Return-Path weicht ab von From-path

Haben Sie eine tolle Idee für eine neue Funktion?

Moderator: Forum-Team

Return-Path weicht ab von From-path

Beitragvon sliekers » 31. Jul 2012, 12:42

Viele E-Mails werden Heutzutage empfangen wo die To-Adresse und die From-Adresse ähnlich sind, aber der Return-path eine andere Adresse hat.
Wie ist das im Spamihilator ab zu fangen? Es handelt sich hier um sogenanntes Fishingmail
(Sehe hierunter. Meine Adresse (xxxxxx) und die vom Provider (yyyyyy) habe ich geändert)
Code: Alles auswählen
Return-Path: <vanquishesqv2@ctrip-com>
X-Original-To: jan@xxxxxx---
Delivered-To: jan@xxxxxx---
Received: from nixa.yyyyyy--- (unknown [127.0.0.1])
   by nixa.yyyyyy--- (Postfix) with ESMTP id C0A7D217E8007
   for <jan@xxxxxx--->; Tue, 31 Jul 2012 10:16:40 +0000 (UTC)
Received: from barracuda1.yyyyyy--- (unknown [82.150.140.187])
   by nixa.yyyyyy--- (Postfix) with ESMTP
   for <jan@xxxxxx--->; Tue, 31 Jul 2012 10:16:40 +0000 (UTC)
X-ASG-Debug-ID: 1343729801-5fd3fb410001-8oUkqY
Received: from spambuster.yyyyyy--- (spambuster.yyyyyy--- [82.150.140.4]) by barracuda1.yyyyyy--- with ESMTP id rOAe47XNEqrIu6E3 for <jan@xxxxxx--->; Tue, 31 Jul 2012 12:16:42 +0200 (CEST)
X-Barracuda-Envelope-From: vanquishesqv2@ctrip-com
X-Barracuda-RBL-Trusted-Forwarder: 82.150.140.4
Received: from [1.44.191.146] ([1.44.191.146])
   by spambuster.yyyyyy--- (8.13.8/8.13.8) with ESMTP id q6VAGcIa017818
   for <jan@xxxxxx--->; Tue, 31 Jul 2012 12:16:40 +0200
Received: from [35.98.26.66] (helo=dkyxbwdcwaulqv.jdneutboiebo-com)
   by  with esmtpa (Exim 4.69)
   (envelope-from )
   id 1MM6LM-3825og-C1
   for jan@xxxxxx---; Tue, 31 Jul 2012 18:18:52 +0800
X-Barracuda-Apparent-Source-IP: 1.44.191.146
Date:    Tue, 31 Jul 2012 18:18:52 +0800
From: <jan@xxxxxx--->
X-Mailer: The Bat! (v3.62.14) Home
X-Priority: 3 (Normal)
Message-ID: <5528071663.ANVGRR9U213884@yuticepghkw.amhuboh-info>
To: <jan@xxxxxx--->
Subject: Blokkering van de betaling door het Rabobank systeem.
MIME-Version: 1.0
X-ASG-Orig-Subj: Blokkering van de betaling door het Rabobank systeem.
Content-Type: text/html;
  charset=us-ascii
Content-Transfer-Encoding: 7bit
X-Barracuda-Connect: spambuster.yyyyyy---[82.150.140.4]
X-Barracuda-Start-Time: 1343729801
X-Barracuda-URL: 82.150.140.187:8000/cgi-mod/mark-cgi
X-Virus-Scanned: by bsmtpd at yyyyyy---
X-Barracuda-Spam-Score: 2.34
X-Barracuda-Spam-Status: No, SCORE=2.34 using global scores of TAG_LEVEL=1000.0 QUARANTINE_LEVEL=1000.0 KILL_LEVEL=6.0 tests=BSF_SC0_MV0035, BSF_SC0_SA609_NRN, BSF_SC0_SA_TO_FROM_ADDR_MATCH, HTML_MESSAGE, MIME_HTML_ONLY, NO_REAL_NAME, RCVD_ILLEGAL_IP
X-Barracuda-Spam-Report: Code version 3.2, rules version 3.2.2.104265
   Rule breakdown below
    pts rule name              description
   ---- ---------------------- --------------------------------------------------
   0.00 NO_REAL_NAME           From: does not include a real name
   0.23 RCVD_ILLEGAL_IP        Received: contains illegal IP address
   0.00 MIME_HTML_ONLY         BODY: Message only has text/html MIME parts
   0.00 HTML_MESSAGE           BODY: HTML included in message
   0.50 BSF_SC0_SA_TO_FROM_ADDR_MATCH Sender Address Matches Recipient
                              Address
   1.10 BSF_SC0_SA609_NRN      Custom Rule SA609_NRN
   0.50 BSF_SC0_MV0035         Custom Rule BSF_SC0_MV0035
(Code-Brackets eingefügt, ~Chactory)
Zuletzt geändert von Chactory am 31. Jul 2012, 23:21, insgesamt 1-mal geändert.
Grund: Code-Brackets eingefügt, damit der Originaltest einer Spammail nicht im Klartext im Forum steht.
sliekers
User
User
 
Beiträge: 4
Registriert: 31. Jul 2012, 11:37

Re: Return-Path weicht ab von From-path

Beitragvon Chactory » 1. Aug 2012, 22:32

Hallo sliekers!

Die Bedingung, die Du beobachtet hast, finde ich sehr interessant:
sliekers hat geschrieben:To-Adresse und From-Adresse ähnlich, aber Return-path andere Adresse
Ich denke, daß „From“ und „Return-path“ die gleiche Mailadresse enthalten sollten, sonst: Spam.

Etwa Dein Beispiel, ganz eindeutig:
Code: Alles auswählen
Return-Path: <vanquishesqv2@ctrip-com>
From: <jan@***>
Message-ID: <5528071663.ANVGRR9U213884@yuticepghkw.amhuboh-info>
To: <jan@***>
sliekers hat geschrieben:Wie ist das im Spamihilator abzufangen?
Ich habe versucht, diese Spam-Bedingung in einem der Filter-Plugins wiederzufinden, und siehe da, eine solche Bedingung wird nirgends geprüft.

Aber andererseits eine Bestellbestätigung von Amazon:
Code: Alles auswählen
Return-Path: 60v4fr76135417b7v0671h3u35475cb78h3q2c641lz65e@bounces.amazon.com
From: "bestellbestaetigung@amazon.de" <bestellbestaetigung@amazon.de>
Also sollte zumindest die Domain gleich sein, die Adresse vor dem @-Zeichen kann anscheinend auch unterschiedlich sein.

Ich finde allerdings bei Spamihilator keinen Filter, der genau das prüft. Der Hercule-Filter (der mit 1.0 leider auch nicht mehr läuft) nicht, der RFC-Validator (dto.!) auch nicht, der X-Header-Filter auch nicht − und besonders der wirklich mächtige Regel-Filter auch nicht. Man kann nämlich leider nicht zwei Header-Felder miteinander vergleichen.

Mir ist dabei aber etwas anderes aufgefallen! Ich glaube, ich kann damit den brillianten, aber nicht mehr gepflegten Charset-Filter nachstellen! Ich werde mal ein wenig herumspielen. Anbuva, mach schon mal Licht an im Keller! :lol:

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Return-Path weicht ab von From-path

Beitragvon anbuva » 1. Aug 2012, 22:44

Chactory hat geschrieben:Anbuva, mach schon mal Licht an im Keller! :lol:


...knips... :mrgreen:
Benutzeravatar
anbuva
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 8403
Registriert: 1. Sep 2004, 12:58
Wohnort: Zuhause

Re: Return-Path weicht ab von From-path

Beitragvon Chactory » 2. Aug 2012, 10:44

Hallo anbuva!

Hihi, bei mir ist leider noch kein Licht angegangen, bin wohl im falschen Keller,
:lol:
naja, noch ein Schlückchen ...
:P
nee, nicht, was Du denkst, sondern Kaffee!
:mrgreen:

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Return-Path weicht ab von From-path

Beitragvon Chactory » 2. Aug 2012, 18:57

Zwischenablage01.gif
Der Regelfilter kann mit einer Regel "Charset-Regel" erweitert werden.
Zwischenablage01.gif (30.46 KiB) 3555-mal betrachtet
Zwischenablage02.gif
Charset-Regel funktioniert! Bislang aber nur bei Plain-Text-Mails, dagegen Html-Mails mit Multiparts finde ich noch keinen Weg, die Headerzeile zu finden, die "chacrset" enthält.
Zwischenablage02.gif (5.39 KiB) 3555-mal betrachtet
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Return-Path weicht ab von From-path

Beitragvon anbuva » 2. Aug 2012, 22:08

Hallo Chactory!

das bekommst Du auch noch hin :wink:

Gruß
anbuva
Benutzeravatar
anbuva
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 8403
Registriert: 1. Sep 2004, 12:58
Wohnort: Zuhause

Re: Return-Path weicht ab von From-path

Beitragvon Chactory » 2. Aug 2012, 22:46

Hallo anbuva!

Vielen Dank für Deine Ermutigung, dann werde ich mal weiter versuchen! :)

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Return-Path weicht ab von From-path

Beitragvon Chactory » 2. Aug 2012, 23:19

Hallo Anbuva!

Ich versuche es mal so:
Zwischenablage01.gif
Zwischenablage01.gif (70 KiB) 3553-mal betrachtet

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Return-Path weicht ab von From-path

Beitragvon Chactory » 3. Aug 2012, 08:27

Hallo Anbuva!

In der Diskussion, in der es sowieso schon um den Charsetfilter ging, habe ich mal meine neue Charset-Regel entwickelt, siehe hier!

Nun muß sich auch Michel nicht mehr um den Charset-Filter kümmern, hoffe ich mal. ;)

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Return-Path weicht ab von From-path

Beitragvon anbuva » 3. Aug 2012, 09:06

Hallo Chactory!

klasse :D Werde ich mal ausprobieren.

Gruß
anbuva
Benutzeravatar
anbuva
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 8403
Registriert: 1. Sep 2004, 12:58
Wohnort: Zuhause

Re: Return-Path weicht ab von From-path

Beitragvon Chactory » 3. Aug 2012, 09:11

Hallo anbuva!

:D

Gruß
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Return-Path weicht ab von From-path

Beitragvon anbuva » 3. Aug 2012, 09:37

Hallo Chactory!

läuft jetzt aktuell mit. Ich beobachte das mal, ob er was rausfischt.

Gruß
anbuva
Benutzeravatar
anbuva
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 8403
Registriert: 1. Sep 2004, 12:58
Wohnort: Zuhause

Re: Return-Path weicht ab von From-path

Beitragvon sliekers » 11. Aug 2012, 16:43

Vielleicht ist noch hinzu zu fügen das es mehr vorkommt bei eigene Domainnahme als sonst. Mann gebraucht die eigene Domain als Spam Adresse. Also: Die "From" und "To" Adresse sind dabei ähnlich. Nur die Returnadresse weicht ab.
Ich habe den Charset-Filter ausprobiert, aber ohne Erfolg bis jetzt.
Danke fürs Mitdenken! Vielleicht wird eine treffende Lösung gefunden?
sliekers
User
User
 
Beiträge: 4
Registriert: 31. Jul 2012, 11:37

Re: Return-Path weicht ab von From-path

Beitragvon anbuva » 11. Aug 2012, 19:19

Hallo sliekers!

bislang konnte der Charset noch nichts filtern. Das liegt aber auch daran, dass die anderen Filter vorher schon meist alles filtern. Ich bin mir sicher, dass auch der Charset noch zum Zuge kommt, man braucht eben nur Zeit.

Gruß
anbuva
Benutzeravatar
anbuva
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 8403
Registriert: 1. Sep 2004, 12:58
Wohnort: Zuhause

Re: Return-Path weicht ab von From-path

Beitragvon Chactory » 11. Aug 2012, 21:54

Hallo sliekers und anbuva!

Vielen Dank für Eure Tests! :)

Die Charset-Regel siebt tatsächlich nur Mails mit "exotischen" Charsets aus, insbesondere osteuropäische und asiatische. Spams mit englischen oder deutschen Charsets kann ich damit also nicht blockieren lassen.

Wie gesagt, läßt leider der Regelfilter keine Regel zu, die einen Headerbestandteil mit einem anderen vergleicht ...

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Nächste

Zurück zu Feature Requests

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron

 industrious-southeast