.htcforum.eu (Postfix) with ESMTPA id F0332215573C;
    Mon, 24 Apr 2017 06:05:22 +0300 (EEST)
Message-ID: <1f7601d2bcc0$c4dee390$ea2b73a0@uhvanrq>
Reply-To: Passionpharm <[hidden email]>
From: Passionpharm <[hidden email]>
To: <[hidden email]>
Subject: Angebot der Woche!
Date: Mon, 24 Apr 2017 06:05:26 +0300
Content-Type: multipart/related; type="multipart/alternative";
    boundary="----=_NextPart_000_0006_01D2BCC0.B7951830"
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
Return-Path: [hidden email]
X-MS-Exchange-Organization-Network-Message-Id: 6db10c63-64d3-4422-444f-08d48b08d0b7
X-MS-Exchange-Organization-AuthSource:  ex02.localdomain.de
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:00.0926630
MIME-Version: 1.0


postconf -n

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
bounce_queue_lifetime = 3d
broken_sasl_auth_clients = yes
check_greylist = check_policy_service inet:127.0.0.1:10023
config_directory = /etc/postfix
cyrus_sasl_config_path = /etc/postfix/sasl
inet_interfaces = all
maximal_queue_lifetime = 3d
message_size_limit = 41943040
myorigin = /etc/mailname
readme_directory = no
relay_domains = hash:/etc/postfix/relay_domains,
smtp_helo_name = mx0.contact.de
smtp_tls_CAfile = /etc/postfix/ssl/CAcert.pem
smtp_tls_cert_file = /etc/postfix/ssl/cert-2017.pem
smtp_tls_key_file = /etc/postfix/ssl/key-2017.pem
smtp_tls_security_level = may
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/access_recipient, check_client_access cidr:/etc/postfix/access_client, check_helo_access hash:/etc/postfix/access_helo, check_sender_access hash:/etc/postfix/access_sender, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_invalid_hostname, permit_sasl_authenticated, permit_mynetworks, reject_rbl_client zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, check_policy_service inet:127.0.0.1:12525 check_client_access regexp:/etc/postfix/check_client_greylist reject_unverified_recipient, permit_mx_backup, reject_unauth_destination, permit
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_restriction_classes = check_greylist
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = no
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/ssl/CAcert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/cert-2017.pem
smtpd_tls_key_file = /etc/postfix/ssl/key-2017.pem
smtpd_tls_security_level = may
transport_maps = hash:/etc/postfix/transport_maps, $relay_domains
unverified_recipient_reject_code = 599

Reply | Threaded
Open this post in threaded view
|

Re: Image only spam

Kai Fürstenberg
Hi Claas,

Am 24.04.2017 um 15:51 schrieb Claas Goltz:
> Hallo!
> Es kommt von Zeit zu Zeit immer mal wieder vor, dass Spam Mails, die nur
> ein Bild mit Werbung enthalten, es durch meine Filter schaffen (amavis
> mit sa). Die bekommen zwar schon einen relativ hohen score, aber eben
> nicht genug, ab 5.2 blockiere ich die E-Mails. Mein erster Gedanke ist,
> dass ich einfach die Scores von HTML_IMAGE_ONLY erhöhe, aber da weiß ich
> leider nicht, welche Stellschraube da die Richtige ist. Meint ihr, dass
> ist der Richtige weg? Und wenn ja, was würdet ihr da empfehlen?

früher gab es für sowas FuzzyOCR, das Projekt ist aber wohl eingeschlafen.

Evtl. funktioniert das hier aber:
https://wiki.apache.org/spamassassin/OcrPlugin

Ich selbst habe es nicht am laufen, da bei mir nicht so viel
Image-Only-Spam aufschlägt.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|

Re: Image only spam

Ralf Hildebrandt
In reply to this post by Claas Goltz-2
* Claas Goltz <[hidden email]>:
> Hallo!
> Es kommt von Zeit zu Zeit immer mal wieder vor, dass Spam Mails, die nur ein Bild mit Werbung enthalten, es durch meine Filter schaffen (amavis mit sa). Die bekommen zwar schon einen relativ hohen score, aber eben nicht genug, ab 5.2 blockiere ich die E-Mails. Mein erster Gedanke ist, dass ich einfach die Scores von HTML_IMAGE_ONLY erhöhe, aber da weiß ich leider nicht, welche Stellschraube da die Richtige ist. Meint ihr, dass ist der Richtige weg? Und wenn ja, was würdet ihr da empfehlen?

Das OCR Plugin :)

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
ms
Reply | Threaded
Open this post in threaded view
|

Re: Image only spam

ms
In reply to this post by Claas Goltz-2
Am 24.04.2017 um 15:51 schrieb Claas Goltz:
> Hallo!
> Es kommt von Zeit zu Zeit immer mal wieder vor, dass Spam Mails, die nur
> ein Bild mit Werbung enthalten, es durch meine Filter schaffen (amavis
> mit sa). Die bekommen zwar schon einen relativ hohen score, aber eben
> nicht genug, ab 5.2 blockiere ich die E-Mails. Mein erster Gedanke ist,
> dass ich einfach die Scores von HTML_IMAGE_ONLY erhöhe, aber da weiß ich
> leider nicht, welche Stellschraube da die Richtige ist. Meint ihr, dass
> ist der Richtige weg? Und wenn ja, was würdet ihr da empfehlen?


Moin,

HTML_IMAGE_ONLY_04 zu erhöhen wäre auf den ersten Blick natürlich die
logische Konsequenz. Allerdings kann man damit auch die false-positive
Rate ordentlich nach oben treiben.

Meiner Meinung nach sind hier Meta Rules die bessere Variante, um
solchen Spam-Mails Herr zu werden.

Die folgende Meta Rule sollte eigentlich diesen Spam erkennen:

> mimeheader      __DD_CYRILLIC_SPAM_01                   content-type =~ /charset=\"windows-1251\"/i
> meta            DD_CYRILLIC_01                          (__DD_CYRILLIC_SPAM_01 && HTML_IMAGE_ONLY_04)
> score           DD_CYRILLIC_01                          6.75

Erklärung:
Wenn der Mimeheader windows-1251 (also kyrillisch) ist und
HTML_IMAGE_ONLY_04 auch vom SA erkannt wurde, dann wird entsprechend
"gescored". Man kann natürlich die Meta Rule noch um weitere Tests
erweitern, aber eigentlich sollte das so schon ausreichen.

Bei mir sortiert die Rule diese Art von Spam seit 2-3 Jahren zuverlässig
aus.


Beste Grüße
Michael Seevogel
Reply | Threaded
Open this post in threaded view
|

Re: Image only spam

Christian Boltz
In reply to this post by Claas Goltz-2
Hallo Claas, hallo zusammen,

Am Montag, 24. April 2017, 15:51:57 CEST schrieb Claas Goltz:
> URIBL_BLOCKED=0.001

Das sieht nach der passenden Stellschraube aus.

Du willst einen eigenen Nameserver (statt des Provider-Nameservers)
betreiben, damit Dich URIBL mit sinnvollen Ergebnissen versorgt ;-)

URIBL_BLACK und URIBL_DBL_SPAM sind recht zuverlässige Spam-Indikatoren
und erwischen nur sehr selten (!= nie) Ham. Ggf. kannst Du die Scores
dafür also etwas hochdrehen.


Gruß

Christian Boltz
--
[Need tool to uncover Rootkits]
Our approach is not to let rootkits enter the system :)
[Marcus Meissner in https://bugzilla.novell.com/show_bug.cgi?id=199078]

Reply | Threaded
Open this post in threaded view
|

Re: Image only spam

Ralf Hildebrandt
* Christian Boltz <[hidden email]>:
> Hallo Claas, hallo zusammen,
>
> Am Montag, 24. April 2017, 15:51:57 CEST schrieb Claas Goltz:
> > URIBL_BLOCKED=0.001
>
> Das sieht nach der passenden Stellschraube aus.
>
> Du willst einen eigenen Nameserver (statt des Provider-Nameservers)
> betreiben, damit Dich URIBL mit sinnvollen Ergebnissen versorgt ;-)

Korrekt

Aber man darf halt nicht zuviel Abfragen machen...
--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Image only spam

Claas Goltz-2
Hallo!
Danke für den Hinweis, URIBL scheint in der tat erst mal die beste Stellschraube zu sein. Ich habe den Score geringfügig erhöht und werde es beobachten.
Von den OCR Plugins hatte ich auch schon gelesen, aber da hat es mich abgeschreckt, das teilweise mehr als 6-7 Jahre keine Weiterentwicklung stattfand. Daher dachte ich, dass OCR nun aus der Mode gekommen ist.

Also, ich beobachte erstmal weiter und wenn es nicht reicht, werde ich die community nochmal um Rat fragen! Danke an alle beteiligten.

- Claas

> Ralf Hildebrandt <[hidden email]> hat am 24. April 2017 um 21:55 geschrieben:
>
>
> * Christian Boltz <[hidden email]>:
> > Hallo Claas, hallo zusammen,
> >
> > Am Montag, 24. April 2017, 15:51:57 CEST schrieb Claas Goltz:
> > > URIBL_BLOCKED=0.001
> >
> > Das sieht nach der passenden Stellschraube aus.
> >
> > Du willst einen eigenen Nameserver (statt des Provider-Nameservers)
> > betreiben, damit Dich URIBL mit sinnvollen Ergebnissen versorgt ;-)
>
> Korrekt
>
> Aber man darf halt nicht zuviel Abfragen machen...
> --
> Ralf Hildebrandt
> Geschäftsbereich IT | Abteilung Netzwerk
> Charité - Universitätsmedizin Berlin
> Campus Benjamin Franklin
> Hindenburgdamm 30 | D-12203 Berlin
> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
> [hidden email] | https://www.charite.de
>
Reply | Threaded
Open this post in threaded view
|

Re: Image only spam

Hajo Locke
In reply to this post by Ralf Hildebrandt
Hallo,

Am 24.04.2017 um 21:55 schrieb Ralf Hildebrandt:

> * Christian Boltz <[hidden email]>:
>> Hallo Claas, hallo zusammen,
>>
>> Am Montag, 24. April 2017, 15:51:57 CEST schrieb Claas Goltz:
>>> URIBL_BLOCKED=0.001
>> Das sieht nach der passenden Stellschraube aus.
>>
>> Du willst einen eigenen Nameserver (statt des Provider-Nameservers)
>> betreiben, damit Dich URIBL mit sinnvollen Ergebnissen versorgt ;-)
> Korrekt
>
> Aber man darf halt nicht zuviel Abfragen machen...
Wir kann man eigentlich in Spamassassin die Nutzung dieser Liste
abschalten. Listen mit Abfragelimits möchte ich gern vermeiden.
Ich verwende bereits "skip_rbl_checks 1" in der local.cf des
Spamassassin. Das scheint auch für die per default aktivierten RBLs zu
greifen. URIBL wird aber wohl trotzdem getestet und finde ich in den
Logauswertungen.

Danke,
Hajo
Reply | Threaded
Open this post in threaded view
|

AW: Image only spam

Hoyer-Reuther, Christian
Hallo Hajo,

Deaktivierung einzelner Listenabfragen geht wie folgt:

dns_query_restriction deny sorbs.net

Christian

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Hajo Locke
Gesendet: Dienstag, 25. April 2017 13:18
An: [hidden email]
Betreff: Re: Image only spam

Hallo,

Am 24.04.2017 um 21:55 schrieb Ralf Hildebrandt:

> * Christian Boltz <[hidden email]>:
>> Hallo Claas, hallo zusammen,
>>
>> Am Montag, 24. April 2017, 15:51:57 CEST schrieb Claas Goltz:
>>> URIBL_BLOCKED=0.001
>> Das sieht nach der passenden Stellschraube aus.
>>
>> Du willst einen eigenen Nameserver (statt des Provider-Nameservers)
>> betreiben, damit Dich URIBL mit sinnvollen Ergebnissen versorgt ;-)
> Korrekt
>
> Aber man darf halt nicht zuviel Abfragen machen...
Wir kann man eigentlich in Spamassassin die Nutzung dieser Liste
abschalten. Listen mit Abfragelimits möchte ich gern vermeiden.
Ich verwende bereits "skip_rbl_checks 1" in der local.cf des
Spamassassin. Das scheint auch für die per default aktivierten RBLs zu
greifen. URIBL wird aber wohl trotzdem getestet und finde ich in den
Logauswertungen.

Danke,
Hajo
Reply | Threaded
Open this post in threaded view
|

Re: Image only spam

Ralf Hildebrandt
In reply to this post by Hajo Locke
* Hajo Locke <[hidden email]>:

> Hallo,
>
> Am 24.04.2017 um 21:55 schrieb Ralf Hildebrandt:
> > * Christian Boltz <[hidden email]>:
> > > Hallo Claas, hallo zusammen,
> > >
> > > Am Montag, 24. April 2017, 15:51:57 CEST schrieb Claas Goltz:
> > > > URIBL_BLOCKED=0.001
> > > Das sieht nach der passenden Stellschraube aus.
> > >
> > > Du willst einen eigenen Nameserver (statt des Provider-Nameservers)
> > > betreiben, damit Dich URIBL mit sinnvollen Ergebnissen versorgt ;-)
> > Korrekt
> >
> > Aber man darf halt nicht zuviel Abfragen machen...
> Wir kann man eigentlich in Spamassassin die Nutzung dieser Liste abschalten.
> Listen mit Abfragelimits möchte ich gern vermeiden.

Score auf 0 setzen (local.cf von SpamAssassin)

# DISABLE URIBL
score URIBL_BLACK 0
score URIBL_RED 0
score URIBL_GREY 0
score URIBL_BLOCKED 0

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Image only spam

Claas Goltz-2
Hallo Hajo,
bewirkt das nicht das Gegenteil von dem was ich eigentlich möchte? Die EMail hatte ja zuwenig Punkte bekommen und durch das hochschrauben der URIBL_BLOCKED scores hätte sie die kritische Punktzahl 5.2 bekommen und wäre geblockt worden.

> Ralf Hildebrandt <[hidden email]> hat am 25. April 2017 um 14:22 geschrieben:
>
>
> * Hajo Locke <[hidden email]>:
> > Hallo,
> >
> > Am 24.04.2017 um 21:55 schrieb Ralf Hildebrandt:
> > > * Christian Boltz <[hidden email]>:
> > > > Hallo Claas, hallo zusammen,
> > > >
> > > > Am Montag, 24. April 2017, 15:51:57 CEST schrieb Claas Goltz:
> > > > > URIBL_BLOCKED=0.001
> > > > Das sieht nach der passenden Stellschraube aus.
> > > >
> > > > Du willst einen eigenen Nameserver (statt des Provider-Nameservers)
> > > > betreiben, damit Dich URIBL mit sinnvollen Ergebnissen versorgt ;-)
> > > Korrekt
> > >
> > > Aber man darf halt nicht zuviel Abfragen machen...
> > Wir kann man eigentlich in Spamassassin die Nutzung dieser Liste abschalten.
> > Listen mit Abfragelimits möchte ich gern vermeiden.
>
> Score auf 0 setzen (local.cf von SpamAssassin)
>
> # DISABLE URIBL
> score URIBL_BLACK 0
> score URIBL_RED 0
> score URIBL_GREY 0
> score URIBL_BLOCKED 0
>
> --
> Ralf Hildebrandt
> Geschäftsbereich IT | Abteilung Netzwerk
> Charité - Universitätsmedizin Berlin
> Campus Benjamin Franklin
> Hindenburgdamm 30 | D-12203 Berlin
> Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
> [hidden email] | https://www.charite.de
>
Reply | Threaded
Open this post in threaded view
|

Re: Image only spam

Hajo Locke
Hallo,

Am 25.04.2017 um 14:30 schrieb Claas Goltz:
> Hallo Hajo,
> bewirkt das nicht das Gegenteil von dem was ich eigentlich möchte? Die
> EMail hatte ja zuwenig Punkte bekommen und durch das hochschrauben der
> URIBL_BLOCKED scores hätte sie die kritische Punktzahl 5.2 bekommen
> und wäre geblockt worden.
Ja, du hast Recht. Ich hatte im Mailverlauf nur den Hinweis
aufgegriffen, dass es sich um eine Liste mit Abfragelimits handelt und
wie man es vermeidet diese Liste zu verwenden.
Für deinen Zweck ist das sicherlich nichts und du könntest den score für
vertrauenswürdige Tests nach oben schrauben.

>
> > Ralf Hildebrandt <[hidden email]> hat am 25. April 2017
> um 14:22 geschrieben:
> >
> >
> > * Hajo Locke <[hidden email]>:
> > > Hallo,
> > >
> > > Am 24.04.2017 um 21:55 schrieb Ralf Hildebrandt:
> > > > * Christian Boltz <[hidden email]>:
> > > > > Hallo Claas, hallo zusammen,
> > > > >
> > > > > Am Montag, 24. April 2017, 15:51:57 CEST schrieb Claas Goltz:
> > > > > > URIBL_BLOCKED=0.001
> > > > > Das sieht nach der passenden Stellschraube aus.
> > > > >
> > > > > Du willst einen eigenen Nameserver (statt des
> Provider-Nameservers)
> > > > > betreiben, damit Dich URIBL mit sinnvollen Ergebnissen
> versorgt ;-)
> > > > Korrekt
> > > >
> > > > Aber man darf halt nicht zuviel Abfragen machen...
> > > Wir kann man eigentlich in Spamassassin die Nutzung dieser Liste
> abschalten.
> > > Listen mit Abfragelimits möchte ich gern vermeiden.
> >
> > Score auf 0 setzen (local.cf von SpamAssassin)
> >
> > # DISABLE URIBL
> > score URIBL_BLACK 0
> > score URIBL_RED 0
> > score URIBL_GREY 0
> > score URIBL_BLOCKED 0
> >
> > --
> > Ralf Hildebrandt
> > Geschäftsbereich IT | Abteilung Netzwerk
> > Charité - Universitätsmedizin Berlin
> > Campus Benjamin Franklin
> > Hindenburgdamm 30 | D-12203 Berlin
> > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
> > [hidden email] | https://www.charite.de
> >

Hajo
Reply | Threaded
Open this post in threaded view
|

Re: Image only spam

Christian Boltz
In reply to this post by Claas Goltz-2
Hallo Claas, hallo zusammen,

Am Dienstag, 25. April 2017, 14:30:38 CEST schrieb Claas Goltz:
> Hallo Hajo,
> bewirkt das nicht das Gegenteil von dem was ich eigentlich möchte? Die
> EMail hatte ja zuwenig Punkte bekommen und durch das hochschrauben
> der URIBL_BLOCKED scores hätte sie die kritische Punktzahl 5.2
> bekommen und wäre geblockt worden.

URIBL_BLOCKED sagt "Du hast das Abfragelimit überschritten".
_Dafür_ die Punkte hochsetzen ist vermutlich keine gute Idee.

Die anderen URIBL_*-Regeln kannst Du eher hochdrehen, sie bringen aber
auch schon von Haus aus einige Punkte mit. Probier also erstmal mit den
Standardwerten.

Und generell gilt: Im Zweifelsfall erstmal den Regelnamen in Google
tippen/pasten, bevor man an den Punkten dreht ;-)


Gruß

Christian Boltz
--
> Führst Du schon Selbstgespräche? ;-)
Hm. Kann sein. Was meinst du? Nein, glaube ich nicht.
Sicher? Ganz sicher.
Nein, tun wir nicht.
[> Christian Boltz und Ratti in fontlinge-devel]