Finurligt dold spam

[Pegee]

Jag får mängder med spamerbjudanden att köpa viagra (fan ta dom!) och andra mediciner. Att försöka sortera ut dessa mail som spam genom att titta på innehållet går inte därför att mailet är html-formaterat, och genom ett finurligt bruk av tabeller står det inte viagra (fan ta dom!) någonstans i texten. Det är först när mailet skrivs ut på skärmen som bokstäverna kommer i rätt ordning i form av ord.

 

Jag blir inte klok på hur man skulle kunna hitta något konkret som definerar detta som spam eftersom mailet (ur sökmotorns synvinkel) bara innehåller en massa tabellrader med spridda bokstäver.

 

Någon som tacklat detta problem tidigare?

 

 

 

[Anjuna Moon]

Bara att använda ett spamfilter. Själv använder jag numer Thunderbird som mailklient och den har inbyggt spamfilter som fungerar bra. Annars rekommenderar jag K9 från Keirnet

 

[fhe]

SpamAssassin (http://spamassassin.apache.org/) filterar snällt undan all spam (och vanligtvis inte något annat) om du har en egen mailserver. Har du inte en egen mailserver så kan du alltid skaffa dig en mailadress hos någon som kör den (nästan alla webbhotell i dagens läge) eller anväda någon proxy som är baserad på den (det finns lite olika alternativ beroende på vad du kör för mailprogram).

 

Att försöka identifiera spam baserad på enkel analys av enstaka ord är i det närmaste meningslöst

 

[erik6]

Själv har jag haft telia som internetleverantör.

Att spammen vällde in är inte så konstigt eftersom telia automatiskt förde in mig i sin e-postkatalog. Enligt kartongen med telia internet från sommaren 2000.

mitt gamla email var dessutom av typen

förnamn.efternamn@telia.com

och den typen av adresser kan ju en dator skaka fram.

 

Numera har jag ADAMO adsl och får inte ett enda spam.

Förut var det ca 100 i veckan med telia.

 

och min nya emailadress är inte av ovan standardtyp

tex förnamnstadefternamn@internetleverantör.com

räcker ju just nu verkar det.

 

 

[lizardKng]

Håller med om SpamAssassin - Jag har min "threshold" satt på 3.0 och har hittils bara behövt lägga till en adress på min whitelist. Helnöjd!

 

[lizardKng]

Håller med om SpamAssassin - Jag har min "threshold" satt på 3.0 och har hittils bara behövt lägga till en adress på min whitelist. Helnöjd!

 

[Lars2W2]

Du gillar helt klart inte Telia. Du skriver att Telia förde in ditt namn i sin e-postkatalog och bjuder vänligt nog på åralet. På fem år har det hänt en del i spam-krigen. Finns t.ex e-postkatalogen kvar, bara det.

 

Vi vet inte heller hur du har använt din e-postadress. Har du t.ex en endaste liten gång gått på det här med att 'klicka här för att avbeställa' så är det i praktiken kört.

 

I famlijen har vi fyra Teliaadresser, varav två av typen fornamn.efternamn@telia.com. Ingen av dom har fått ett enda spam sen vi skaffade dom för tre år sen. De två andra var det värre med, men de har blivit fullt användbara den sista tiden pga att Tela har skruvat åt sitt spamskydd ett varv till. 20-30 per dygn har blivit mindre än fem per konto, fullt uhärdligt med ett spamfilter påslaget.

 

PS Håll oss gärna underrättade om hur det går på din nya ISP när du har använt ditt mailkonto ett tag. (-;

 

Edit PS Du ligger ju ute med din Teliaadress här på Eforum! Vilka fler ställen har spammarna kunnat tråla den ifrån?

[inlägget ändrat 2005-04-06 09:27:31 av Lars2W2]

Edit stavar som...

[inlägget ändrat 2005-04-06 09:28:11 av Lars2W2]

[fhe]

dit PS Du ligger ju ute med din Teliaadress här på Eforum! Vilka fler ställen har spammarna kunnat tråla den ifrån?

OT: Vilken spamharvare känner du till som klarar att harva ut en adress från eforums profil?

Rent teoretiskt vore det naturligtvis möjligt för dem att köra javascripts och annat innan de analyserar innehållet men det är inte värt besväret, de skulle inte hinna söka igenom lika många sidor då så förlusten vägs upp av fler sajter.

Fast du har rätt, man ska absolut inte förutsätta att sajter är lika snälla som eforum, det är rätt ovanligt.

 

[Pegee]

Eftersom det uppenbarligen inte går att filtrera ut spam bara genom att titta på innehållet så dyker en annan fråga upp:

Hur skiljer spamassasin och andra program på vad som är rätt och fel?

 

Avsändaren är alltid fejkad, innehället är bara en blajtext (olika från gång till gång) och själva meddelandet är dolt i någon skum tabellhantering.

 

Hur vet då min spambevakning om detta skall tas bort eller inte?

 

[lizardKng]

Ett exemepl som nyss hamnade i spamkorgen - så här har SpamAssassin gjort sin bedömning:

 

 

Content analysis details:   (27.7 points, 3.0 required)

pts rule name              description
---- ---------------------- --------------------------------------------------
4.1 MIME_BOUND_DD_DIGITS   Spam tool pattern in MIME boundary
4.2 X_MESSAGE_INFO         Bulk email fingerprint (X-Message-Info) found
0.9 RCVD_ILLEGAL_IP        Received: contains illegal IP address
2.2 RCVD_HELO_IP_MISMATCH  Received: HELO and IP do not match, but should
1.2 RCVD_NUMERIC_HELO      Received: contains an IP address used for HELO
1.9 BAYES_99               BODY: Bayesian spam probability is 99 to 100%
                           [score: 1.0000]
3.8 RCVD_IN_DSBL           RBL: Received via a relay in list.dsbl.org
                           [<http://dsbl.org/listing?219.251.162.116>]
3.1 RCVD_IN_XBL            RBL: Received via a relay in Spamhaus XBL
                           [219.251.162.116 listed in sbl-xbl.spamhaus.org]
4.3 URIBL_SC_SURBL         Contains an URL listed in the SC SURBL blocklist
                           [uRIs: broadcastadvertise.org]
1.5 URIBL_WS_SURBL         Contains an URL listed in the WS SURBL blocklist
                           [uRIs: broadcastadvertise.org]
0.4 URIBL_AB_SURBL         Contains an URL listed in the AB SURBL blocklist
                           [uRIs: broadcastadvertise.org]

 

27,7 "straffpoäng" > 3 vilket gör att det hamnar i min spamkorg.

 

Så visst går det att avgöra genom att titta på det, men de regler som SpamAssassin använder sig av är avsevärt mer komplicerade än att man skriver ihop dem själv på en kafferast.

 

 

Här ett exempel med betydligt lägre straffpoäng:

 

Content analysis details:   (7.7 points, 3.0 required)

pts rule name              description
---- ---------------------- --------------------------------------------------
2.2 RCVD_HELO_IP_MISMATCH  Received: HELO and IP do not match, but should
1.2 RCVD_NUMERIC_HELO      Received: contains an IP address used for HELO
1.9 BAYES_99               BODY: Bayesian spam probability is 99 to 100%
                           [score: 1.0000]
2.4 FORGED_MUA_IMS         Forged mail pretending to be from IMS

 

Inget av kriterierna i sig skulle ha flyttat det till spamkorgen men tillsammans ramlar mailet över gränsen (min gräns).

 

[inlägget ändrat 2005-04-06 11:17:39 av lizardKng]

[Cecilia]

Här finns en beskrivning av hur Bayesian Spam Filtering går till:

http://www.prismemail.com/bayesianfilter.php

 

 

[fhe]

Hur skiljer spamassasin och andra program på vad som är rätt och fel?

Exakt hur beror naturligtvis lite på vad man jämför med men grundprincipen är att den samlar på sig alla små indicier som tyder på att det är ett spam, när tillräckligt många saker tyder på att det är ett spam så klassas det som sådant. Det gör att det t.ex blir relativt riskfritt att från ett vanligt legitimt mailprogram skicka ett mail med en vits om viagra, eftersom det förmodligen bara är just ordet viagra som tyder på att det kan vara ett spam och endast det ordet räcker inte.

 

lizardKng gav dig ett exempel, här kommer ett färskt från min spamkorg med kommentarer:

Content analysis details:   (20.1 points, 5.0 required)

pts rule name              description
---- ---------------------- --------------------------------------------------
2.2 RCVD_HELO_IP_MISMATCH  Received: HELO and IP do not match, but should
1.2 RCVD_NUMERIC_HELO      Received: contains an IP address used for HELO
1.3 SARE_HOUSEWIVES        BODY: Mentions housewives, as in porn or in-home biz
5.0 BAYES_99               BODY: Bayesian spam probability is 99 to 100%
                           [score: 1.0000]
0.3 DNS_FROM_AHBL_RHSBL    RBL: From: sender listed in dnsbl.ahbl.org
1.0 URIBL_SBL              Contains an URL listed in the SBL blocklist
                           [uRIs: getagreatdate.com]
4.0 URIBL_SC_SURBL         Contains a URL listed in SpamCop data at http://www.surbl.org/lists.html
                           [uRIs: getagreatdate.com]
1.5 URIBL_WS_SURBL         Contains an URL listed in the WS SURBL blocklist
                           [uRIs: getagreatdate.com]
3.2 URIBL_OB_SURBL         Contains an URL listed in the OB SURBL blocklist
                           [uRIs: getagreatdate.com]
0.4 URIBL_AB_SURBL         Contains an URL listed in the AB SURBL blocklist
                           [uRIs: getagreatdate.com]

 

De flesta reglerna är rätt självförklarande RCVD_HELO_IP_MISMATCH är en av många regler som kollar efter rena fel i transporten, riktiga mailservrar och mailprogram gör oftast rätt och tar inga genvägar medans spamreläer nästan alltid antingen tar genvägar som är fel eller använder felaktigheter för att lura en server att prata med dem.

BAYES_99 talar om att mit bayesiska filter har klassat det som 99% sannolikt spam, det har den lyckats med genom att gämföra mailet med de tusentals mail som den redan lärt sig är spam och nästan lika många mail som den har fått lära sig inte är spam.

Övriga test är i det här fallet olika sorters svartlistningstester där avsändar-server, URL:ar i meddelandet osv jämförs med just kända spam-sändare och kända spam-url:ar som förekommer i mail.

 

Här är ett annat spam där spamassin har använt fler av sina egna tester, relativt självförklarande.

Content analysis details:   (10.6 points, 5.0 required)

pts rule name              description
---- ---------------------- --------------------------------------------------
1.3 SUBJECT_DRUG_GAP_C     Subject contains a gappy version of 'cialis'
1.7 MSGID_FROM_MTA_ID      Message-Id for external message added locally
0.1 HTML_80_90             BODY: Message is 80% to 90% HTML
5.0 BAYES_99               BODY: Bayesian spam probability is 99 to 100%
                           [score: 1.0000]
0.1 HTML_TAG_EXIST_TBODY   BODY: HTML has "tbody" tag
0.0 HTML_MESSAGE           BODY: HTML included in message
0.1 HTML_FONT_BIG          BODY: HTML tag for a big font size
0.2 DRUGS_ERECTILE         Refers to an erectile drug
0.9 DRUGS_ERECTILE_OBFU    Obfuscated reference to an erectile drug
1.1 PRIORITY_NO_NAME       Message has priority, but no X-Mailer/User-Agent

 

Edit: Cecilias länk om bayesiska filter var bra, SpamAssassin gör emellert rätt mycket mer. I de senaste versionerna har Bayes blivit mindre viktigt och (jag tror att jag har skruvat upp värdet på BAYES_99 till 5.0, i orginaluppsättningen kan det bli mycket lägre beroende på en handfull faktorer). Reglerna här ovan hade klassat mailet som spam även om jag inte använt bayes.

[inlägget ändrat 2005-04-06 11:35:37 av fhe]

[Lars2W2]

Min poäng är alltså att man genom tanklöshet och slarv kan dra på sig spam. (Tro mig, jag har gjort det) Min tanke är att om Erik gick ut så tidigt som -00 när spam var mer en irritation och kriget knappt hade börjat, så kan han mycket väl ha gjort saker man inte gör i dag, typ svara på ett spam med ett "nej tack". Att sen skylla på Telia är i mina ögon lite orättvist.

 

Sen anser jag är spam knappast en orsak att byta ISP, i hans fall hade det räckt med att byta mailadress om det nu var så irriterande med 100 på en hel vecka. Den ISP som garanterar 100% spamfri mail skulle jag f.ö inte anlita. Risken att kasta skarpa mail är då tokstor.

 

[Gäst]

Msn/Hotmail har ett utmärkt spamfilter som bara blir bättre hela tiden. Det går utmärkt att ha Msn/Hotmail som standardkonto i t. ex. Outlook Express. Att en säkerhetskopia av allt alltid ligger på Msn gör ju inte saken sämre.

 

 

Bosse

 

Eforums medlemmar i bild! "http://eforumare.just.nu"

Bloggera mera! Jag gör det på "http://bosse.bloggar.nu"

 

[Cluster]

Är inte helt flängd i spamharvares interna mekanismer, men mintanke är att om Google hittar mailadresser så kan de?

Nu har ju du iof inte lagt ut din mailadress i din eforum-profil men ändå:

http://www.google.se/search?hl=sv&client=firefox-a&rls=org.mozilla%3Asv-SE%3Aofficial&q=fhe&btnG=S%C3%B6k&meta=lr%3Dlang_sv

 

För pegee så går mailadressen att hitta på en hel del andra ställen:

http://www.google.se/search?hl=sv&client=firefox-a&rls=org.mozilla%3Asv-SE%3Aofficial&q=pegee&btnG=S%C3%B6k&meta=lr%3Dlang_sv

 

Nu är ju detta "riktade" sökningar vilket kanske är missvisande...

 

/Cluster

------------------------------------------------------

"Den som försummar att dricka ur erfarenhetens källa

kommer troligen att dö av törst i okunnighetens öken."

------> http://eforum.kicks-ass.net <------

 

[fhe]

Nu har ju du iof inte lagt ut din mailadress i din eforum-profil men ändå:

Men ändå vadå? Att den hittar min profil har väl inget med saken att göra? Inte ens om jag hade haft någon mailadress där så hade google "hittat" den, än mindre harvarna. Om du gör view source på pegee:s profil så ser du varför.

 

Att man kommer att få sina adresser spammade om man lägger ut dem på nätet är rätt självklart, min invändning var bara menad som en komplettering så att ingen tror att man löper någon risk för att man har den på eforum, det gör man nämligen inte.

 

 

[Brynäsarn]

 

Spamfighter http://www.majorgeeks.com/download4316.html är gratis

att ladda hem och använda.