PowerBASIC HQ BBS » UKAW » Home

     Panketal, Brandenburg  16.Aug.2018

PowerBASIC HQ BBS Projects

 
PowerBASIC HQ BBS Projects (closed)

 
PowerBASIC HQ BBS others

 

   

UKAW
Hinweise und Tricks zur CrossSecretary Installation in UKAW/UKAD

Hallo miteinander,

mich erreichen des öfteren einige Fragen zur besseren Filterung von Spam mit dem internen CrossSecretary von UKAW und deshalb möchte ich dieses Thema an dieser Stelle kurz öffentlich auswerten bzw. ein paar Beispiele geben, die so nicht in den aktuell beiliegenden Examples vorhanden sind:

Vorwort:

Falls Sie als CrossPoint-Variante "FreeXP" oder "OpenXP" einsetzen, so stehen Ihnen die aussergewöhnliche Leistungsfähigkeit und auch die besonderen Möglichkeiten des integrierten CrossSecretary-Filters nur sehr eingeschränkt zur Verfügung.

So, nun zu den Beispielen:

1.) Da einige Spammer defekte To-Header produzieren (sehr beliebt sind des öfteren "\0001.txt"), können diese auch untersucht werden:

    --- Cut ------------------------------------------------------
' Empfänger auf Gültigkeit untersuchen
REGEXPR "[a-z0-9._-]+@[a-z0-9._-]+" Ω"To:"mx »DELE
--- Cut End --------------------------------------------------
Alternativ läßt sich sich dieses noch auf die Cc-Header ausweiten.

2.) Ich habe des öfteren den Tip gelesen, einfach die entsprechenden Domains (z.B.: *.tw) zu filtern, aber da in diesen Ländern ebenfalls viele Firmen ihre Support-Adressen haben (z.B. Mainboard, NIC & Graka), empfiehlt sich eine derartige pauschale Filterregel in der Regel nicht. Besser ist es an dieser Stelle auf den verwendeten Zeichensatz zu filtern. Der Content-Type und der Subject-Header wären an dieser Stelle der korrekte Ansatzpunkt.

Die Beispiele stehen soweit in den Examples, trotzdem gibt es bei der Suche im To/From/Subject-Header eine Besonderheit zu beachten, denn es kann sowohl im dekodierten (sofern UKAW/UKAD den Zeichensatz unterstützt), als auch im originalen bzw. undekodiertem Header gesucht werden. Dabei gilt die Regel, daß in der internen Feinsuche-Option von CS immer der dekodierte Header verwendet wird. In beiden Varianten werden eventuell gefaltete Header entfaltet.

Somit sind die beiden folgenden Filterregeln zwar auf den ersten Blick identisch, führen aber zu völlig unterschiedlichen Resultaten.

a)
    
    --- Cut ------------------------------------------------------
    "*=?iso-8859-1?B?*" Ωsmq »DELE
    --- Cut End --------------------------------------------------
Hier passiert nichts, außer im Betreff wird gerade über Binärcodierte ISO-Zeichensätze diskutiert.

b)
    --- Cut ------------------------------------------------------
    "*=?iso-8859-1?B?*" Ωmq"Subject:" »DELE
    --- Cut End --------------------------------------------------
An dieser Stelle wird eine Mail mit einem binär codierter ISO-Zeichensatz auf dem Server gelöscht. Spammer benutzen diese Verschleierung des Subjectes gerne, um Scripttools und Spamfilter-Software zu unterlaufen.

3.) Teils hilft eine Beschränkung auf das Empfangen reiner Textmails, aber momentan verschicken die meisten Spammer ihren Müll als multipart bzw. der Content-Type ist erst im Body der Mail korrekt ermittelbar, trotzdem:
    --- Cut ------------------------------------------------------
    "*text/html*" Ωmq"Content-Type:" »DELE
    --- Cut End --------------------------------------------------
4.) Immer wieder "gerne" gesehen ist die gehäufte Großschreibung des Betreffs, allerdings gibt es hier auch "False Positives". Deshalb empfehle ich die Regel eigentlich nur, wenn auch die interne Adressbuch-Funktion als Whitelist aktiviert ist. Das heißt, bereits im Adressbuch von XP vorhandene User (nicht zu verwechseln mit der Userdatenbank!) können vom Filter komplett oder teilweise ignoriert werden.
    --- Cut ------------------------------------------------------
    ' Subject untersuchen (gehäufte Großschreibung, Leerzeichen, ...)
    REGEXPR "\c[A-Z.,!? ][A-Z.,!? ][A-Z.,!? ][A-Z.,!? ][A-Z.,!? ][A-Z.,!? ][A-Z.,!? ][A-Z.,!? ]+" Ωscm »DELE
    --- Cut End --------------------------------------------------
5.) Ebenfalls recht unbekannt ist die Möglichkeit des Konfigurierens der verschiedenen POP3/IMAP-Accounts via der Envelope:
    --- Cut ------------------------------------------------------
    ' Mail-Bereich
    ---*@*
    ' hier alle Regeln eintragen die für alle Mail-Accounts gelten
    ---usenet@domain.tld
    ' rigeroser Filterbereich für Usenet
    ---privat@domain.tld
    ' großzügiger Filter
    --- Cut End --------------------------------------------------
6.) Wurmverseuchte Kisten bzw. Relays lassen sich z.B. anhand der Received-Zeile erkennen. Sehr viele User nutzen zwar Dialups und somit dynamische Adressen, aber es gibt auch zahlreiche User mit festen IPs (die Beispiel IP ist hier unkenntlich).
    --- Cut ------------------------------------------------------
    "*[2xx.xx.xxx.xx]*" Ωqm"Received:" »DELE
    --- Cut End --------------------------------------------------
Alternativ kann natürlich jeder User eine vorhandene RBL nutzen und diese über die interne RBL-Funktionalität auswerten.

7.) Nun ein paar Trollfilter bzw. Examples um ungewünschte Plagegeister aus dem Usenet auszublenden. Sofern es möglich ist sollte es vorgezogen werden, den/die User per Message-ID und References per SKIP zu filtern bzw. per Zielbrett "THREAD", da hierbei gleich die kompletten Threads ausgeblendet werden können. In den anderen Fällen ist zu empfehlen, den Beitrag nur über HEAD zu holen, damit die Bezugsverkettung erhalten bleibt.

Alternativ bietet das interne CrossSecretary eine leistungsfähige Thread-Verfolgung an (Zielbrett THREAD), bei der ab dem betreffenden Filterkriterium der Thread komplett ausgeblendet wird. Dabei werden die nachfolgenden Artikel bereits auf dem Newsserver ignoriert.
Der Unterschied zur Kombination zur Suche per SKIP in der "Message-ID" und den "References"-Headern besteht darin, daß der Thread auch dann noch ignoriert wird, sofern der auslösende Artikel nicht mehr selbst im Reference-Header zu finden ist.
    --- Cut ------------------------------------------------------
    ---/de/* /alt/* /microsoft/*
    '
    ' /// alles von und über Twits 001 überspringen :-))))                    ///
    REGEXPR "@+[0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z].
            [0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z]+>" Ωm"Message-ID:" »SKIP
    REGEXPR "@+[0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z].
            [0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z][0-9A-Z]+>" Ωm"References:" »SKIP
    '
    '
    "*me@privacy.net*" Ωmn »HEAD
    "*.invalid*" Ωmnsb »HEAD
    "*@invalid*" Ωmnsb »HEAD
    "*@maria.l.vandenberg.gmx.de*" Ωm"Message-ID:" »THREAD
    '
    "*neue_wunschadresse*" Ωmnb »SKIP


    --- Cut End --------------------------------------------------
8.) Wenn bestimte Newsgroups/Artikel nur per HdrOnly bezogen werden, der Thread per anderem Filterkriterium ausgeblendet war oder vielleicht eingeplonkter User (oder User mit ungültig gefilterter Adresse) auf einen eigenen Beitrag antwortet und dieser Artikel automatisch bezogen werden soll, dann kann folgende Filterregel angewandt werden:
    --- Cut ------------------------------------------------------
    "*@meine_fqdn.tld*" Ωm"References:"q »RETR
    --- Cut End --------------------------------------------------
Wichtig ist hierbei, daß die eigene Adresse eine gültige FQDN in der Message-ID erzeugt.

9.) Bei IMAP-Mailboxen ist es möglich, erkannte Spam oder anderweitig per Filter erkannte Mail in ein andere Mailbox zu verschieben oder eine Kopie zu erstellen (Zielbrett MAILBOX):
    --- Cut ------------------------------------------------------
    "*[SPAM]*" Ωsmq »MAILBOX: SPAM
    --- Cut End --------------------------------------------------
10.) Wer sich mit der ganzen Filterkriterien und dem Syntax recht schwer umgehen kann, dem sei der Einsatz von CS-TEST empfohlen. Damit können die Filterregeln offline und mit Hilfe des originalen Spoolfiles ohne Gefahr getestet werden.

11.) Bei Usern des T-Online POP3-Accounts, und bei IMAP-Usern im Allgemeinen, ist es möglich den Mailbox-Scan zu aktivieren, in dem der Overview aktiviert wird. Die nun deutlich bessere Performance dieses möglichen Overview sollte dann ungefähr dem entsprechen, welche der News-Client beim Overview benötigt. Die Overview-Möglichkeit kann mit E-SETUP aktiviert werden.

12.) Last but not least: Kein noch so guter Spamfilter kann einen seriösen und kompetenten ISP ersetzen der die Mail bereits auf dem Server filtert. Deshalb sollten soviele lokale Filterregeln wie möglich irgendwann in Richtung Spamfilter des ISPs umziehen.

So, das war es erstmal ... ;-)

Hinweis: HTML-Version eines Usenet-Postings vom 30.05.2004 in de.comm.software.crosspoint, überarbeitet und den aktuellen Gegebenheiten angepaßt im April/Mai 2006.

 

  

Contact | Impressum | Feedback

www.pbhq.de © Thomas Gohel 1995-2018