Spamihilator

[larifaribummbumm]

Hallo,

ich hatte vor rund 3 Wochen eine Menge Spam, immer von Yahoo Adressen, im Betreff 3 zufällige Buchstaben, ebenso in der Nachricht selber.

Der "Empfänger" (extra verfälscht) ist immer eine andere, scheinbar auch aktive Mailadresse, fast alle bei GMX.

Dann war schlagartig Ende damit.
Nun sind sie wieder da...

Scheint sich dabei wohl um Testmails zu handeln.

[Chactory]

Hallo larifaribummbumm!

Spam, immer von Yahoo Adressen, im Betreff 3 zufällige Buchstaben, ebenso in der Nachricht selber.

Diese Spammails werden in einem Beitrag im Antispam-eV-Forum als Fragmente einer vermutlich fehlerhaften Spamkampagne angesehen. Vielleicht irgendwelche Scriptkiddies, die ihre Kapazitäten testen.

Ich habe nun, nachdem mir endlich eingefallen ist, wie man das machen könnte, eine Regel für (gegen) diese Spammails erstellt:
- Adresse erkennen, Zahl der Zufallsbuchstaben ≤ 7 Buchstaben
- Betreff erkennen dto.
- Mailkörper dto.
- Alle Bedingungen müssen erfüllt sein

Eine vorübergehende Regeldatei erstellt, hat auch bisher noch keine falsch-positive Filterung ausgelöst, aber Vorsicht, ist noch nicht „freigegeben“:

rulefilter-withcare.zip

(4.23 KiB) 133-mal heruntergeladen

(Aktuelle Regeln-Datei hier!)

So, und nun läßt leider die nächste Spamwelle auf sich warten!

Gruß,
Chactory

[larifaribummbumm]

Hallo Chactory,

ja, diesen Beitrag hatte ich auch schon gesehen, auch diese Seite habe ich als RSS...

Da sich das alles um Yahoo Absender handelt, sind die eh geblockt bei mir.
Scheinbar haben diese Mails keinerlei funktion, die laden nichts nach, haben keine Schadsoftware drin und auch keine "nachlade Pixel".
Meine Meinung dazu ist, dass einfach ne Datenbank auf Aktualität getestet werden soll.

Vielen Dank für deine Regeldatei ..
Soll ich die Mails zum testen an dich weiterleiten?
*grins*
Nein, sowas mach ich nicht..

[larifaribummbumm]

Im Moment werde ich rund 1 Dutzend mal am Tag mit diesen beglückt:

"[GENEHMIGT] 3.500 EUR Auszahlung, ohne Schufa und Rate sparen"

Die gefallen mir weniger, denn ich werde mit richtigen Vor und Zunamen angesprochen...

[Chactory]

Hallo larifaribummbumm!

Weiterleiten würde ja auch leider nicht funktionieren, dann könnten die Regeln nicht mehr wirken ...

Hmm, die folgende Regeln-Datei sollte auch Deine neuen Schufa-Spams aufhalten. Spätestens nach ein oder zwei Lernvorgängen dürfte allerdings auch durch den Lernenden Filter für diese Art Spam Schluß sein.

rulefilter.zip

(4.29 KiB) 113-mal heruntergeladen

(Aktuelle Regeln-Datei hier!)

(Leider hat Michel die Verbesserung des Spamwortfilters nicht mehr zuendegeführt. Ich hätte mir gewünscht, daß der Spamwortfilter nicht nur Mailkörper, sondern auch Headerdaten durchsucht, was er leider nicht tut. Denn der Spamwortfilter funktioniert mit seinen vordefinierten Strings schon, bevor der Lernende Filter ausreichend Spams zu Lernen hatte. Nun, der Regelfilter durchsucht alle Sektionen einer Mail, und er kann ja auch eine Menge Spamwörter mitaufnehmen und funktioniert dann wie ein Spamwortfilter.)

Gruß,
Chactory

[Chactory]

Könntest Du mir mal den Quelltext einer solche Mail zugänglich machen?
Natürlich nach Ersetzen Deiner persönlichen Daten durch gleichaussehende Pseudodaten!

[larifaribummbumm]

ja, kommt gleich

[Chactory]

Vielen Dank! Das war ja wirklich gruselig, daß Dein realer Name drinstand.
Vorsicht, Änderung der Regelndatei! Diese miesen Spammails haben sich verändert.
Neue Regelndatei.

[larifaribummbumm]

*Gelöscht*

[larifaribummbumm]

Hallo,

ja, bei Adressen, welche man zur Kommunikation/ Verträge/ Einkäufe/ benutzt, ist es für mich nachvollziehbar..Klar ist für mich, das es da vor langer Zeit gehackt oder geklaut wurde, nur wo ist mir schleierhaft.
Na ja, egal.

Nun bekomme ich am Tag rund 100 von diesen Dingern. Werden allerdings abgefangen, da sie gut erkannt werden.
Ausserdem fällt der Betreff und der Absender sofort durch die sinnlose Zeichenfolge auf.
Meine Emailadressen, welche diese Mails bekommen, sind im Header nicht zu finden.
Wobei die "To:" Adresse jedesmal eine andere, aber jedesmal eine GMX Adresse ist. Ich vermute mal, dass diese Adressen die Empfänger der Spam Datenbank sind.
Inzwischen sind die Absender nicht mehr ausschließlich von Yahoo.com, sondern weltweit ansässig.

Oct 2013 01:12:08 +0200
Absender: jsg lev
Betreff: xian mcif
From: "dff zqg" <***@*****t-online.de>
Reply-To: "dff zqg" <***@*****t-online.de>
To: #######@gmx.de
Subject: wbt lktl
Content-Transfer-Encoding: 7Bit
Content-Type: text/plain;



Ich habe mal die IP´s auf Anbieter getestet..
Malmoe Sweden
Finland
Nord Quebec
Macedonia
ITALY
San Pedro

Also scheint es sich um ein Botnetz zu handeln.

[Chactory]

Hallo larifaribummbumm!

Mit meiner erneuerten Regel werden alle ausgefiltert. Bisher ohne falsch-positive.
Ich verstehe nur nicht, was diese Schrottspamwelle dem Urheber bringen soll ...

Gruß,
Chactory

[larifaribummbumm]

Hallo Chactory,

hast du die gleichen Mails zur Zeit?

Ich verstehe den Sinn dahinter auch nicht. Vielleicht läuft beim Spamversender auch mal was falsch und im Hintergrund... Oder Zombirechner, die infiziert sind und die Mails automatisch versenden..!??!

[larifaribummbumm]

ok, ich habe deinen Beitrag im anderen Forum gelesen...
Ich kann mir auch vorstellen, dass die damit die Filter wirr machen wollen.
Und das klappt, begrenzt ja auch..

Und auch da lese ich das Wort "gmx" sehr oft. Das erinnert mich an das, was ich dir als PN geschickt habe...

[larifaribummbumm]

Also der Empty Mail Filter, der lernende Filter und die blockierten Absender arbeiten bei mir nun zuverlässig und lassen nichts mehr durch!
*Freu*
Bei der jetztigen Spamwelle wäre ich ohne den Empty Mail Filter aufgeschmissen. Den habe ich ja jetzt nochmal nachinstalliert und auf "100 Wörter" gestellt.

Könnte man nicht auch die Absender IP irgendwie blocken? Sowas wie den Blacklist Filter, nur als lokale Datenbank?

[larifaribummbumm]

so schaut es aus, wenn Schadsoftware aus einer Datenbank raus verteilt wird....