Wer fetchmail einsetzt, um von mehreren Mail-Accounts/Servern seine Emails einzusammeln, um diese dann zentral auf Spam und Viren zu prüfen, kann den eigentlichen Spamfilter (zB. Spamassassin) und den Server deutlich entlasten, wenn ein Teil der “SexTabletten”-Mails gleich auf den Servern gelöscht wird. Relativ viele Spammails setzen auf Betreffzeilen (Subject), die man mit mailfilter auswerten kann. Mailfilter ist ein ausgezeichnetes Programm, um die Header der Mails per Regex zu durchforsten und unerwünschten Müll gar nicht erst einzusammeln. Ich möchte hier weniger auf die Installation von “mailfilter” eingehen. Ein gutes Tutorial findet der interessierte Leser hier. Nun kann man in der .mailfilterrc endlos lange Blacklisten definieren, um all die bescheuerten Spammerdomains dort fein säuberlich einzutragen, oder aber, man bündelt die dominanten Merkmale, um möglichst viele Treffer zu erzielen. Dazu sollte man die Header aber studieren, was durchaus eine lustige Aufgabe sein kann. Sehr schnell stellt man fest, daß die Bots auf den gekaperten Mailservern Phraselisten abarbeiten, um die Subject-Header zu generieren.

Ein Beispiel soll das etwas verdeutlichen. Es handelt sich um Logauszüge aus dem mailfilter-Logfile:

Deny: “Antoinette Kemp” : You no longer have to watch your diet
Deny: “Effie Russo” : hoist your sweet bed experience
Deny: “Luann Delacruz” : hoist your sexual event
Deny: “Heidi Brady” : ascent your lover sexual adventures
Deny: “Stephan Burger” : boost your sweet sexual times
Deny: “Isaiah Jimenez” : sense of manhood lies only in your size
Deny: “Heidi Brady” : ascent your lover sexual adventures
Deny: “Marion Mcleod” : raise your belove night event
Deny: “Bernie Johnston” : ascent your sweet bed times
Deny: “Marie Hoover” : raise your sweet bed experience

Bündelt man nun die dominanten Gemeinsamkeiten, so ergibt sich folgende Rule für mailfilter:

DENY=”^Subject:.*(your (sweet|sexual|lover|size|belove|diet))”

Diese eine kurze Zeile erfasst alle oben aufgelisteten Spammails. Ich habe über ein paar Monate die Header von Spammails studiert und eine “Subject-Header-mailfilterrc” erstellt, die bei mir zusammen mit den anderen Rules etwa 70% der Spammails zuverlässig erkennt und diese dann gleich auf den jeweiligen Servern löscht. Die Rules innerhalb der Subject-Header-mailfilterrc können auch in die vorhandene .mailfilterrc kopiert werden, oder man splittet seine Konfiguration, zB.:

INCLUDE=/home/user/.mailfilter/subjectspam

In der Datei “subjectspam” befinden sich dann die SubjectSpamRules.

Etliche Provider versehen Emails auch mit “X-Warning”-Headern, selbst wenn man die Spamfilterung beim Provider deaktiviert hat. Das nutzen wir aus, weil dann folgende Rules bis zu 99% des Abfalls gleich entsorgen:

DENY=”^X-Warning:.*Message contains Spam signature”
DENY=”^X-Warning:.*is listed at”

Falls jemand meine Rules einsetzt, so würde ich mich über ein Feedback freuen. Auch werde ich die Subject-Header-mailfilterrc immer wieder aktualisieren und erweitern.

Kill Spam:)