Hinweise und Tricks zur CrossSecretary Installation in UKAW/UKAD
Hallo miteinander,
mich erreichen des öfteren einige Fragen zur besseren Filterung von Spam mit dem internen CrossSecretary von UKAW
und deshalb möchte ich dieses Thema an dieser Stelle kurz öffentlich auswerten bzw. ein paar Beispiele geben,
die so nicht in den aktuell beiliegenden Examples vorhanden sind:
Vorwort:
Falls Sie als CrossPoint-Variante "FreeXP" oder "OpenXP" einsetzen, so stehen Ihnen
die aussergewöhnliche Leistungsfähigkeit und auch die besonderen Möglichkeiten
des integrierten CrossSecretary-Filters nur sehr eingeschränkt zur Verfügung.
So, nun zu den Beispielen:
1.) Da einige Spammer defekte To-Header produzieren (sehr beliebt sind des öfteren "\0001.txt"), können diese auch
untersucht werden:
--- Cut ------------------------------------------------------
' Empfänger auf Gültigkeit untersuchen
REGEXPR "[a-z0-9._-]+@[a-z0-9._-]+" Ω"To:"mx »DELE
--- Cut End --------------------------------------------------
Alternativ läßt sich sich dieses noch auf die Cc-Header ausweiten.
2.) Ich habe des öfteren den Tip gelesen, einfach die entsprechenden Domains (z.B.: *.tw) zu filtern, aber da in diesen Ländern
ebenfalls viele Firmen ihre Support-Adressen haben (z.B. Mainboard, NIC & Graka), empfiehlt sich eine derartige pauschale
Filterregel in der Regel nicht. Besser ist es an dieser Stelle auf den verwendeten Zeichensatz zu filtern. Der Content-Type
und der Subject-Header wären an dieser Stelle der korrekte Ansatzpunkt.
Die Beispiele stehen soweit in den Examples, trotzdem gibt es bei der Suche im To/From/Subject-Header eine Besonderheit zu
beachten, denn es kann sowohl im dekodierten (sofern UKAW/UKAD den Zeichensatz unterstützt), als auch im originalen bzw.
undekodiertem Header gesucht werden. Dabei gilt die Regel, daß in der internen Feinsuche-Option von CS immer der
dekodierte Header verwendet wird. In beiden Varianten werden eventuell gefaltete Header entfaltet.
Somit sind die beiden folgenden Filterregeln zwar auf den ersten Blick identisch, führen aber zu völlig unterschiedlichen
Resultaten.
a)
--- Cut ------------------------------------------------------
"*=?iso-8859-1?B?*" Ωsmq »DELE
--- Cut End --------------------------------------------------
Hier passiert nichts, außer im Betreff wird gerade über Binärcodierte ISO-Zeichensätze diskutiert.
b)
--- Cut ------------------------------------------------------
"*=?iso-8859-1?B?*" Ωmq"Subject:" »DELE
--- Cut End --------------------------------------------------
An dieser Stelle wird eine Mail mit einem binär codierter ISO-Zeichensatz auf dem Server gelöscht. Spammer benutzen
diese Verschleierung des Subjectes gerne, um Scripttools und Spamfilter-Software zu unterlaufen.
3.) Teils hilft eine Beschränkung auf das Empfangen reiner Textmails, aber momentan verschicken die meisten Spammer
ihren Müll als multipart bzw. der Content-Type ist erst im Body der Mail korrekt ermittelbar, trotzdem:
--- Cut ------------------------------------------------------
"*text/html*" Ωmq"Content-Type:" »DELE
--- Cut End --------------------------------------------------
4.) Immer wieder "gerne" gesehen ist die gehäufte Großschreibung des Betreffs, allerdings gibt es hier auch "False Positives".
Deshalb empfehle ich die Regel eigentlich nur, wenn auch die interne Adressbuch-Funktion als Whitelist aktiviert ist. Das heißt,
bereits im Adressbuch von XP vorhandene User (nicht zu verwechseln mit der Userdatenbank!) können vom Filter komplett oder
teilweise ignoriert werden.
--- Cut ------------------------------------------------------
' Subject untersuchen (gehäufte Großschreibung, Leerzeichen, ...)
REGEXPR "\c[A-Z.,!? ][A-Z.,!? ][A-Z.,!? ][A-Z.,!? ][A-Z.,!? ][A-Z.,!? ][A-Z.,!? ][A-Z.,!? ]+" Ωscm »DELE
--- Cut End --------------------------------------------------
5.) Ebenfalls recht unbekannt ist die Möglichkeit des Konfigurierens
der verschiedenen POP3/IMAP-Accounts via der Envelope:
--- Cut ------------------------------------------------------
' Mail-Bereich
---*@*
' hier alle Regeln eintragen die für alle Mail-Accounts gelten
---usenet@domain.tld
' rigeroser Filterbereich für Usenet
---privat@domain.tld
' großzügiger Filter
--- Cut End --------------------------------------------------
6.) Wurmverseuchte Kisten bzw. Relays lassen sich z.B. anhand der Received-Zeile erkennen. Sehr viele User nutzen zwar
Dialups und somit dynamische Adressen, aber es gibt auch zahlreiche User mit festen IPs (die Beispiel IP ist hier
unkenntlich).
--- Cut ------------------------------------------------------
"*[2xx.xx.xxx.xx]*" Ωqm"Received:" »DELE
--- Cut End --------------------------------------------------
Alternativ kann natürlich jeder User eine vorhandene RBL nutzen
und diese über die interne RBL-Funktionalität auswerten.
7.) Nun ein paar Trollfilter bzw. Examples um ungewünschte Plagegeister aus dem Usenet auszublenden. Sofern es möglich
ist sollte es vorgezogen werden, den/die User per Message-ID und References per SKIP zu filtern bzw. per Zielbrett "THREAD",
da hierbei gleich die kompletten Threads ausgeblendet werden können. In den anderen Fällen ist zu empfehlen, den Beitrag nur über
HEAD zu holen, damit die Bezugsverkettung erhalten bleibt.
Alternativ bietet das interne CrossSecretary eine leistungsfähige Thread-Verfolgung an (Zielbrett THREAD),
bei der ab dem betreffenden Filterkriterium der Thread komplett ausgeblendet wird. Dabei werden die nachfolgenden
Artikel bereits auf dem Newsserver ignoriert.
Der Unterschied zur Kombination zur Suche per SKIP in der "Message-ID" und den
"References"-Headern besteht darin, daß der Thread auch dann noch ignoriert wird,
sofern der auslösende Artikel nicht mehr selbst im Reference-Header zu finden ist.
--- Cut ------------------------------------------------------
---/de/* /alt/* /microsoft/*
'
' /// alles von und über Twits 001 überspringen :-)))) ///
REGEXPR "@+[0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z].
[0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z]+>" Ωm"Message-ID:" »SKIP
REGEXPR "@+[0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z].
[0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z]+>" Ωm"References:" »SKIP
'
'
"*me@privacy.net*" Ωmn »HEAD
"*.invalid*" Ωmnsb »HEAD
"*@invalid*" Ωmnsb »HEAD
"*@maria.l.vandenberg.gmx.de*" Ωm"Message-ID:" »THREAD
'
"*neue_wunschadresse*" Ωmnb »SKIP
--- Cut End --------------------------------------------------
8.) Wenn bestimte Newsgroups/Artikel nur per HdrOnly bezogen werden, der Thread per anderem Filterkriterium
ausgeblendet war oder vielleicht eingeplonkter User (oder User mit ungültig gefilterter Adresse)
auf einen eigenen Beitrag antwortet und dieser Artikel automatisch bezogen werden soll, dann kann folgende
Filterregel angewandt werden:
--- Cut ------------------------------------------------------
"*@meine_fqdn.tld*" Ωm"References:"q »RETR
--- Cut End --------------------------------------------------
Wichtig ist hierbei, daß die eigene Adresse eine gültige FQDN
in der Message-ID erzeugt.
9.) Bei IMAP-Mailboxen ist es möglich, erkannte Spam oder anderweitig per
Filter erkannte Mail in ein andere Mailbox zu verschieben oder eine Kopie zu
erstellen (Zielbrett MAILBOX):
--- Cut ------------------------------------------------------
"*[SPAM]*" Ωsmq »MAILBOX: SPAM
--- Cut End --------------------------------------------------
10.) Wer sich mit der ganzen Filterkriterien und dem Syntax recht schwer umgehen kann, dem sei der Einsatz von
CS-TEST empfohlen. Damit können die Filterregeln offline und mit Hilfe des originalen Spoolfiles ohne
Gefahr getestet werden.
11.) Bei Usern des T-Online POP3-Accounts, und bei IMAP-Usern im Allgemeinen, ist es möglich den Mailbox-Scan
zu aktivieren, in dem der Overview aktiviert wird. Die nun deutlich bessere Performance dieses möglichen Overview sollte
dann ungefähr dem entsprechen, welche der News-Client beim Overview benötigt. Die Overview-Möglichkeit
kann mit E-SETUP aktiviert werden.
12.) Last but not least: Kein noch so guter Spamfilter kann einen seriösen und kompetenten ISP ersetzen der
die Mail bereits auf dem Server filtert. Deshalb sollten soviele lokale Filterregeln wie möglich irgendwann
in Richtung Spamfilter des ISPs umziehen.
So, das war es erstmal ... ;-)
Hinweis: HTML-Version eines Usenet-Postings vom 30.05.2004 in de.comm.software.crosspoint,
überarbeitet und den aktuellen Gegebenheiten angepaßt im April/Mai 2006.
|