Spam mit links nach .ru ausfiltern

  • Aktuell bekomme ich jede Menge spam mails, die einen verdeckten link enthalten, der mit .ru/ endet z.B.:


    Link text: "Klick hier und schau dir das mal selbst unbedingt an"


    Link Adresse: "ABCDEF.ru/"


    Gibt es eine Möglichkeit, dafür eine Junk Filter zu entwickeln? Die Suche nach Inhalt findet ihn nicht.

  • Hallo,


    ich habe auch eine E-Mailadresse, die von diesem "Trend" betroffen ist. Allerdings benutze ich den ganz normalen Spam-Filter von Thunderbird und der markiert gefühlte 75% dieser Spam-E-Mails als Junk (ansonsten ist er besser). Natürlich trainiere ich ihn mit den restlichen 25% und bin persönlich der Meinung, dass sich das in ein paar wenigen Wochen wieder legen wird (war IMHO bei den anderen "Wellen" auch so). Gleichzeitig gehe ich davon aus, dass mein Spamfilter (der von Thunderbird) besser werden wird.


    Bei mir hält sich das so in Grenzen, dass es sich für mich nicht lohnt, dafür einen extra Automatisumus einzubauen.
    Meine Empfehlung: kurzer Klick auf "Nachricht als Junk markieren" bei den nicht als Junk eingestuften Mails + gute Junkeinstellungen. Peter hat seine Vorgehensweise hier (Junk-Ordner leeren ohne Probleme) beschrieben.


    Grüße, Ulrich

  • Guten Tag consultancy! (Ja, so viel Zeit nehme ich mir hier ...)


    Sicherlich ist es möglich, mit selbstgebastelten Filtern bestimmten SPAM auszufiltern. Aber auf Dauer wirst du diesen Kampf verlieren. Garantiert!
    Die selbst anzulegenden Filter sind Mail-Filter, welche nach ganz bestimmten Kriterien eine genau festgelegte Funktion ausführen. Beim SPAM kannst du nicht davon ausgehen, dass du da auf Dauer bestimmte Kriterien haben wirst. Sie SPAMMER verdienen damit Geld und sind uns immer einen Schritt voraus. Uns kostet die SPAM-Beseitigung Geld und wir können nur reagieren. Gewöhne dir also lieber an, den JUNK-Filter ordnungsgemäß zu trainieren (in beiden Richtungen!) und bald wird er seine Arbeit automatisch und zufriedenstellend machen.
    BTW: Solltest du dich dafür interessieren, wie ein SPAM-Filter funktioniert, dann kannst du hier ja mal klicken: Spamfilter – Wikipedia und hier: bayesschen Filter. Dann wirst du meine obige Aussage verstehen ...



    Mit freundlichen Grüßen!
    Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo, das interessiert mich sehr. Ich bekomme auch jede menge Mails mit versteckten Links auf russische Seiten, die von Thunderbird nicht als Spam oder Junk erkannt werden - auch durch Training nicht. Wie kann ich einen Filter basteln, der diese versteckten Links mit Länderkennung ".ru" rausfiltert?

  • ich habe eine Filterregel selbst erstellt, scheint aber nicht zu funktionieren:
    <Body> < enthält> < "*.ru">
    kann es sein das der Bodytext garnicht gescannt wird und wie sieht das mit Platzhaltern aus, sind die in Thunderbird gültig z. B. das *
    Kennt sich da jemand aus?

  • Hallo Neomo,


    warum machst Du Dir denn die Mühe mit eigenen Filtern, die auf enthaltene russische Links prüfen? In aller Deutlichkeit: das ist unnütz, unsicher und ein Aufwand, der - selbst wenn es funktioniert -. in keinem Verhältnis zum Ergebnis steht.


    Es gibt zwei Möglichkeiten: Ja und Nein. Entweder ist eine bei Dir angekommene Mail SPAM (gegebenenfalls, wenn nicht automatisch vom hervorragenden, lernfähigen Spamfilter von Thunderbird erkannt, dann manuell von Dir deklariert) oder sie ist kein SPAM.


    Also verinnerliche das, was Peter_Lehmann und losgehts hier gepostet haben. Und lies Dir folgendes durch: Junk-Filter verwenden, um Spam zu filtern.


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo Feuerdrache, danke für deine Antwort.
    Die Mühe möchte ich mir machen weil ich zugemüllt werde mit diesen Mails, Thunderbird aber nicht erkennt das ich diese nicht haben möchte, auch durch Training nicht. Diese Mails sehen immer anders aus und haben immer andere Absender, deshalb erkennt Thunderbird auch keinen Junk-Zusammenhang.
    Das einzige was immer gleich ist, ist die im versteckten Link angegebene Länderkennung ".ru"
    Deinen Hinweis auf den Artikel: "Junkfilter verwenden" bestätigt mir noch einmal, das der Junkfilter nicht tief genug eingreift.
    Vielleicht hast du ja einen Tipp, wie eine Filterregel aussehen könnte, die auch funktioniert.
    Ich meine wozu ist denn die Möglichkeit eigene Filter zu erstellen, eingebaut, wenn ich sie nicht nutzen soll.
    Und wenn ich die Mails alle immer per Hand löschen soll brauch ich auch keinen Junk-Filter.
    Gruß Neomo

  • Hallo Neomo,


    Und wenn ich die Mails alle immer per Hand löschen soll brauch ich auch keinen Junk-Filter.


    und genau das (von mir fett-rot hervogehobene) ist Dein Verhaltens- und Denkfehler.


    Wenn Du die von Dir erkannten SPAM-Mails gleich löschst, wie soll der Junk-Filter dann lernen? Du musst die betreffenden E-Mails in der Nachrichtenliste als Spam-Mails kennzeichnen. Standardmäßig zeigt der Thunderbird in der Nachrichtenliste eine Spalte, worin Du durch Anklicken des betreffenden Symbols eine Mail zur SPAM-Mail (= Junk-Mail) kennzeichnest oder (im umgekehrten Fall) eine fehlerhaft als Junk-Mail gekennzeichnete E-Mail durch Anklicken des Symbols ent-junkst, also zu einer Nicht-SPAM-Mail erklärst.


    Ich nutze den Junkfilter von Thunderbird inzwischen schon einige Jahre. Ergebnis ist, dass 90+x Prozent der ankommenden SPAM-Mails automatisch erkannt werden und durch den Thunderbird-Junk-Filter in den von mir vorgegebenen Junk-Ordner verschoben werden.
    Weitere etwa 5 Prozent landen zwar im Posteingang (in dubio pro reo), aber werden vom Junk-Filter bereits als verdächtig eingestuft. Die bearbeite ich manuell nach.
    Der Rest von etwa 2 Prozent sind nicht erkannte SPAM-Mails, die aber von mir relativ schnell als solche erkannt und gekennzeichnet werden. In der Regel gehören die dann beim nächsten, übernächsten Male zu den automatisch erkannten.


    Jedenfalls sind jetzt nach einigen Jahren die Erkennungsquoten so hoch (eben 90 Prozent plus x), dass ich erstens dem Thunderbird-Junkfilter eine hervorragende Qualität attestieren kann und zweitens diesen nicht mehr missen möchte.


    In Zahlen:


    Bei mehr als 10 E-Mail-Konten insgesamt maximal drei bis fünf SPAM-Mails am Tag, aber nicht jeden Tag. An besonderen Tagen vielleicht auch mal mehr als fünf.


    Außerdem schaffe ich Voraussetzungen, auch in der Nutzung und Anwendung des Thunderbird, die es Junkmails erschweren, Schadcode zu aktivieren.


    a) Lesen/Senden von Mails grundsätzlich im "Reintext"-Format (Will ich eine im HTML-Format empfangene Mail lesen, nutze ich gegebenenfalls die Erweiterung Allow HTML Temp.
    b) Links öffne ich grundsätzlich nicht aus dem Thunderbird heraus.
    c) Anhänge speichere ich grundsätzlich ab. Scanne sie mit dem Virenscanner. Und erst danach werden sie erforderlichenfalls mit dem erforderlichen Anwendungsprogramm geöffnet.


    Und nochmal:


    Reines JA-/NEIN-Prinzip. Entweder SPAM (Junk) oder kein SPAM (Junk).


    Du wirst für den anfänglich vielleicht höheren Aufwand der Einarbeitung Deines Thunderbird-Spam-Filters (eben das manuelle Deklarieren bzw. Nicht-Deklarieren als SPAM/Junk) mit der Zeit belohnt.


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo Feuerdrache,
    genau das was du beschreibst mache ich auch. Selbstverständlich markiere ich die Mails als Junk oder "entjunke" sie, bevor ich sie lösche - das meine ich ja, wenn ich von Training rede - trotzdem kapiert es Mr. Junk nicht. Ich trainiere ihn schon seit Jahren. Kann sein, das du ja auch keine solchen Mails bekommst, ich danke dir trotzdem, auch wenn du mir bei meinem Wunsch einer selbsterstellten Filterregel nicht helfen konntest.


    Gruß Neomo

  • Hallo,


    ich kann Neomo schon ein wenig verstehen: Ich habe mir gerade die Mühe gemacht und einen jungfräuliche training.dat mit dieser E-mail gefüttert (damit wir alle einmal wissen, worüber wir überhaupt sprechen):


    Da kann der Filter nicht viel lernen. Es wurden nur 23 Tooken in der Training.dat hinterlegt. Und die sind fast alle sehr allgemein und treffen auf immens viele E-Mails (oder nie wieder) zu.


    Für diese Art von E-Mails sind IMHO bayessche Filter nicht so gut geeignet. Da muss ich consultancy und Neomo einfach recht geben.
    Diese E-Mail wurde an einen Web.de-Account gesendet. Ich habe mich bisher noch nicht damit beschäftigt, doch könnte man evtl. die von WEB.DE hinzugefügte Headerzeile "X-UI-Filterresults" auswerten; da steht ja drin, dass Web.de die E-Mail als Junk einstuft.
    Allerdings wäre es dafür interessant, bei welchem Anbieter die beiden so sind???


    Grüße, Ulrich

    Einmal editiert, zuletzt von losgehts ()

  • Hallo,


    es gibt ja Philosophen und auch einige Physiker, die vermuten, dass die Bayes'sche Wahrscheinlichkeitsrechnung letztendlich all die für uns nicht mehr vorstellbaren Phänomenen der Quantenphysik erklären würde. Das vollständig zuverlässige Erkennen von [lexicon='Spam'][/lexicon] würden aber wohl selbst diese "Weisen" davon ausnehmen ;-)


    Mit dem Bayesjunktool kann man etwas Einblick in die Training.dat des TB bekommen und, soweit ich mich erinnere, auch die Gewichtung ändern. Ich wollte es gerade ausprobieren, aber das scheiterte daran, dass ich gar keine Training.dat habe. Ich habe nun sogar auf meiner "alten" Windowspartition nachgeschaut, aber auch dort keine Spur mehr von einer Training.dat. Das bedeutet zum einen, dass ich beim vorletzten Neuanlegen des TB-Profiles vergessen habe, diese Datei zu übernehmen. Zu anderen zeigt es aber, wie wenig ich mit [lexicon='Spam'][/lexicon] zu kämpfen haben. Ich bin nahezu spamfrei und habe dieses Filter seit gut 2 Jahren gar nicht mehr benötigt! Das ist erster Linie den guten Filtern der Provider geschuldet (und natürlich meiner allgemeinen Strategie im Internet ;-)),
    Ich bin immer wieder verwundert, dass [lexicon='Spam'][/lexicon] für Endanwender noch so ein Problem ist. Ich klopfe gleich mal auf Holz; ich bemerke kein Spamproblem mehr, weiß aber natürlich, dass die Provider es sehr wohl spüren.


    Auf was ich aber eigentlich hinaus möchte. Ich weiß nicht, ob das Filter des TB überhaupt in E-Mails enthaltene Links berücksichtigt. Mit diesem Tool ließe sich das aber in Erfahrung bringen. Außerdem könnte man, sofern mich meine Erinnerung nicht trübt, den Wert für ".ru" ggf. anpassen oder einfügen.


    Gruß


    Susanne

  • Hallo Susanne,


    aber was bringt denn eine Filterung auf die Länderkennung eines Links, der in einer SPAM-Mail enthalten ist, für Neomo einen Gewinn oder auch nur Vorteil?


    Was ist wenn findige SPAM-Mailer einfach mehrere Links platzieren? .ru plus .xy plus .ab, plus "was weiß ich?".


    Fakt ist doch, ob entschieden vom Provider, vom Mailprogramm-Nutzer, ob mit Junkfilter-/SPAM-Mail-Tools oder was auch immer, es ist immer eine JA-/NEIN-Entscheidung.


    Entweder es ist SPAM (Entscheidung des Providers/Mailprogramm-Nutzers, SPAM-Mail-Tools, ...) oder es ist kein SPAM (Entscheidung des Providers/Mailprogramm-Nutzers, SPAM-Mail-Tools, ...).


    Ich verstehe einfach den Beweggrund von Neomo nicht. Ich würde an seiner Stelle erst einmal die Training.dat löschen (vielleicht ist die ja beschädigt) und einfach mal "neu anfangen" mit dem Thunderbird-Junk-Filter.


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo Feuerdrache,


    für den Fall, dass der TB Links nicht berücksichtigen sollte, verstehe ich den Beweggrund von Neomo sehr wohl. Denn würde das Training keine Verbesserung bringen. Um dies festzustellen, hatte ich das Tool empfohlen.
    Sollte der TB Links berücksichtigen, dann würde gerade in diesem Scenario


    Was ist wenn findige [lexicon='SPAM'][/lexicon]-Mailer einfach mehrere Links platzieren? .ru plus .xy plus .ab, plus "was weiß ich?".


    das Bayes'sche Filter gute Dienste leisten, gerade weil es nicht digital mit ja/nein arbeitet wie ein normales Filter, sondern weil es Wahrscheinlichkeiten ermittelt, die dann auch Kombinationen der verschiedenen Textteile einbeziehen.


    Zusammengefasst: Wenn TB auch solche Fragmente wie ".ru" berücksichtigt, auch in Links, dann würde ich das integrierte Filter trainieren. Falls nicht, ist ein statisches Filter besser als keines. Zuvor würde ich aber noch prüfen, ob nicht die Filter des Providers effektiver sind.


    Gruß


    Susanne

  • Hallo Susanne,


    danke für Deine Erläuterungen.


    Aber trotzdem:


    Am Ende ist es (spätestens bei den durchgelassenen E-Mails) eine logische Entscheidung. Ist es eine SPAM-Mail oder ist es keine.


    Mir geht es (fast) ebenso wie Dir. Bei den meisten meiner Konten kommen überhaupt keine SPAM-Mails an. Klopfe auf Holz. Bei zwei, drei Konten ab und an ganz wenige. Die meisten erkennt der Junk-Filter (90 Prozent plus x). Bei den wenigen, die im Posteingang landen, muss ich die Entscheidung treffen. Dafür brauche ich keinen zusätzlichen Linkfilter.


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Hallo Susanne,


    genau das hatte ich ja gemacht: neues Profil und mit der von mir geposteten E-Mail die Training.dat erstellt und dann mit dem Bayes-Tool angesehen. Ich häng dir das als Bild an.
    Ohne, dass ich dem jetzt weiter nachgehe (weil mich das nicht sooo sonderlich interessiert), habe ich die Vermutung, dass Thunderbird beim Auswerten nur den Teil der E-Mail auswertet, den der User auch sieht, also keine HTML-Kommandos. Von Popfile (ein ähnlicher Spamfilter) weiß ich, dass er das so macht (zumindest vor einigen Jahren, als ich ihn noch im Einsatz hatte).


    Grüße, Ulrich

  • Hallo;


    Ich habe ein ähnliches Problem und kann deshalb Consultancy gut verstehen. Ich versuche den Inhalt meiner Mails auf eine URL zu scannen und dann in einem Ordner abzulegen. Da die URL aber als Link verkleidet ist wird sie vom Filter nicht gesehen. Was tun?
    Da es sich hier nicht um Spam oder eine Spamfilterung handelt sondern einfach um die Filterfunktion, finde ich die Antworten der hoch edlen Teilnehmer der Diskussion redlich irrelevant.
    Vielleicht ist ja doch eine Antwort bekannt.


    Gruß und Dank


    Mike


    Edit: Auf obigen Beitrag bitte hier Filter erkennt in einem Link die URL Adresse im html Inhalt nicht. antworten! graba, S-Mod.

    Einmal editiert, zuletzt von graba ()