[slightly OT] Group Watchdog-Regel gegen aktuelle Spamwelle

[mb]

Hallo!

Da die Spam-Welle aus den Sober.O-infizierten Rechnern kaum abnimmt, wollte ich ein wenig was dagegen tun.
Wir haben auf Domino 6.0.3 Group watchdog 7.6 installiert.
Ich habe es mit einem Mailjob + Auswahlregel (Text und Formel) versucht und die Betreffzeile (Subject) nach einer der verwendeten Zeilen durchsuchen lassen.
Text: "*Deutschenmoerder*" oder mit komplettem Betreff mit / ohne * vorne / hinten.
Formel: @if( @contains( Subject; "Deutschenmoerder") @TRUE; @FALSE)
Leider ohne Erfolg, es passiert einfach nichts.
Ich wollte zumindest eine Markierung "*** Spam ***" einfügen, damit der Anwender leichter darauf mittels Regeln filtern kann.

[MOD]

Hi,

versuch es doch einmal mit CORE von Group. Damit funktioniert es wunderbar. Näheres zu CORE aus der Hilfe oder dem Handbuch.

  MOD

[eknori]

den besten und einfachsten Schutz erreichst du momentan durch folgende einfache Einstellung am Server.

Konfigurationsdokument
Tab  Router/SMTP - Restriction&Control - SMTP Inbound

Dann ziemlich am Ende "Verify that local domain recipients exist in the Domino Directory:" auf enabled setzen.

Zumindest bei uns ist es so, daß fast alle Mails an Personen gehen, die es bei uns nicht gibt; ausnahmen ausgenommen.

Ich blocke das aber schon am vorgeschalteten Mailscanner von Clearswift..

Und was du da an Betreff hast, ist nur einer von vielen.

[mb]

@ MOD: Ich wollte nicht "mal eben" noch was kaufen.

@ eknori: Das ist schon lange gesetzt. Es geht aber um Mails an existierende Adressen (ca. 500) pro Tag und Account.

[eknori]

Bis das Versagen von GROUP geklärt ist würde ich das dann adhoc über eine serverbasierte Regel machen. Wenn Subject enthält ... nicht ausliefern - silent delete.

Habe lange nicht mehr mit GROUP gearbeitet, aber die Syntax sieht OK aus. Was sagt der Support dazu ?

[mb]

Hab noch keine Antwort von Group.

[eknori]

was sagt denn das LOG ?? Ist da irgendwas zu erkennen ? Ansonsten einfach dort mal anrufen; die waren vor gut 3 Jahren immer sehr freundlich und kompetent dort.

Und ... immer im Auge behalten; in 9 Tagen startet die nächste Welle ...

[Driri]

So etwas ähnliches haben wir mal vor Jahren mit diesen big@boss.com-Mails gemacht.

Dafür haben wir eine Textregel erstellt, Feld = From, Textmuster = *big@boss.com*

Die Regel dafür läuft dann auf alle Mails, die für obige Regel True liefern.
Allgemeiner Bearbeitungsmodus = "Mail löschen"

[eknori]

maybe OT here, aber passt doch eigentlich gut zum Thema:

Um sober in die Suppe zu spucken, sollte man an der Firewall Verbindungen zu folgenden Domains dichtmachen

Sober.Q monitors a fixed list of NTP servers to syncronize its time. If the date is 23.5.2005 or later, instead of mass mailing, it tries to download and execute file from one of the following domains:

 people.freenet.de
 scifi.pages.at
 free.pages.at
 home.pages.at
 home.arcor.de

[mb]

Ich hoffe doch stark, dass hier niemand Sober-Zombies im eigenen Netz hat...

[MOD]

@ MOD: Ich wollte nicht "mal eben" noch was kaufen.

@mb

Wieso kaufen? CORE ist in Walll integriert. Oder gibt es unterschiedliche Lizensierungen von Wall?

  MOD

[mb]

Wall != Watchdog

[mb]

Nachdem Group bisher keine zufriedenstellende Antwort geben konnte (nur: "Das geeignete Produkt ist "Wall"...), habe ich es mit den serverbasierten Mailregeln (wie eknori es vorgeschlagen hat) versucht und das klappt ziemlich gut.

[Wolfgang]

Wir haben auf Domino 6.0.3 Group watchdog 7.6 installiert.
Ich habe es mit einem Mailjob + Auswahlregel (Text und Formel) versucht und die Betreffzeile (Subject) nach einer der verwendeten Zeilen durchsuchen lassen.

Mit den Mailjobs kannst Du in Watchdog 7 keine Textregeln verwenden. Das hat m.E. mit Watchdog 5 noch funktioniert, aber irgendwann wollte Group halt das Produkt Wall verkaufen und hat diese Funktion aus Watchdog entfernt.

Dummerweise hat man vergessen, die Möglichkeit, Textregeln zu erstellen, aus Watchdog zu entfernen. Erstellen kann man sie also noch, aber sie tun nichts.
Ich habe vor einiger Zeit auch mal erfolglos damit rumprobiert und dann irgendwo gelesen, daß es nicht mehr funktioniert (evtl. Group-Homepage?)

Gruß
Wolfgang