OT: Frage zu Spamassassinregel

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

OT: Frage zu Spamassassinregel

Hajo Locke
Hallo Liste,

habe mal eine Frage zu einer Spamassassinregel die ich heute das erste
mal in einer Auswertung gesehen hat.
Die Rule nennt sich SB_GIF_AND_NO_URIS

Die Regel ist auch relativ hoch bewertet:

/var/lib/spamassassin/3.004002/updates_spamassassin_org/50_scores.cf:score
SB_GIF_AND_NO_URIS 2.199 2.199 2.200 2.199 # n=2
/var/lib/spamassassin/3.004002/updates_spamassassin_org/72_active.cf:##{
SB_GIF_AND_NO_URIS
/var/lib/spamassassin/3.004002/updates_spamassassin_org/72_active.cf:meta
SB_GIF_AND_NO_URIS (__GIF_ATTACH&&!__HAS_ANY_URI&&!__HAS_ANY_EMAIL)
/var/lib/spamassassin/3.004002/updates_spamassassin_org/72_active.cf:##}
SB_GIF_AND_NO_URIS

Ich verstehe aber aktuell den Sinn dahinter nicht. Die offizielle
Beschreibung deckt sich mit der Mutmaßung beim analysieren der Regel:

 >>The mail has an attachment of the MIME-type "image/gif" but the body
does not contain a URI and an email address.<<

Regel hat einen Anhang vom Typ image/gif aber im Text wird keine URI und
keine Mailadresse genannt.
Versteht das jemand? Auf welche Art Spam wird denn hier abgezielt?

Danke,
Hajo
Reply | Threaded
Open this post in threaded view
|

Re: OT: Frage zu Spamassassinregel

Alexander Dalloz
Am 2019-08-01 14:39, schrieb Hajo Locke:
> Hallo Liste,

[ ... ]

>>> The mail has an attachment of the MIME-type "image/gif" but the body
> does not contain a URI and an email address.<<
>
> Regel hat einen Anhang vom Typ image/gif aber im Text wird keine URI
> und
> keine Mailadresse genannt.
> Versteht das jemand? Auf welche Art Spam wird denn hier abgezielt?

Das sind Spam-Nachrichten, deren spammiger Inhalt in einem Bild steckt
und die verdächtigen URLs und sonstige Adressen nicht textuell geparsed
werden können. Spammer versuchen so, entsprechende Blacklists wie
http://uribl.com/ zu umgehen.

> Danke,
> Hajo

Alexander

Reply | Threaded
Open this post in threaded view
|

Re: OT: Frage zu Spamassassinregel

Hajo Locke
Hallo,

Am 02.08.2019 um 15:01 schrieb Alexander Dalloz:

> Am 2019-08-01 14:39, schrieb Hajo Locke:
>> Hallo Liste,
>
> [ ... ]
>
>>>> The mail has an attachment of the MIME-type "image/gif" but the body
>> does not contain a URI and an email address.<<
>>
>> Regel hat einen Anhang vom Typ image/gif aber im Text wird keine URI und
>> keine Mailadresse genannt.
>> Versteht das jemand? Auf welche Art Spam wird denn hier abgezielt?
>
> Das sind Spam-Nachrichten, deren spammiger Inhalt in einem Bild steckt
> und die verdächtigen URLs und sonstige Adressen nicht textuell
> geparsed werden können. Spammer versuchen so, entsprechende Blacklists
> wie http://uribl.com/ zu umgehen.
Ja, so in die Richtung wird es gehen, ich war aber der Meinung die
bisherigen Regeln zu dieser Art Spam sind ausreichend und finde ich auch
etwas genauer. gif im Anhang und keine Mailadresse oder URL im Body
finde ich etwas zu alltäglich.
>
>> Danke,
>> Hajo
>
> Alexander
>
>
Hajo