Spam rutscht immer durch

  • Hallo Freunde,


    Version 2.0.0.9 (20071031)


    das geht mir gehöig auf den zeiger:


    february 29% OFF


    rutscht immer durch, obwohl ich das als junk markiere.


    Was kann ich da tun?


    Danke
    derTrallala

  • Hallo und guten Abend derTrallala,


    ich habe auch schon die ein oder andere Spam-Mail, die scheinbar so geschickt aufgebaut ist, dass TB keine eindeutige Erkennung hinkriegt und ich habe, da diese immer gleich lauten, halt einfach eine Filterregel genommen, Schema:
    Wenn "Betreff" "enthält" "february 29%"


    dann


    "Setze Junk Status" auf "Junk"
    "verschiebe in Ordner" "Junk"

  • Hallo,


    Nur als Ergänzung:
    Wenn ich mich nicht irre (ihr dürft mich gerne berichtigen, denn beim TB-Junkfilter bin ich mir in der Tat nicht ganz sicher) wird die Trefferwahrscheinlichkeit auf Dauer auch dadurch erhöht, dass Mails, die kein Junk sind, als kein Junk markiert werden.


    Karla


    ps. Warum nennt sich das bei TB eigentlich Junk und nicht, wie sonst üblich, Spam?

  • "Karla" schrieb:


    Wenn ich mich nicht irre (ihr dürft mich gerne berichtigen, denn beim TB-Junkfilter bin ich mir in der Tat nicht ganz sicher) wird die Trefferwahrscheinlichkeit auf Dauer auch dadurch erhöht, dass Mails, die kein Junk sind, als kein Junk markiert werden.


    Das funktioniert meines Wissens aber nur, wenn die Mail vorher (irrtümlich) von Tb als "Junk" eingestuft wurde.


    "Karla" schrieb:


    ps. Warum nennt sich das bei TB eigentlich Junk und nicht, wie sonst üblich, Spam?


    Laut Wiki: "Junk-Mail ist ein kurzes, einfaches und für englische Muttersprachler verständliches Wort für Spam".
    Vielleicht hat man rein "zufällig" beim Basteln von Tb an Drogen gedacht? :eek: ;)

  • "graba" schrieb:

    ... Das funktioniert meines Wissens aber nur, wenn die Mail vorher (irrtümlich) von Tb als "Junk" eingestuft wurde. ...


    Meines Wissens funktioniert das auch, ohne dass die E-Mail (bzw. das betreffenden Wort darin) zuvor als Junk markiert wurde. Es gibt ein Java Tool dazu, welches die Training.dat ausliest und für jedes Wort/Zeichen (Token) anzeigt, wie oft es good bzw. bad markiert wurde.
    Das Tool erlaubt auch das Editieren der jeweiligen Token und der zugehörigen Zähler.


    In meiner Training.dat finde ich einige Einträge, die 0 bads aber n goods haben. Ich habe nicht ausprobiert, ob das aus korrigierten Junk Mails stammt oder aus positiv markierten normalen E-Mails. Letzteres ist aber wahrscheinlicher, das ich so gut wie nie "false positives" hatte aber hin und wieder einige "gute" Mails explizit als "Not Junk" markiert habe.


    Wer es sicher wissen will, probiere es einfach aus und gebe bitte Rückmeldung.

  • Hallo und einen schönen guten Morgen,


    na, dann habe ich das mal getestet. Die alte training.dat im Testprofil gekillt und eine Mail mit , ah ja >

    "Wolf" schrieb:


    kann ich "normale" Mails nur als "Junk" mit dem entsprechenden Button markieren und bei einer "Junk"-Mail habe ich die Möglichkeit "kein Junk" zu markieren. Oder habe ich etwas übersehen?

    Rechtsklick>Markieren>Kein Junk ;) klassifiziert.
    Es wurde beim TB beenden eine neue training.dat angelegt, aus dem Inhalt erkenne ich Teile wieder. Tool geladen, eine weitere Mail als Junk markiert, somit eine Junk, eine explizit "Kein Junk" und folgendes Ergebnis:
     
    [IMG:http://img341.imageshack.us/im…163/004testbildmc1.th.jpg]


    Fazit: auch bei nicht von TB als Junk eingestuften und manuell "entjunkten" Mails wird die training.dat angelernt.
    Man könnte jetzt natürlich eine neue training.dat nehmen, eine Mail Junken> Ergebnis ansehen, entjunken>Ergebnis ansehen und parallel dazu eine Kopie dieser Mail einmal als kein Junk und einmal als Junk alleine in einer neuen training.dat und dann alle drei Ergebnisse vergleichen.... aber ich mag nicht :mrgreen:

  • "rum" schrieb:

    ... Fazit: auch bei nicht von TB als Junk eingestuften und manuell "entjunkten" Mails wird die training.dat angelernt. ...


    Das klingt nett. Ob der Begriff "Entjunken" wohl seinen Weg in den Duden machen wird? ;-)

  • schön wäre eine kleine Erweiterung die mir irgendwo (im Header oder in einem Info-Bereich von TB) den Junk-Score den die Training.dat ermittelt hat ausgibt (so in der Art "Junk-Score = 0,6", Junk-Schwelle=1). So kann man dann selbst sehen ob sich an der Erkennung dieser wirklich lästigen %monat% %Prozentwert% "OFF"- Junk-Mails wirklich was verbessert. Fakt ist sicher, dass man mit dem sehr variablen Betreff, den Junkfilter zu überlisten versucht. Da die meisten Spamversender mit manipulierten Headern arbeiten, sollte man eher hier ansetzen um gerade diese Mails zu filtern...Also


    To "ist nicht" "leer" & enthält nicht %absenderadresse% (bei BCC-Mails, am besten wäre hier natürlich "enthält nicht" %Absenderdomain%) & enthält nicht %Konto-mail-Adresse%


    markiere Mail als Junk bzw. verschiebe Mail in Junk-Ordner.


    Bei vielen Junk-Mails steht bei mir eine vollkommen andere Mail-Adresse im To-Feld - und wenn das nicht die Absenderadresse ist (wie bei BCC-Versand normalerweise üblich) ist das mit 99% Warscheinlichkeit Spam, wenn ich nicht auch noch im To-Feld stehe. Bin mir jetzt allerdings nicht sicher, ob man den Filter so einstellen kann wie oben dargestellt.
    Es gibt allerdings auch einige Newsletter-Versender die eine andere Adresse als die Absenderadresse im To-Feld verwenden - daher sollte man auch hier erst mal ausprobieren und das ganze beobachten (bzw. mit einer Domain-Angabe bei den Adressen arbeiten - vorausgesetzt das geht)


    schöne Grüße


    Toolman

    aktuellste TB-Version. ESET Smart Security, Windows 10 Pro

  • "Toolman" schrieb:

    To "ist nicht" "leer" & enthält nicht %absenderadresse% (bei BCC-Mails, am besten wäre hier natürlich "enthält nicht" %Absenderdomain%) & enthält nicht %Konto-mail-Adresse%


    Hmm, da fallen aber alle CC-Mails raus.


    Alles nicht ideal. Wenn es so einfach wäre, bräuchten wir keine Spamfilter :D


    Ich würde zuerst immer mal beim serverseitigen Spamfilter ansetzen und schauen, ob sich da was machen lässt. Ist unterschiedlich, je nach E-Mail-Provider bzw. gebuchtem Webhhosting-Angebot.


    Trotz 12 Konten, von denen die meisten seit 10 Jahren bekannt sind, kommt wegen der serverseitigen Filter bei in TB wenig an, über das der TB-Junkfilter entscheiden muss. Und das auch bei meinen eigenen Domains mit Catch-All.