Junk mit Betreff ?utf8

  • Hallo,

    die Spammer haben eine Möglichkeit entdeckt den Spamfilter (und andere Filter) auszutricksen, indem sie den Betreff mit ?utf8... maskieren.

    Also das heißt, der Spamfilter funktioniert nicht mehr.

    Ich habe mit Quickfilters versucht das erkennen zu lassen aber vergeblich. Der Spamfilter macht das auch nicht. Er erkennt anscheinend den Klartext.

    Hat jemand eine Idee, wie man die in den Spamordner schicken kann?


    Horst

  • graba

    Approved the thread.
  • Die Spammer tricksen damit nicht das Spam-Filter aus. Das bewertet nämlich nicht nur den Betreff, sondern vor allem den Inhalt der E-Mails.

    Sie tricksen aber diejenigen aus, die sich zu diesem Zweck selbst Filter auf den Betreff erstellt haben. Daran siehst du schon, dass dies keine gute Methode ist, dem Spam Herr zu werden. Du müsstest deine Filter immer wieder anpassen, in diesem Fall halt an die verwendeten Zeichen. Diesen Kampf kannst du nicht gewinnen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Hallo SV,

    danke für den Hinweis, aber es kann nicht nur um den Inhalt gehen.
    Ich habe die Mail als Junk markiert, aber es kommen totzdem immer mehr mit gleichem Inhalt.

    Ich bin nur ein normaler User mit etwas mehr Kenntnissen aber nicht so viel, dass ich alles verstehe, was im Programm passiert.

    Ich habe auch schon gemerkt, dass man Betreffs mit ?utf im Anfang nicht rausfiltern kann. Aber das war ja genau meine Frage bzw. Wunsch. Denn ich will keine Emails von Leuten, die mir den Betreff nicht in Klartext senden wollen. Das sind (fast) alles Spammer oder Werbung.
    Vielleicht hätte ich das genauer formulieren sollen im Betreff:

    Wie kann ich Junk Mails mit dem Code ? utf im Betreff erfassen?

    Um es als Junk auszusortieren.

  • Hallo jrsch,


    ich kann Susi to visit nur ergänzen: Lass den Junk-Filter lernen. Wie beim Menschen braucht es etwas Zeit, aber wenn Du ihn richtig trainierst (indem Du die entsprechenden Mails als Junk markierst), wird er diese bald selbst erkennen und aussortieren. Alles andere ist zum Scheitern verurteiltes Flickwerk.


    Gruß

    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten. Außerdem sind sie käuflich.


    Windows 10 Home (64 Bit) | Thunderbird 91 (64 Bit) | Firefox (64 Bit) | Windows Defender | Fritzbox 7490 | Posteo / web.de | CardBook | OpenPGP

    Android 9 Pie | K9-Mail | OpenKeychain | Business Calendar 2 | DAVx2 | ICSx2

  • Ohne jetzt ironisch auf die Antworten einzugehen: wie "lernt" mein Filter? Ich habe den Eindruck, dass das eine "leere" Aussage ist. Nach den "Regeln" sollte jede als Spammail gekennzeichnete Mail diesen "Algorithmus" anlernen. Davon merke ich leider garnichts, Spammails erreichen mich weiterhin, mit denselben Versender-Mailadressen!

    Und was heisst "lernen"? Demnach müsstee ja irgendwo im Account, oder sonstwo, eine Datei mit "Spamregeln" vorliegen oder aber die ausgesonderten Spamadressen. Beides habe ich nicht gefunden ....

    Oder ist der "Lernalgorithmus" bei meinem TB-Account "dumm geblieben"/deaktiviert?


    Werner

  • Hallo Werner_RJP ,


    die Funktionsweise ist ja hier in Lexikon & Hilfe nachlesbar.


    Der lernende Filter ist natürlich nicht perfekt (und das Lernen/Trainieren hört auch nicht auf), aber ich kann bei mir feststellen, dass mindestens 90 bis 95 % vom Junk-Filter erkannt und entsprechend behandelt werden.


    Gruß

    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier

  • Werner, prüfe doch bitte erst mal, ob der Junk-Filter in Deinem Thunderbird für das betreffende Konto überhaupt aktiviert ist. Ich kann sonst auch nur noch mal Susanne, slengfe und Drachen ausdrücklich zustimmen, dass der bayessche Filter sehr gut funktioniert und schon nach 1 x trainieren einer einschlägigen SPAM-Mail wirkt. Für erfinderischere Absender brauchts vielleicht mehr Trainigsnachhilfe. Am Ende trennt der ohne weiteres Zutun wirklich gut die Spreu vom Weizen.


    Die von Dir in Abrede gestellte Datei heißt übrigens msgFilterRules.dat.


    Gruß

    Sehvornix

  • Kleine Korrektur: Die Datei heißt training.dat.


    msgFilterRules.dat ist die Mailfilter-Datei für das Konto.

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten. Außerdem sind sie käuflich.


    Windows 10 Home (64 Bit) | Thunderbird 91 (64 Bit) | Firefox (64 Bit) | Windows Defender | Fritzbox 7490 | Posteo / web.de | CardBook | OpenPGP

    Android 9 Pie | K9-Mail | OpenKeychain | Business Calendar 2 | DAVx2 | ICSx2

  • Ich habe jetzt mal "nachgesehen": die besagten Dateien habe ich gefunden. Während die Datei training.dat zwar mit einem Editor geöffnet werden kann, stellt die gesamte Datei jedoch eine Mischung aus Plain-Text mit Steuerzeichen dar. Also sollte das Editieren tunlichst unterlassen werden.

    Anders dagegen die Datei msgFilterRules.dat: es sind nur zwei Zeilen mit plain-Text enthalten: version= und logging=


    Das Junk-Filter ist für alle Accounts eingeschaltet.


    Auch mit diesem Wissen wird mein Junk-Filter und der Hilflosigkeit des manuellen eingreifens wohl eher zu den "minderbemittelten Familienangehörigen" der Junk-Filterung gehören. Ich weiss nicht, wieviele Testläufe notwendig werden, um eine eindeutige Funktion erkennbar werden zu lassen.

  • Das Junk-Filter ist für alle Accounts eingeschaltet.


    Ich habe ... die besagten Dateien ... gefunden.

    Welches Dateidatum hat denn die training.dat?
    Und notiere dir ggf. auch mal die Größe. Dann einige Spammails als Spam/Junk markieren (mit Klick auf die "Flamme", aber ds weißt du ja sicherlich) und schauen, ob sich die Größe ändert oder zumindest das Dateidatum/-uhrzeit aktualisiert wird.


    Bin gerade zu faul, auch nachzusehen, ob die Frage nach AddOns schon kam, die evtl. in diesen Junk-Kram eingreifen könnten. Und es kann natürlich auch tatsächlich etwas kaputt sein, wenn der Filter bei dir keine sichtbare Wirkung hat.


    Achja: eine Mail mit ?utf im Betreff hatte ich zumindest wissentlich noch nie, kann dir also nicht mitteilen, ob die bei mir erkannt werden oder nicht. Mit Icons im Betreff kommen in letzter Zeit ab und zu mal Spammails rein, deren "schubsen" in den Spam-Ordner durch Markierung als Junk ist aber kein Problem, sofern sie nicht schon ohnehin ohne mein Zutun dort landen.


    MfG

    Drachen

  • danke für den Hinweis, aber es kann nicht nur um den Inhalt gehen.

    Deshalb hatte ich geschrieben:

    Das bewertet nämlich nicht nur den Betreff, sondern vor allem den Inhalt der E-Mails.

    Sicher ist: Die Methode, einzelne Filter auf Betreff oder Absender zu erstellen, ist zum Scheitern verurteilt. Das wusste man schon vor über 20 Jahren und hat genau deshalb die Bayesschen Filter entwickelt.

    Man könnte auch ein kostenpflichtiges Mailkonto bei einem professionellen Anbieter einrichten

    Wenn es nur darum geht. Das bieten bereits seit Jahren auch kostenlose Konten.

    stellt die gesamte Datei jedoch eine Mischung aus Plain-Text mit Steuerzeichen dar.

    So ist es. Es gab früher ein Programm, mit dem es möglich war, die Inhalte anzeigen zu lassen und auch den Score der jeweiligen Begriffe zu verändern. Ob das noch funktioniert oder ob es in der Zwischenzeit Änderungen am Aufbau dieser Datei gegeben hat, weiß ich nicht. Das Programm ist in Java geschrieben, läuft daher auf jedem OS. Vorausgesetzt, die JRE ist vorhanden und man weiß, wie man solche Programm startet.

    Das Verändern des Score ist nicht unbedingt sinnvoll, weil die Statistik dann nicht mehr dem tatsächlichen Aufkommen bei dir entspricht.

    Ich weiss nicht, wieviele Testläufe notwendig werden, um eine eindeutige Funktion erkennbar werden zu lassen.

    Es gab der Vergangenheit schon Fällen, in denen die training.dat aus ungeklärter Ursache nicht (mehr) angepasst wurde. Darauf wollte Drachen vermutlich hinaus, denn mit dem Datum hättest du ein Indiz.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Edited once, last by Susi to visit ().

  • Die ? utf ist auch unsichtbar, nur im Rohtext sichtbar.



    Edit: Ich habe den vorherigen Beitrag, der nur aus einem Zitat bestand, gelöscht. graba, Gl.-Mod.

    Edited once, last by graba ().

  • Die ? utf ist auch unsichtbar, nur im Rohtext sichtbar.

    Danke.


    Habe mal im Spamordner nach einer Mail mit Symbolchen im Betreff (scheinen mir die besten Kandidaten dafür zu sein) gesucht und mir deren Quelltext angeschaut. Tatsächlich steht dort

    Code
    Subject:   =?UTF-8?B?ICDwn5KvICAgIA==?=  GARANTIE für eine vollständige Erektion - auch für einen 85-Jährigen!

    Nungut, dann weiß ich jetzt, dass der Spamfilter damit kein Problem hat :)


    Zur Gegenprobe in einige (erkannte) Spammails ohne Bildchen im Betreff geschaut: kein =?UTF in der Subject-Zeile zu sehen.



    PS: das Vollzitat - gar als separater Beitrag ohne eigenen Kommentar - war m.E. unnötig ...

    .... ist eher fast schon eine Art Foren-Spam ;) :P

  • Welches Dateidatum hat denn die training.dat?
    Und notiere dir ggf. auch mal die Größe. Dann einige Spammails als Spam/Junk markieren (mit Klick auf die "Flamme", aber ds weißt du ja sicherlich) und schauen, ob sich die Größe ändert oder zumindest das Dateidatum/-uhrzeit aktualisiert wird.

    Hab mal nach dem Datum der Datei geschaut: die Jahreszahl ist 2019, Dateigröße 161 KB. Da hat wohl irgendetwas den Dienst vergessen, obwohl das Spamfilter eingeschaltet ist. Das muss ich jetzt mal analysieren.


    Werner

  • Die ? utf ist auch unsichtbar, nur im Rohtext sichtbar.

    Mal nebenbei, das Verwenden von UTF-8 im Betreff ist harmlos im Vergleich zu so manchen Dingen, die damit noch möglich sind. Schau mal hier: RE: Wie geht man bewusst sicher mit E-Mails um?

    Da freust du dich, wenn es nur Spam war.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Du kannst ja mal den Spamfilter ausschalten, TB neustarten und danach wieder den Filter einschalten und wieder neustarten (natürlich nur TB).

    Vielleicht hilft das.


    Noch etwas:

    Markiere auch erwünschte Mail als kein Junk, dass verfeinert die Filterergebnisse und hilft auch gegen false positive Erkennungen.