Autor Thema: Spam-Filterung mit IQ-Suite (Gelesen 7657 mal)

Johnson · « **am:** 29.05.08 - 11:33:57 »

Hallo zusammen,

seit zwei Tagen kommen bei uns Mails in die Maildatenbanken, die eigentlich von der IQ-Suite als SPAM erkannt und gelöscht werden sollten bzw. in die Quaratine gestellt werden sollte.
Das klappt auch soweit. ABER:

Wir prüfen lediglich Mails, die von extern abgesendet wurden.
Dazu wurde die folgende Regel verwendet:
@if(@Matches(SMTPOriginator; "*@*.*") | @Matches(From; "*@*.*");@True;@False)

Bei den SPAMs, die durchflutschen, ist folgendes in den Feldern:
SMTPOriginator

Zitat

""

From

Zitat

""Jame" <>"

RFC822 Header Name:

"From"

RFC822 Header Delimiter:

": "

RFC822 Header Body:

22 4A 61 6D 65 "Jame
22 20 3C 3E 0D " <>.
0A .

Wieso ist das Feld SMTPOridinator leer? Sollte hier nicht aufjeden Fall eine Adresse enthalten sein?

Cebe1 · « **Antwort #1 am:** 29.05.08 - 12:33:02 »

Das ist momentan auch mein Problem, was ich zunächst gelöst hatte indem ich das Feld "Return_Path" auf den Inhalt "<>" geprüft habe, da fast alle Mails dort "<>" eingetragen hatten.
Das klappte auch bis heute morgen, nun kommen die Mails rein, ohne Inhalt (From-Feld leer, SMTP Originator leer , Feld Return_Path gar nicht vorhanden).
Evtl. ist es lösbar wenn man "%local% einbaut, z.B. "Absender ist nicht %local%" !?

Johnson · « **Antwort #2 am:** 29.05.08 - 12:50:04 »

Das Feld Return_Path hab ich auch nicht gefunden. Das Feld From war bisher immer befüllt.

Was bewirkt %local%? Was wird dabei geprüft?
Ich habe nämlich eine Adress-Regel gefunden: *@%Local%

Ich habe das Thema erst seit einigen Wochen übernommen. Leider ohne intensive Übergabe.

WernerMo · « **Antwort #3 am:** 29.05.08 - 13:00:51 »

Hallo,

nur mal so (entgegen der Empfehlungen von IQSuite) gefragt:

Warum prüft Ihr nicht alle eMails (egal ob eingehend oder ausgehend)?

Gruß Werner

Driri · « **Antwort #4 am:** 29.05.08 - 13:09:09 »

Wir haben das Problem auch. Ich hab mir eben überlegt, ob ich nicht einfach auf leeres SMTPOriginator prüfe, weil bei den durchgeflutschten Mails ist das Item entweder leer oder nicht vorhanden.

Ich bin mal andere Mails durchgegangen und habe bisher keine gefunden, in der das Feld leer ist.

@Werner :
Ginge natürlich. Aber dann kann es halt passieren, daß von intern versendete Mails im Spamfilter hängenbleiben. Das ist dann auch unschön.

Cebe1 · « **Antwort #5 am:** 29.05.08 - 13:12:18 »

@driri - Prüfen auf leeres Felf SMTPOriginator habe ich auch zuerst dran gedacht, die IQ.Suite braucht an der Stelle aber mind. 1 Zeichen.

DigitDani · « **Antwort #6 am:** 29.05.08 - 13:15:55 »

Vorsicht vor dem Prüfen auf ein leeres SMTPOriginator Feld. Zustellfehlermeldungen (NDRs) haben hier meist auch nichts drinstehen. Die würdet ihr damit dann auch löschen, quarantänieren oder was auch immer.

Driri · « **Antwort #7 am:** 29.05.08 - 13:17:20 »

@DigitDani:

Danke für den Hinweis, dann können wir das wohl auch vergessen.

@Cebe1:

Warum ? Ich kann doch eine Regel definieren ala @If(SMTPOriginator = ""; @TRUE; @FALSE).

Cebe1 · « **Antwort #8 am:** 29.05.08 - 13:21:06 »

Ich habe es jetzt so gelöst, hoffe es klappt so.......

Absender ist nicht local...siehe Anhang...
Unter Domänen habe ich auch benachbarte (Notes-)Domänen, die
nicht geprüft werden sollen eingepflegt.

Der Wert für %local% steht in der Notes.ini bei dem Parameter "Domain".

Johnson · « **Antwort #9 am:** 29.05.08 - 13:23:26 »

Zitat von: Driri am 29.05.08 - 13:17:20

Warum ? Ich kann doch eine Regel definieren ala @If(SMTPOriginator = ""; @TRUE; @FALSE).

Richtig. Ich habe auch einige Formel-Regeln gefunden, die Feldinhalte so überprüfen und bissher scheint es auch wunderbar zu klappen.

Nur mal 'ne Frage eines Unweissenden (unabhängig von SPAM oder Nicht-SPAM): Was ist das SMTPOriginator genau? Wann und wo wird es schrieben. Und aus welchen Daten setzt es sich zusammen?

@Cebe1:
Muss ich mal prüfen. Wäre super, wenn's klappt.

Cebe1 · « **Antwort #10 am:** 29.05.08 - 13:24:28 »

@Driri - ich habe das nur mit der einfachen Textregel gemacht, mein Fehler.

Johnson · « **Antwort #11 am:** 29.05.08 - 13:51:27 »

Hab hier was zu dem Thema gefunden: http://www.dominoforum.de/modules/newbb/viewtopic.php?post_id=99158

Hier traf einer die Aussage, dass die IQ-Suite immer das Feld From als Absenderinformation verwendet.
Somit würde die Domainregel auch nicht greifen. Oder? Zumindest bei den Spams, mit denen die dort kämpfen.

Driri · « **Antwort #12 am:** 29.05.08 - 13:51:55 »

%Local% können wir leider nicht verwenden, weil unser SMTP in einer eigenen Domäne läuft.

Ich prüfe gerade, ob wir das Item $SMTPNotFromNotes prüfen können. Dieses wird auf "1" gesetzt, wenn der Absender aus dem Internet kommt.

Zitat aus der KnowledeBase von IBM :

Zitat

The field is called $SMTPNotFromNotes. This field can be used to determine whether or not the message is an internet message.

Allerdings muß ich noch prüfen was mit Mails ist, die wir z.B. von internen Server auf unserem SMTP abkippen (Newsletterversand). Ggf. müßte man dann zusätzliche Ausnahmen definieren.

Driri · « **Antwort #13 am:** 29.05.08 - 13:54:03 »

Zitat

Hier traf einer die Aussage, dass die IQ-Suite immer das Feld From als Absenderinformation verwendet.
Somit würde die Domainregel auch nicht greifen. Oder? Zumindest bei den Spams, mit denen die dort kämpfen.

Kommt darauf an, wie man die Regel definiert. Wir hatten bisher immer eine negierte Regel für unsere internen Domänen als Bedingung für die Prüfung drin. Allerdings steht halt bei den aktuellen Mails unsere interne Domäne mit im From-Feld. Bei den bisherigen Spammails hat das sonst immer funktioniert.

WernerMo · « **Antwort #14 am:** 29.05.08 - 13:55:18 »

Hallo

Um so länger ich mitlese im so mehr tendiere ich zu meiner Meinung von oben, auch wenn ich Diri recht geben muss:

Zitat von: Driri am 29.05.08 - 13:09:09

@Werner :
Ginge natürlich. Aber dann kann es halt passieren, daß von intern versendete Mails im Spamfilter hängenbleiben. Das ist dann auch unschön.

dass das unschön wäre, aber welche Internen Mails könnte das passieren?

Gruß Werner

Driri · « **Antwort #15 am:** 29.05.08 - 13:57:08 »

Da wir auch mit Wortlisten-Filtern arbeiten, könnte es schon die ein oder andere Mail erwischen.

Wenn wir keine andere Lösung finden, werden wir auch wohl oder übel alle Mails filtern. Aber ich geb noch nicht auf

Cebe1 · « **Antwort #16 am:** 29.05.08 - 13:58:04 »

@digit dani - ja aber nur wenn die Kriterien erfüllt sind, es kommen jede Menge an Rückläufern in Form von Zustellfehlern die auf Spams zurückzuführen sind, demzufolge gelöscht werden können.
Es geht ja nur darum festzulegen welche Mails auf Spam geprüft werden sollen.

DigitDani · « **Antwort #17 am:** 29.05.08 - 14:10:14 »

Jau, ist mir schon klar. Wollte euch nur darauf hinweisen, dass eben auch "echte" NDRs abgefangen werden könnten wenn so eine Regel in den entsprechenden Jobs zu voreilig verwendet wird. Die simple Prüfung auf ein leeres SMTPOriginator Feld ist definitiv keine zuverlässige Klassifizierung für eine SPAM-Mail.

Ich stehe im Moment selbst vor der Aufgabe NDRs, die an echte SMTP-Adressen zurückgeschickt werden, weil Spammer diese als Absenderadresse verwendet haben, von echten NDRs zu unterscheiden. Aber das ist jetzt etwas off topic.

Cebe1 · « **Antwort #18 am:** 29.05.08 - 15:04:29 »

@DigitDani - Das Problem habe ich hier auch. Ich sage den Usern schon daß das eine ganz normale Zustellfehlermeldung ist , die man nicht blocken sollte.
Bei den Spam-Rückläufern stehen meist aber die einschlägigen Betreffs und Texte im Body der Zustellfehlermeldung, so daß diese , wenn sie denn auf Spam geprüft werden..., auch als "Müll" bzw. Spam erkannt werden.

DigitDani · « **Antwort #19 am:** 29.05.08 - 15:12:50 »

Hallo Christian,

da gebe ich Dir Recht. Statt nach einem Merkmal zu suchen, wie ich die echten NDRs von den unechten unterscheiden kann, sollte ich lieber schauen, dass die SPAM-Erkennung bei den "bösen" NDRs greift. Danke für den Hinweis.

VG
Daniel