Spam per Domain (Whois) Filtern?

Haben Sie eine tolle Idee für eine neue Funktion?

Moderator: Forum-Team

Spam per Domain (Whois) Filtern?

Beitragvon SPages1 » 31. Jul 2015, 11:01

Hallo,
ich habe eine Filter Idee - vielleicht gibt es diese auch schon ich habe sie nur noch nicht gefunden?

Die Idee
Phishing Angriffe werden meist mit Domains ausgeführt die heute oder maximal ein zwei Tage vorher Registriert wurden. Wäre es also vielleicht nicht auch sinnvoll ein Filter zu haben der eine Whois Abfrage macht und Domains die in den letzten ein zwei Tagen Registriert wurden schon mal als mögliche Spam kennzeichnet?

Ein paar aktuelle Beispiele von mir ...

domain: BAR-KREDIT.RU
nserver: ns1.r01.ru.
nserver: ns2.r01.ru.
[...]
created: 2015.07.31
paid-till: 2016.07.31
free-date: 2016.08.31
source: TCI

oder

Domain Name: KRANKENKASSE-KOSTEN.COM
Registrar: ENOM, INC.
Sponsoring Registrar IANA ID: 48
Whois Server: whois.enom.com
[...]
Updated Date: 30-jul-2015
Creation Date: 30-jul-2015
Expiration Date: 30-jul-2016


SPages
SPages1
Power-User
Power-User
 
Beiträge: 7
Registriert: 17. Feb 2015, 15:14

Re: Spam per Domain (Whois) Filtern?

Beitragvon Chactory » 27. Sep 2015, 12:11

Hallo SPages!

Bitte entschuldige, dass ich Dir erst heute antworte, aber leider musste Michel erst noch die Forensoftware reparieren, man konnte auf einmal nicht mehr überall antworten ... :(

Die Idee zu diesem Filter finde ich sehr interessant! Ich glaube übrigens, dass damit nur extrem selten falsch-positive Filterungen vorkommen würden. Ich habe Michel gefragt, ob er derzeit eine Möglichkeit sähe, so etwas zu programmieren, doch er hält die Programmierung eines solchen Filters nicht für einfach und hat derzeit aus beruflichen Gründen keine Zeit, es zu probieren. So wird also eine der vielversprechendsten Filterideen der letzten Jahre leider erstmal liegenbleiben müssen.

Herzliche Grüße,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Spam per Domain (Whois) Filtern?

Beitragvon larifaribummbumm » 27. Sep 2015, 13:45

Hallo,
also ich denke auch, das wird nix.
Eine Filterfunktion über ein Whois ist sicher möglich, bietet aber viele mögliche Fehlerquellen, welche ausserhalb des Programmes "Spamihilator" liegen.
Die Abfragen müssten über mindestens einen Ausweich-abfrage Server laufen..
Und ich denke, die Kommunikation dauert auch zu lange.
Am Ende ist der tägliche Spam doch eher "nicht einordbar".
Ich bekomme regelmäßig Spam, der mit gefälschten Absender winkt..
Von daher, nicht machbar, solange es kein besseres, sicheres Standartprotokoll für dem weltweiten Mailversand gibt. Das aktuelle ist längt überholt und halt fehlerhaft.
Ich bin der Meinung, ein Filter kann Mails checken, und rausfiltern, dennoch MUSS jeder Nutzer auch diese Mails kurz sichten. Das reicht in der Regel schon beim Betreff, oder der "angeblichen" Absendeadresse.
Ein großer Teil des Spams wird auch von Bot "Zombi" Netzen geschaffen, die auf legalen Servern und Absendeadressen basiert.
Es gibt nur eine wirkliche Chance, der Virenscan durch alle weltweiten Provider...Der findet aber nicht statt...
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Spam per Domain (Whois) Filtern?

Beitragvon Chactory » 27. Sep 2015, 13:56

Hallo larifaribummbumm!

Warte, Lari, der Witz (und gleichzeitig das Problem) dieser Filteridee ist ja gerade, die Mail selbst überhaupt nicht zu überprüfen, sondern nur den Link, den sie präsentiert. Deinen darauf bezogenen Einwand kann ich nachvollziehen. Wenn ich programmieren könnte, würde ich es gerne einfach einmal ausprobieren! :)

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Spam per Domain (Whois) Filtern?

Beitragvon larifaribummbumm » 27. Sep 2015, 15:20

hmm, ok stimmt schon.

Da ich Spamihilator ja etwas anders nutze, als andere, denke ich oft nur von der Wand bis zur Tapete.
Im Grunde geht es um einen weiteren Filter, wie es ihn schon mehfach als Erweiterung von Spamihilator gibt. Jeder ist in seiner Wirkungsweise anders.
Ich denke jedoch, Spam ändert sich immer wieder, daher hinken Filter immer hinterher.
Selbst bei meiner Trefferquote sind es nicht 100%..

Daher:
dennoch MUSS jeder Nutzer auch diese Mails kurz sichten. Das reicht in der Regel schon beim Betreff, oder der "angeblichen" Absendeadresse.

Das bietet Spamihilator ist bester Form...
Dateianhänge
2015-09-27 16_17_23-Filter-Statistik - Kuchendiagramm #2 - SPAM_NON-SPAM (Größe der Mails).jpg
2015-09-27 16_17_23-Filter-Statistik - Kuchendiagramm #2 - SPAM_NON-SPAM (Größe der Mails).jpg (69.78 KiB) 3718-mal betrachtet
2015-09-27 16_17_11-Filter-Statistik - Kuchendiagramm #1 - SPAM_NON-SPAM (Anzahl der Mails).jpg
2015-09-27 16_17_11-Filter-Statistik - Kuchendiagramm #1 - SPAM_NON-SPAM (Anzahl der Mails).jpg (69.52 KiB) 3718-mal betrachtet
2015-09-27 16_16_25-Allgemeine Statistik.jpg
2015-09-27 16_16_25-Allgemeine Statistik.jpg (128.36 KiB) 3718-mal betrachtet
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Spam per Domain (Whois) Filtern?

Beitragvon Chactory » 27. Sep 2015, 15:28

Hallo Lari!

Wie um Himmels Willen kommst Du überhaupt auf diese phantastische Erkennungsrate? (Bei Kuchendiagrammen bekomme ich immer Hunger ... :oops:)

Ja, das finde ich auch - im Trainingsbereich kann man die Mails übersichtlich und sicher sehen.

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Spam per Domain (Whois) Filtern?

Beitragvon larifaribummbumm » 27. Sep 2015, 15:37

Die Abfrage von Whois-Daten ist allerdings bei den meisten oder allen Whois-Services unerwünscht und oft nur über eine Webseite möglich.
Ich erinnere mich aber an mehrere Programme, die das trotzdem können. Das könnte aber sehr hohen Traffic/ Rechenverbrauch erzeugen und würde wohl nur mit einer Zusammenarbeit der Betreiber funz´n..
Zudem dann auch Ping und Trace..

Das gibt doch das Server DCC ? Plugin..was ich von der Idee her toll, aber auch fehlerhaft finde.

Da hilft doch sicher auch der Linkfilter...oder dein Regelfilter... Wenn Link vorhanden, wenn Domain ist nicht xx.DE, dann Mülltonne

Probleme habe ich nur mit SPam, welche einen gefälschten Absender haben, z. B. PayP.... Und die bekomme ich mit einer Filterregel raus.
Bei mir kommt keine Mail ins Mailprogramm, die nicht erwünscht ist. Als letzten der Filter habe ich ja noch den Unkassifizierte Mail Filter...
Somit auch kein Tracking mit death Pixel oder so.
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Spam per Domain (Whois) Filtern?

Beitragvon Chactory » 29. Nov 2015, 23:13

Hallo Lari,

mit Deinen Einwänden zeigen sich doch mehr Hürden für einen solchen Whois-Filter, als gedacht. Die Idee selbst ist bestechend. Schade! Aber im Moment haben wir sowieso niemanden, der so etwas programmiert. Mir ist das zu hoch ...

Der Linkfilter hilft sogar sehr gut, aber manchmal erst, wenn Spamihilator im Trainingsbereich von erkanntem oder manuell markiertem Spam gelernt hat. Und ja, mein Regelfilter hat eine solche Regel, die alle Top-level-domains außer einigen wenigen einfach sperrt, mit extrem geringer Falsch-positiv-Rate.

Wie geht nochmal Deine Pay-Pal-Regel?

Lari, das Tracken mit einem einzigen Pixel ist kein großes Problem mehr, seit sogar Outlook standardmäßig keine Images mehr nachlädt.

Gruß,
der späte Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Spam per Domain (Whois) Filtern?

Beitragvon larifaribummbumm » 30. Nov 2015, 06:53

Hallo,
schön, das es dich noch gibt!

Würde gerne noch das mit dem Server DCC erklären:
Onlinespamfilter arbeiten mit einer Blacklist.
Diese kommt zu Stande, dass u.A. User unerwünschte Emails als "unerwünscht" makieren und dann an die Datenbanken übertragen.
Nun ist es aber so, dass manche User z. B. Newsletter bestellen, irgendwann keinen Bock mehr drauf haben und diese als Spam makieren, statt sich abzumelden.
Das Ergebniss ist, dass auch große Versender regelmäßig in der Blockliste landen und stundenlange Erklärungen und Aufwendungen haben, um wieder aus diesen Listen entfernt zu werden.

Bedeutet: Man darf andere User eigentlich nicht entscheiden lassen, was Spam ist und was nicht.
Eine Spammail ist ja personalisiert einzustufen.
Meine Einstellungen würden bei anderen auch nicht klappen...

Daher MUSS jeder Mail als Spam oder NonSPam vom Nutzer bewertet werden.
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Spam per Domain (Whois) Filtern?

Beitragvon larifaribummbumm » 30. Nov 2015, 07:42

http://www-old.spamihilator.com/forum/viewtopic.php?f=37&t=9061&start=15

überarbeitet:

Name: Paypal Regel 1

Nachricht an das Email Programm weiterleiten.

Alle Bedingungen erfüllen.

"Absender" enthält "service@paypal.de"
"Empfänger" enthält (Regex) "meine bei PP registrierte Emailadresse"
"Nachrichtentext" enthält "meinen Vor + Nachnamen (wie er in einer Originalmail geschrieben steht"

service@paypal.de oder *@paypal.de ist nicht in den Freundes/ Feindeslisten drin.
Gleiche Regel nochmal, aber mit "paypal@e.paypal.de" (wegen anderer Absendeadresse).
Amazonregel, gleich, aber mit "*@amazon.de".
Anwendbar auch auf T-com, 1+1 und andere....

Ich denke, im Grunde ist das wie deine Signaturregel, jedoch mit festen Zuweisungen der Absender...
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Spam per Domain (Whois) Filtern?

Beitragvon larifaribummbumm » 30. Nov 2015, 07:49

"mit Deinen Einwänden zeigen sich doch mehr Hürden für einen solchen Whois-Filter, als gedacht. Die Idee selbst ist bestechend. "

Da kommt noch hinzu, dass durch veralterte Protokolle die Absender leicht verfälscht werden können.
Sonst würden soviele PP oder Tcom Mails nicht in viele Postfächer durchdringen.

Die grundsätzliche Idee ist gut, aber halt nur wieder ein zusätzlicher Filter, welcher fehlerhaft arbeiten wird, da man keine definitive, funktionierende Datenbank hat.

Ich habe auch die Reihenfolge so eingestellt, dass Mails solange getestet werden, bis sie erkannt werden. Am Ende blockiere ich die NonSpam trotzdem noch (bewusst)....
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Spam per Domain (Whois) Filtern?

Beitragvon Chactory » 21. Dez 2015, 18:11

Hallo Lari!

larifaribummbumm hat geschrieben:Hallo, schön, das es dich noch gibt!
Danke gleichfalls, wollte ich schon lange antworten! :)

Der DCC-Filter ist übrigens kein Blacklist-Filter, sondern ein Massenmail-Filter. Ich kann mit dem DCC-Filter also Mails aus meinem Postfach raushalten, die bereits von einer bestimmten Zahl anderer User empfangen wurden. Bei kleinen Mails, die alle den gleichen Hash erzeugen, oder auch bei Newslettern, da kann das schon Mal schiefgehen. Ich verwende wegen einer konstanten Häufigkeit falsch-positiver Filterungen den DCC-Filter nicht mehr.

Danke nochmals für Deinen Paypal-Filter. Es handelt sich also um einen Positiv-Filter. Eine Mail ist sicher Non-Spam, wenn sie den korrekten Absender von Paypal und Deine korrekte bei Paypal registrierte Mailadresse enthält. Hast Du noch eine weitere Bedingung, die enthält, dass alle anderen Mails, die „paypal“ enthalten, ausgesiebt werden?

larifaribummbumm hat geschrieben:Am Ende blockiere ich die NonSpam trotzdem noch (bewusst)....
Dadurch hast Du doch aber sicher viele falsch-positiv ausgefilterte Mails? Ist es Dir lieber, Filterungen rückgängig zumachen, weil Du ja sowieso alle nochmal kontrollierst, als eine Spam-Mail in Deinem Posteingang zu finden? edit Nein, hast Du natürlich nicht, wie ich gerade nochmals Deiner oben veröffentlichten Statistik entnehme - aber warum nicht? /edit

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Spam per Domain (Whois) Filtern?

Beitragvon larifaribummbumm » 21. Dez 2015, 18:51

"Hast Du noch eine weitere Bedingung, die enthält, dass alle anderen Mails, die „paypal“ enthalten, ausgesiebt werden? "

Nein, aktuell nicht.
Klappt ja auch nur, solange die Verbindung zwischen Email und realem Namen nicht bekannt ist.
IP könnte noch ne Möglichkeit sein, ob das anwendbar ist, ist fraglich.
Es muss was sein, was in jeder echten mail vorkommt und passend zum Anwender ist.
Also auch nicht als Regel für "die Masse der Nutzer" zu machen...

"aber warum nicht? "
Weil ICH entscheide, was Spam ist und was nicht.
Freunde gehen durch, alles andere ist geblockt und wird von mir auf Wunsch zurückgeholt.
Freundesliste 1.250 Einträge
Feindesliste 11.500 Einträge (aber fast ausschließlich Domains!)

Wenn von unbekannten was kommt, entscheidet zu 99% der Spamwortfilter.
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Spam per Domain (Whois) Filtern?

Beitragvon larifaribummbumm » 21. Dez 2015, 18:53

Anlage...
Dateianhänge
Einstellungen - Spamihilator 1.5.0.jpg
Einstellungen - Spamihilator 1.5.0.jpg (125.94 KiB) 3501-mal betrachtet
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Spam per Domain (Whois) Filtern?

Beitragvon Chactory » 27. Dez 2015, 13:18

Hallo Lari!

larifaribummbumm hat geschrieben:Freunde gehen durch, alles andere ist geblockt und wird von mir auf Wunsch zurückgeholt. [...] Freundesliste 1.250 Einträge, Feindesliste 11.500 Einträge (aber fast ausschließlich Domains!)

Das Konzept, alles außer Freunden zu blockieren, und dafür eine Freunde-Liste zu führen, hat was. Möglicherweise könnte ich meine Quote der falsch-positiven Filterungen verbessern, wenn ich eine solche führen würde. Das habe ich bisher aus sportlichen Gründen nie gemacht, ich wollte immer, dass Spamihilator mit seinen Filtern bestmöglich arbeitet.

Du müsstest eigentlich in Deiner Statistik – zumindest am Anfang – eine höhere Quote „falsch-negativer“, also fälschlich als Spam erkannter Mails haben. Deine Quote „falsch-positiver“ Kennungen müsste eigentlich bei 0 liegen. Vielleicht hast Du während der Nutzung einmal das Konzept verändert?

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Nächste

Zurück zu Feature Requests

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron

 industrious-southeast