Regelfilter

Brauchen Sie Hilfe beim Benutzen eines Plugins?

Moderator: Forum-Team

Regelfilter

Beitragvon larifaribummbumm » 30. Jan 2014, 13:45

Hallo,
ich ärger mich mit Spam rum, welcher angeblich von PayPal kommt. Allerdings auf eine Email Adresse, welche nichts mit meinem Account zu tun hat.

Da ich ja die Originale, richtige Absender Adresse zu meinen Freunden hinzugefügt habe und die Spammails einen gefälschten Absender (gleich dem Originalen) haben, gleiten die bei mir ins Email Programm durch.

Nun wollte ich mit dem Regelfilter arbeiten. Eine Premiere für mich.
Regel erstellt, dass wenn der Mail Text meinen Namen nicht enthält, in den Papierkorb sendet.

Klappt aber scheinbar nicht, weil ja die "Freunde" nicht gefiltert werden.. :roll: :roll: :roll:

Ich könnte die Regel im Mailprogramm ohne Probleme einstellen und die würde klappen, aber ich will die Mails bereits über Spammi raus filtern.

Hat jemand ne gute Idee?
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Regelfilter

Beitragvon renato » 30. Jan 2014, 14:06

Lösche doch den Eintrag unter Freunde und gib die entsprechenden Regeln ein (alles spam, ausser...)
Viele Grüsse Renato
------------------------------------------------------------------------
AMD Ryzen 1700, Samsung 960, Seagate 2TB, Windows 10 Pro (Insider)
Benutzeravatar
renato
Fast schon ein Mitarbeiter
Fast schon ein Mitarbeiter
 
Beta-Tester
 
Beiträge: 320
Registriert: 21. Sep 2007, 08:54
Wohnort: Schweiz

Re: Regelfilter

Beitragvon larifaribummbumm » 30. Jan 2014, 14:25

Hallo Renato,

ja, so in der Art habe ich es jetzt versucht.

Jetzt muss ich mal schauen, ob das klappt.

Ich hatte gehofft, dass es eine Chance gibt, die Mail durch Spammi als gefälscht zu erkennen.


Return-Path: service@paypal.de
Received: from slmp-550-64.slc.westdc.net ([209.236.71.87]) by mx-ha.gmx.net
(mxgmx004) with ESMTPS (Nemesis) id 0LoJnl-1VcFrE2RgH-00gG1M for
<xxxxx@xxxx.de>; Thu, 30 Jan 2014 11:13:22 +0100
Received: from rs210486.rs.hosteurope.de ([5.35.252.60]:49225)
by slmp-550-64.slc.westdc.net with esmtpa (Exim 4.82)
(envelope-from <service@paypal.de>)
id 1W8m4E-002tjX-HM
for xxxxx@xxxx.de; Thu, 30 Jan 2014 00:29:422 -0700
Message-Id: <Gus9ctnwaG2R0solAxdldgghhGIYUaSEqA7jjkUaU3Ua5JXP@paypal.de>
Mime-Version: 1.0
From: PayPal <service@paypal.de>
To: xxxxx@xxxx.de
Subject: PayPal-Kontosperrung
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Regelfilter

Beitragvon renato » 30. Jan 2014, 17:46

alles was Du als Freunde definierst, kannst Du nicht filtern, sonst wären sie ja nicht deine Freunde.

Meist steht ja ein fremder Link oder Mailadresse im Text (z.B. ".ru") und darauf kann man gut filtern.

Für wichtige persönliche Mails (z.B. Paypal, Bank, Post) verwende ich immer eine andere Mailadresse (Alias), somit ist leichter zu unterscheiden, ob es Spam ist oder nicht.
Das gilt auch für Foren, Software, etc, so bekomme ich weniger Spam auf meine eigene Mailadresse.

Wenn man z.B. keine existierende Namen, Vornamen als Mailadressen benutzt, wird die Mailadresse viel weniger (schnell) entdeckt (Scanner suchen nach bekannten Kombinationen und nicht nach z.B. "w77bei0acht@Domain.ch")
Viele Grüsse Renato
------------------------------------------------------------------------
AMD Ryzen 1700, Samsung 960, Seagate 2TB, Windows 10 Pro (Insider)
Benutzeravatar
renato
Fast schon ein Mitarbeiter
Fast schon ein Mitarbeiter
 
Beta-Tester
 
Beiträge: 320
Registriert: 21. Sep 2007, 08:54
Wohnort: Schweiz

Re: Regelfilter

Beitragvon larifaribummbumm » 31. Jan 2014, 06:25

Habe das mal so gestaltet..


Alle Bedingungen erfüllen.
Nachricht an das Email Programm weiterleiten

"Absender" ist "*@paypal.de"
"Empfänger" ist "meine bei PP registrierte Emailadresse"
"Nachrichtentext" enthält "meinen Nachnamen"
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Regelfilter

Beitragvon larifaribummbumm » 8. Feb 2014, 07:40

Guten Morgen,
komisch, ich dachte, ich hatte Gestern was gepostet und kann es nun nicht mehr entdecken..

Also das mit meiner Regel hat erstmal nicht geklappt.
Kann es an dem * in der Emailadresse liegen?

Das habe ich jetzt geändert.
Wo bleibt der Spam wenn man ihn zum testen braucht...
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Regelfilter

Beitragvon Chactory » 9. Feb 2014, 18:18

Hallo Lari!

Die Idee erscheint mir vernünftig.

Für mich ist allerdings eine solche Regel nicht unbedingt nötig, denn ich habe eine Signatur-Regel erstellt. Wenn also meine Signatur korrrekt in einer Mail vorkommt, dann wird sie an das Mailprogramm übergeben. (Exkurs: Ich habe allerdings auch einen nicht ganz so häufigen Namen, deshalb klappt das recht zuverlässig. Wer einen häufigeren Namen hat, sollte das vielleicht mit einem Zusatz kombinieren, z.B. wie in Deiner intelligenten Regel für das echte PayPal.)

Vielleicht enthält Deine Regel tatsächlich Syntaxfehler. Wenn ich meinen Provider ohne Wildcard (Stern) eintrage, funktionierts.
Zwischenablage-.png
Zwischenablage-.png (41.32 KiB) 4791-mal betrachtet

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Regelfilter

Beitragvon larifaribummbumm » 10. Feb 2014, 08:41

Guten Morgen Chactory,

das hatte alles Jahrelang mit "Freunde und Feinde" zu 100% geklappt.
Nun hat sich was verändert.
Ich habe eine Mailadresse welche ich ehemalig für PP hatte.
Die habe ich dann mal gegen eine neue, andere Adresse gewechselt.

Ich bekomme nun auf die alte Adresse / als auch auf andere Emailadressen Spam, welcher von PP zu kommen scheint. Der Absender ist gefälscht, ist aber indentisch mit der richtigen PP Adresse. In diesen Mails geht es eindeutig um das Erlangen der Kontodaten.

Somit kommen die Mails durch, da ich diese Adresse ja den "Freunden" zugefügt habe.

Inzwischen gfällt es auch mir schwerer diese FakeMails zu erkennen, da ich inzwischen auch mit richtigen Vor und Nachnamen angesprochen werde.
Zudem sind fast alle Verlinkungen auf die original PP Webseite in der Mail.
Der Verweis/ die Umleitung auf die Betrügerseite geht über einen Link/ oder Thumb Bildchen.
Oft ist auch ein Anhnag mit einer PDF Dateil dabei, welche Trojaner enthalten.
Diese sind so "neu", dass ein Virenscanner die noch nicht erkennt. Erst Std später werden die erkannt, von meinem Scanner und auch von Virustotal.

An meinen Vor und Zunamen in Verbindung mit der Emailadresse zu gelangen, war recht leicht.
Bei jedem Kauf und dessen Bezahlung mit PP kann der Empfänger sich die Daten speichern, da er ja auch den Namen und die Adresse des Käufers hat.

Somit ist die Email Adresse mit einem Namen und einer Adresse verknüpft. Nun könnte es sein, dass z.B. ein VK im günstigen Ausland, günstige Artikel verkauft, um genau so an die Daten zu kommen, welche mehr wert sind als sein Artikel.....Natürlich könnte auch er einem Angriff und Abgriff der Daten zum Opfer gefallen sein.

Ich habe die Regel nun erstellt, um maximal diese Mails auszusortieren.
Aber sobald ich in der neuen Emailadresse wieder mit richtigem Namen angesprochen werde, kommen diese wieder ins Mailprogramm.

Wie kann ich eine Regel einrichten, welche die richtigen Mails von PP zu den falschen unterscheidet und erkennt?
Über die IP Adresse? Es muss doch ein Merkmal geben, welches den originalen Absender als eindeutig identifiziert, oder?

Bei GMX ist (wenn man die Mails auf dem Server liest) immer bei den echten ein Logo über den Absender gelegt.
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Regelfilter

Beitragvon larifaribummbumm » 10. Feb 2014, 08:42

Ich suche mal die Kopfdaten einer echten und einer falschen Mail raus.
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Regelfilter

Beitragvon Chactory » 10. Feb 2014, 15:33

larifaribummbumm hat geschrieben:Ich suche mal die Kopfdaten einer echten und einer falschen Mail raus.
Das würde mich sehr interessieren.

Schau auch mal hier: http://www.heise.de/security/artikel/Ve ... 84608.html
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Regelfilter

Beitragvon larifaribummbumm » 10. Feb 2014, 16:50

Hallo Chactory,

genau, da hat einer das Problem erkannt...
Da große Anbieter meistens über die selbe IP senden, könnte da vielleicht ein Weg sein....

Zu den Kopfdaten, ich hatte noch keine Zeit...
Folgt aber noch.
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Regelfilter

Beitragvon larifaribummbumm » 10. Feb 2014, 19:20

Fake Mail 1:
Return-Path: service@paypal.de
Received: from slmp-550-64.slc.westdc.net ([209.236.71.87]) by mx-ha.xxx.net (mxxxx004) with ESMTPS (Nemesis) id 0LoJnl-1VcFrE2RgH-00gG1M for<XXXXXXXXX@XXX.XX>; Thu, 30 Jan 2014 11:11:38 +0100
Received: from rs210486.rs.hosteurope.de ([5.35.252.60]:49225)
by slmp-550-64.slc.westdc.net with esmtpa (Exim 4.82)
(envelope-from <service@paypal.de>)
id 1W8m4E-002tjX-HM
for XXXXXXXXX@XXX.XX; Thu, 30 Jan 2014 00:29:45 -0700
Message-Id: <Gus9ctnwaG2R0solAxdlJLhGSEqA7mUaUa5JXP@paypal.de>
Mime-Version: 1.0
From: PayPal <service@paypal.de>
To: XXXXXXXXX@XXX.XX
Subject: PayPal-Kontosperrung
Date: Thu, 30 Jan 2014 08:29:41 +0100
X-Bounce-Tracking-Info: <CQkJa2lsbGluZ3pveUBnbXguZGUJUGF5UGFsLUtvbnRvcmcJMjAJCTExMDk0CWJvdW5jZQlubwlubw==>
Content-type: multipart/alternative; Boundary="--=BOUNDARY_130829_HYXW_FOSB_UPWJ_AHRR"
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - slmp-550-64.slc.westdc.net
X-AntiAbuse: Original Domain - gmx.de
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - paypal.de
X-Get-Message-Sender-Via: slmp-550-64.slc.westdc.net: authenticated_id:lminnix@minlandmachine.com
X-Source:
X-Source-Args:
X-Source-Dir:



Fake Mail 2:
Return-Path: service@paypal.de
Received: from mail.rapiddns.pw ([91.205.173.235]) by mx-ha.xxx.net (mxxxx108) with ESMTP (Nemesis) id 0LkjJg-1VXNSK1pyu-00aVSN for <XXXXXXXXX@XXX.XX>;Mon, 27 Jan 2014 17:08:36 +0100
Received: from [5.35.252.158] ([5.35.252.158]) by rapiddns.pw with MailEnable ESMTP; Mon, 27 Jan 2014 15:21:24 +0330
Message-Id: <n26oTtPdYHQd9EVsE00SDXSkS0VeJmY5w4TP5DrSO5oh@paypal.de>
Mime-Version: 1.0
From: service@paypal.de
To: "XXXXXXXX" <XXXXXXXXX@XXX.XX>
Subject: Wichtige Information zu Ihrem PayPal Konto
Date: Mon, 27 Jan 2014 15:21:21 +0100
X-Bounce-Tracking-Info: <a2lsbGluZ3pveQkJCWtpbGxpbmd6b3lAZ214LmRlCVdpY2h0aWdlIEluZ0aW9uIHp1IElocmVtIFBheVBhbCBLb250bwk2CQkxMTMxNzEJYm91bmNlCW5vCW5v>
Content-type: text/html; charset=iso-8859-1
Content-transfer-encoding: quoted-printable
X-ME-Bayesian: 0.000000


Echte Mail:
Return-Path: service@paypal.de
Received: from mx0.slc.paypal.com ([173.0.84.226]) by mx-ha.xxx.net (mxxxx104) with ESMTP (Nemesis) id 0MVrcq-1W0mso2bM-00X611 for<XXXXXXXXX@XXX.XX>; Fri, 20 Dec 2013 19:25:35 +0100
DKIM-Signature: v=1; a=rsa-sha256; d=paypal.de; s=pp-dkim1; c=relaxed/relaxed;
q=dns/txt; i=@paypal.de; t=1387563934;
h=From:From:Subject:Date:To:MIME-Version:Content-Type;
bh=8kT2XjRi+dguV9ymuT0jcbTy4j6/dvKiYdgBy/vyBCA=;
b=1dcdwYOuIklO81nbO3u/XAuiRP75aZCGd9kpLzcHs/Uxuq6IwmoH54FRF/j+G6KW
IdpN1OwGzf6Af+etYywuUGKBH7XTpmP6QyB/lUHD9S2aV/WyRmZxa4
2FYYajOqOrwvR6vPdS0sNydFBfsCDYAMZoafK9HMKD0jCVRID9tTarkZ7uU
O2gCOaJFWPuW/+/cHdUJghofun95UrvAT/SA/2YH8z25EaNaQVpTuUwrGFEIag
iG6/SCnDajAS0XYxvVuC8b+InxcR/J0SjfYwGe0CcaMl9vZPkXKy0wjsds/42
xwe7KcW88jbaSA/NPs3k4w==;
Received: (qmail 27006 invoked by uid 993); 20 Dec 2013 18:25:34 -0000
Date: Fri, 20 Dec 2013 10:25:34 -0800
Message-Id: <269524814144514545@paypal.com>
PP-Correlation-Id: 7c0ff0178d409


Als ich mir diese eben vom Server nochmal geschickt habe, sind die wieder durch meinen Regelfilter gelaufen... grrrrrr
In diesen beiden Mails werde ich nicht mit Namen angesprochen, aber in anderen, die sehr ähnlich sind.
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Regelfilter

Beitragvon Chactory » 10. Feb 2014, 22:29

(Sag mal, welche Mail bei den Screenshots ist denn Spam, und welche ok? :shock:)
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Regelfilter

Beitragvon larifaribummbumm » 11. Feb 2014, 08:06

in dem Fall beide...
In beiden ist ein Link zu der Fakeseite, diese Mails sind sehr einfach zu enttarnen.

Sorry, das hatte ich vergessen zu schreiben.
Ich warte noch auf die nächste Fake Mail, in der ich mit meinem Namen angesprochen werde...
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Regelfilter

Beitragvon renato » 11. Feb 2014, 09:10

Versuchs mal mit Regeln wie "der Nachrichtentext" "enthält" ".ru"

Es gibt ja nur wenige Länder wo diese Links hinführen.
Viele Grüsse Renato
------------------------------------------------------------------------
AMD Ryzen 1700, Samsung 960, Seagate 2TB, Windows 10 Pro (Insider)
Benutzeravatar
renato
Fast schon ein Mitarbeiter
Fast schon ein Mitarbeiter
 
Beta-Tester
 
Beiträge: 320
Registriert: 21. Sep 2007, 08:54
Wohnort: Schweiz

Nächste

Zurück zu Plugins: Hilfe

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron

 industrious-southeast