Aaaaaaah!!!!!! Am Sam, 2003-06-07 um 09.52 schrieb Joerg Rossdeutscher:

Meine ~/.spamassassin/user_prefs enthält eigentlich nur ein paar Worterweiterungen für (bzw. gegen) deutsche P*rnowerbung.

Schrieb ich. Ohne das "*". Daraufhin bekam ich: Absender: mailpolice@br-automation.com BR Mailserver: Your mail was not delivered Possible problems: whether the recieved/sent mail was infected by a virus, or the mail contained illegal words If you have further questions, please contact your system administrator. Violation Information: The body violated the content filtering rule finds the text P*rno. No attempt was made to repair. Ich finde, da der Absender wohl ein Daemon ist, keinen Ansprechpartner, den ich bitten könnte, diesen Sche*ss auszustellen oder sich eine andere Mailadresse zu besorgen. Wenn das jeder machen würde, bekäme ich bei jeder Diskussion über Spamfilter 5000 Bounces pro Mail. Gaaah! Ich habe im obgen Text das "böse Wort" mit einem "*" maskiert, damit derjenige welcher diese Mail erhält. Gruß, Ratti (Der gerne gewusst hätte, was an Zeitungen mit nackten Menschen drin "illegal" ist...) -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/

Am Sam, 2003-06-07 um 11.35 schrieb Henning Hucke:

*** Joerg Rossdeutscher (ratti@gesindel.de) schrieb in suse-linux heute:

...

Ich finde, da der Absender wohl ein Daemon ist, keinen Ansprechpartner, den ich bitten könnte, diesen Sche*ss auszustellen oder sich eine andere Mailadresse zu besorgen. Wenn das jeder machen würde, bekäme ich bei jeder Diskussion über Spamfilter 5000 Bounces pro Mail. Gaaah!

Hallo Jörg.

Du kennst das Spiel mit "whois"?

Klar, aber bevor ich den Postmaster anschreibe und mir die Mühe mache, auch noch alles in Englisch zu schreiben (und in eine Grundsatzdiskussion verwickelt werde, daß P*rnos uns alle umbringen werden und Rückenmarkschwindsucht verursachen) ist der Weg über die Liste erstmal einfacher. Betrachte es als eine Kolumne "Absurdes aus dem Internet". :-) Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/

Hallo Ratti, On Sat, Jun 07, 2003 at 10:56:26AM +0200, Joerg Rossdeutscher wrote:

Am Sam, 2003-06-07 um 09.52 schrieb Joerg Rossdeutscher:

...

Meine ~/.spamassassin/user_prefs enthält eigentlich nur ein paar Worterweiterungen für (bzw. gegen) deutsche P*rnowerbung.

Ich finde, da der Absender wohl ein Daemon ist, keinen Ansprechpartner, den ich bitten könnte, diesen Sche*ss auszustellen oder sich eine andere Mailadresse zu besorgen. Wenn das jeder machen würde, bekäme ich bei jeder Diskussion über Spamfilter 5000 Bounces pro Mail. Gaaah!

Ich habe im obgen Text das "böse Wort" mit einem "*" maskiert, damit derjenige welcher diese Mail erhält.

Der einzige (aktive) User von dieser Domain ist Petros.Stavrakakis@br-automation.com vielleicht sollten wir dem alle mal 'ne Mail schicken mit einem Danke für die Bounces (meine sig mag er irgendwie auch nicht *g*) Greetings Daniel PS: Meine eicar.com sig kam interessanterweise nicht zurück *lol* -- Fighting for peace is like fscking for virginity!

Florian Gross schrieb:

[...] Was passiert bei ILOVEYOU?

So einen Schrott (und andere gefakte Signaturviren o.ae.) schickt man nicht an die Liste, und wenn man es doch tut, dann muss man halt mit den Bounces leben. Ich finde das Verhalten derjenigen, die so etwas schicken, ziemlich da- neben. Es war einmal ein lustiger Gag, inzwischen hat sich das aber totgelaufen. Man sollte vielleicht auch mal be- denken, dass nicht jeder Subscriber hier Einfluss auf Vi- renscanner unterwegs hat - dass solche Virenscanner buggy sind, wenn sie auf Signaturviren hereinfallen, steht ausser Frage. Die Uni KA setzt ebenfalls einen Virenscanner ein, und auf dessen Konfiguration habe ich keinen Einfluss. Ge- rade vor einigen Tagen habe ich wieder eine Nachricht vom SuSE-Mailserver bekommen, dass einige Mails an mich nicht zustellbar waren, genau wegen dem Problem. Der Absender der Mails ist mir bekannt, aber er laesst von diesen zwei- felhaften Spaessen nicht ab, obwohl ich schon mal darauf hingewiesen habe. CU, Thomson

Joerg Rossdeutscher schrieb:

[...] Auch wenn ich verstehe, daß du darüber nicht glücklich bist - ich habe vollstes Verständnis für den Versender solcher Signaturen. Es ist das einzige Druckmittel, daß Netzuser haben auf Scharchmins, die ihren Schrott nicht upgedatet kriegen. Dann muß eben noch mehr Post verloren gehen, bis es mal die vom Chef ist, dann passiert vielleicht mal was.

Das ist garantiert kein Druckmittel - so etwas zu behaupten ist IMHO ein Schutzargument und ein fadenscheiniger Rechtfertigungs- versuch fuer das Durchfuehren und Versenden dieser Spielchen... Fuer so etwas habe ich kein Verstaendnis. Wenn man das Argument naemlich konsequent verfolgt, dann kann man auch sagen, jeder Spammer ist ja nur da, den schnarchenden Admins mal zu zeigen, dass ihre offenen Relays mal abgeschaltet gehoeren. Ist im Prin- zip das Gleiche. Oder man versende nur noch Mails mit boesem Javascript Inhalt, um den Programmierern einiger MUAs mal zu zeigen, wie dumm manche ihrer Software ist. Ist dann im Prinzip auch ein Druckmittel, nur geht es auf Kosten der Anwender. Ne, fuer solche Sachen habe ich ehrlich gesagt kein Verstaendnis, irgendwo muss man mal eine Grenze ziehen. Man kann nicht jede Massnahme mit einem gut gemeinten Hintergrund rechtfertigen.

Übrigens: Herumfummelnde Provider sind der Grund dafür, daß ich meine Mails signiere. Sobald mein Provider auch nur ein Bit an meiner Post kippelt, wasch ich ihm den Kopf.

Um das geht es hier nicht. Der Provider oder Betreiber hat die Mails ja nicht geaendert, diese Diskussion hier fortzufuehren waere sinnlos. Das wurde auf suse-etikette lange genug gemacht. Alles natuerlich meine persoenliche Meinung... Gruesse, Thomson

Joerg Rossdeutscher schrieb:

[...] Spammen richtet Schaden an, das ist nicht das gleiche. Vergleichbar wäre es, den entsprechenden Server mal 'n bisschen anzuwärmen, indem man ihn bei Blacklists für offene Relais anschwärzt. DEr dadurch entstehende Schaden ist "angemessen", "verdient", oder wie man's nennen mag.

Fuer mich sieht das so aus, als ob hier mal wieder ein Kampf gegen eine Unsitte (falsche Virenscanner) auf Kosten der Anwender ausgefuehrt wird, wenn man solche Viren-Fakes verschickt. Insofern habe ich Schaden da- von, denn ich kann am Einsatz des Scanners im Rechen- zentrum hier (andere Baustelle, Du weisst ja, da ist die Mailserver-Abteilung dran) nichts aendern. Ein korrektes Vorgehen waere IMHO, eine Mail an den Post- master zu schicken, wenn Mails aufgrund falscher Vi- renwarnungen oder Bose-Worte-Filter abgelehnt werden. So wie ich Schaden habe, dass ich Spam-Emails bekomme, genau so habe ich einen potentiellen Schaden, wenn ich durch Viren-Fakes Emails nicht bekomme - ich kann an beiden Dingen nichts aendern, um im zweiten Falle ist ja reiner Sarkasmus des Senders daran Schuld. In mei- nen Augen ein seeeehr zweifelhaftes Vorgehen. Ich glau- be ehrlich gesagt auch nicht, dass die meisten Sender solche Gedanken haben wie Du; ich denke vielmehr, dass Martin da Recht hat und es aus reiner Schadenfreude ge- macht wird.

[...] Da war ich wohl schneller mit dem Denken als mit dem Schreiben. Gemeint war: Inzwischen wird vermehrt Antiviren-Software auf Mailserver aufgespielt. Ich möchte nicht, daß ein Virenscanner an meinem Mails rumfummelt. Das gleiche gilt für böse-Worte-Filter und dergleichen.

Von Boese-Worte-Filter halte ich rein gar nichts. Viren- scanner haben sicher ihre Daseinsberechtigung, und es waere ja durchaus moeglich, dass Du Viren verschickst, das kann der Scanner ja nicht vorher wissen. Virenscan- ner veraendern ja auch nicht den Inhalt Deiner Mail, ausser evtl. das Entfernen gefaehrlicher Anhaenge - dafuer wurden sie aber ja konzipiert. Ich sehe da also keinen wirklichen Zusammenhang zwischen Virenscannern und dem Rumfummeln an Mails und dem daraus resultieren- den Schluss zum Signieren. Gruesse, Thomson

Martin Falley wrote:

Joerg Rossdeutscher schrieb am Monday, June 09, 2003 9:22 PM:

...

Übrigens: Herumfummelnde Provider sind der Grund dafür, daß ich meine Mails signiere. Sobald mein Provider auch nur ein Bit an meiner Post kippelt, wasch ich ihm den Kopf.

Wann hast Du denn das letzte mal festgestellt, daß Dein Provider an Deinen Bits dreht und ihm dafür den Kopf gewaschen? Und vor Allem, wie willst Du das feststellen, wenn Du jede Mail signierst?

*ey* ... in dem er sie signiert? micha

Moin, Am Mon, 2003-06-09 um 21.56 schrieb Martin Falley:

Joerg Rossdeutscher schrieb am Monday, June 09, 2003 9:22 PM:

...

vollstes Verständnis für den Versender solcher Signaturen. Es ist das einzige Druckmittel, daß Netzuser haben auf Scharchmins, die ihren Schrott nicht upgedatet kriegen.

Nicht jedes Update und nicht jeder Patch sind sinnvoll und notwendig oder richtig. Mitunter fängt man sich mit solchen Geschichten auch mal Sachen ein, die man gar nicht wollte.

Das juckt mich gar nicht. :-) Das ist lediglich ein weiteres Signal an Hersteller, "Upgrade" und "Bugfix" auseinanderzuhalten, und wenn die das nicht gebacken kriegen, den Hersteller der Software zu wechseln. Suse macht es vor: Wenn in einem Programm ein Exploit auftaucht, wird er in der _alten_ Version gefixed und neu compiliert - und wenn es 10 neue Versionen mit coolen Features gibt, es wird trotzdem die alte Version veröffentlicht. So isses richtig. (Und die User jammern.... will mir nicht in den Kopf...) Es gibt also keinen Grund mehr dafür, daß in einem Virenscanner keine Abfrage auf diese bekannte Fehlerkennung ist. Was ist beispielsweise, wenn wir in einer ML über Virencheck diskutieren und meine Mails kommen beim Empfänger nicht an, weil dessen Scanner Mails aussortiert, in denen "I love you" drinsteht? Wäre unschön. Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/

Moin, Am Mon, 2003-06-09 um 22.53 schrieb Martin Falley:

Joerg Rossdeutscher schrieb am Monday, June 09, 2003 10:38 PM:

...

Was ist beispielsweise, wenn wir in einer ML über Virencheck diskutieren und meine Mails kommen beim Empfänger nicht an, weil dessen Scanner Mails aussortiert, in denen "I love you" drinsteht? Wäre unschön.

Das ist ein Fehler, aber den sollten die Admins der betreffenden Server ausbaden müssen und nicht die User. Wenn dann noch bestimmte User meinen, besonders zu diesem Chaos beitragen zu müssen, indem sie Fake-Viren versenden, ist das noch weniger witzig.

Dieses Chaos hat seinen Grund nicht in den gefakten Viren und Würmern, sondern in den echten. Den initialen Verursachern (Vertreiber _und_ User scriptausführender MUAs) hat man nun wahrlich lange genug Zeit gelassen, ihr Produkt in Ordnung zu bringen bzw. sich andere zu suchen. Das sind keine Probleme von letzter Woche. Die Konsequenzen dieser Programme betreffen uns alle, siehe Mail von Kristian: Bei *mir* bimmelt nämlich das Telefon, und eine vierfarbfähnchen-schwenkende Admin-Imitation bezichtigt uns, Viren zu verschicken, "...und deswegen stürzt jedesmal bei uns der Mailserver ab!" Erstens: Der Account besteht seit einem Jahr nicht mehr, kann also nix verschicken. Zweitens: Wir verwenden kein Windows und kein Outlook, verschicken also keine Viren. Jedenfalls ganu sicher nicht via vbs. Drittens: Bitte Mailheader richtig lesen, meine Kiste ist dicht, von der kommt das bestimmt nicht... Viertens: Das ist ein Wurm, kein Virus. Fünftens: http://www.kreisvolkshochschule.de/EDV/einsteiger 1). Guten Tag, und bitte Mailserver rebooten. Danke. Und sowas stiehlt meine Zeit. Spontane Selbstentzündung könnte eine Lösung sein. Nachdem dieses Problem über eine so lange Zeit nicht gefixt ist, halte ich es für gerechtfertigt, die Verursacher mal etwas vors Schienbein zu treten. Und ja, Verursacher sind auch diejenigen, die den Mist dann noch benutzen, trotz bekanntermaßen defekter Bremse, sozusagen. Dafür dürfen sie sich Mitverantwortung zurechnen. Bei institutioneller Benutzungspflicht gilt dann eben Sippenhaft. Warum sollte unsereins sich weiter ärgern lassen? Nein, Martin, das richtet sich sicherlich nicht gegen dich, aber das ist es einfach, was dabei rauskommt. "Was lange gärt, wird endlich Wut." Oder so. Gruß, Ratti 1) Nein, den Link gibt es so nicht. -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/

Am Mit, 2003-06-11 um 00.39 schrieb Martin Falley:

Joerg Rossdeutscher schrieb am Tuesday, June 10, 2003 9:24 PM:

Wie Du weißt, fahre ich hier mehrspurig (Lin/Win/Mac/Sun) und benutze zum Mailen immernoch mein Outlook,

Ich weiss, habe ich sofort am Kammquoting erkannt. ;-)

...

Die Konsequenzen dieser Programme betreffen uns alle, siehe Mail von Kristian: Bei *mir* bimmelt nämlich das Telefon, und eine vierfarbfähnchen-schwenkende Admin-Imitation bezichtigt uns, Viren zu verschicken, "...und deswegen stürzt jedesmal bei uns der Mailserver ab!"

Hä? Wieso stürzt ein Mailserver wegen eines Fakes ab? Oder habe ich das falsch verstanden? Die Mail von Kristian existiert bei mir nicht mehr und im Archiv nachzusehen, bin ich zu faul. ;)

Oh, das hätte ich wohl deutlicher sagen sollen... Das war ein Anruf auf meiner Arbeitsstelle von einem "Admin" einer anderen Firma: Wir verschicken Viren, und da bricht jedesmal sein Mailserver zusammen (Geiles Schutzprogramm... :-) ). Ich hatte dann eine kleine "Diskussion"... Das war nur eines der amüsanteren Beispiele, daß man auch als nicht-Outlooker letztlich immer wieder unter Outlook zu leiden hat, weil man Empfänger irgendwelcher Würmer ist (Die nix anrichten, aber nerven), oder weil man bei einem Wurmverschickenden Outlooker im Adressbuch steht und anderswo als Absender in den Mailheader reingefaked wird, und so weiter und so fort... Ich denke daher einfach, daß Outlook-User da nicht motzen sollten, wenn man sich mal ein bisschen revanchiert. Mach mal einem Computer-unbedarften Kunden klar, daß die Mail, die gerade seinen Rechner entleert hat, nicht von dir war, obwohl dein Name drüberstand. Arglgngngn... Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/

Hallo Moin, * "Martin Falley" :

Hä? Wo produziere ich Kammquoting? Normalerweise läuft hier ein Tool mit, das das automatisch verhindern soll und auch verhindert.

Offensichtlich musst Du an Morver o.ä. noch feilen. ;) ,---- | | Message-ID: | | > Am Mon, 2003-06-09 um 22.53 schrieb Martin Falley: | >> Joerg Rossdeutscher schrieb am Monday, June 09, 2003 10:38 PM: | [...] | >> Das ist ein Fehler, aber den sollten die Admins der betreffenden | >> Server ausbaden müssen und nicht die User. Wenn dann noch bestimmte | >> User meinen, besonders zu diesem Chaos beitragen zu müssen, indem | sie | >> Fake-Viren versenden, ist das noch weniger witzig. | > | > Dieses Chaos hat seinen Grund nicht in den gefakten Viren und | Würmern, | > sondern in den echten. `---- Ist aber nicht schlimm, da einige Mailreader Kammquoing und TOFU idR beim Betrachten und Beantworten korrigieren können: ,---- C-h k W k | | W k runs `gnus-article-outlook-deuglify-article' | | `gnus-article-outlook-deuglify-article' is an interactive autoloaded | Lisp function | -- autoloads from "deuglify" | | Documentation: | Deuglify broken Outlook (Express) articles and redisplay. `---- Das ist wie bei der "begin "-Geschichte und dem Virenscanner: In andere Produkte aus dem Umfeld, in dem auch Outlook arbeitet, wird Arbeit gesteckt, um die OE-Fehler auszubügeln. Microsoft als Hersteller tut's ja nicht. Warum sollten sie auch: Die Leute nutzen den Kram ja trotzdem massenweise, obwohl es auch unter Windows genug Mailreader-Alternativen gibt. :-/ Gruss, Andreas

* Am Don, 12 Jun 2003 schrieb Martin Falley:

P.S.: Mach' mal was mit Deiner FROM-Zeile. Da steht immer noch nicht Dein hier gern gesehener Realname drin.

Bekomme ich andere Mails als Du, bei mir steht da glasklar From: Andreas Kneib Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen

Hallo, On Thu, 12 Jun 2003, Martin Falley wrote:

aporia@web.de schrieb am Thursday, June 12, 2003 8:50 AM: [..] P.S.: Mach' mal was mit Deiner FROM-Zeile. Da steht immer noch nicht Dein hier gern gesehener Realname drin.

Nope. Da steht vollkommen korrekt und normal und standardkonform folgendes (und wird u.a. von mutt auch perfekt interpretiert): ==== From: Andreas Kneib ==== Da murkst offensichtlich mal wieder dein "LookOUT!!!" rum... Nicht Andreas muss also was machen, sondern du. *hehe* -dnh -- Windows has detected that a gnat has farted near your computer. Press any key to reboot. [Simon Oke in the SDM]

* "Martin Falley" : Moinmoin,

aporia@web.de schrieb am Thursday, June 12, 2003 8:50 AM:

...

Offensichtlich musst Du an Morver o.ä. noch feilen. ;)

Uff, das kannte ich noch gar nicht, habs mir aber gleich mal angesehen und für zu aufwändig befunden. Bin aber noch nicht fertig damit.

Ich kenne ein paar Leute, die mit der Kombination Hamster/KorrNews/CopyIf/Morver sehr glücklich sind. Obwohl ich da lieber _einen_ funkionierenden Reader bevorzugen würde. ;)

Muß ich mir das irgendwo suchen und reinziehen?

(X)Emacs/Gnus. ;) [andreas]~/.xemacs > du -h gnus-manual.txt 732k gnus-manual.txt Ist schon ein bissle Lesestoff.

P.S.: Mach' mal was mit Deiner FROM-Zeile. Da steht immer noch nicht Dein hier gern gesehener Realname drin.

Ja, das wär ein Hammer, wo ausgerechnet _ich_ in Listen und Newsgroups die Pseudonymen und Namenlosen rausfiltere. So frei nach dem Moto: Ich bin schizo, in mir zieht's so. Sollte aber alles richtig gefromt und vernamed sein. :) Gruss, Andreas -- "Das Proggie funzt kewl" Freie Babysprache fuer den User! Klickibunti in die Koepfe!

Moin, Am Mon, 2003-06-09 um 22.36 schrieb Adalbert Michelic:

Tja, da gibts aber noch einen zweiten Punkt, und zwar aus Sicht der Hersteller der Virenscanner: Nachdem Outlook und Konsorten (Evolution, etc.) ja leider aus jedem begin bla.fasel ... end Block ein Attachment machen, muß das ja leider gescannt werden, ansonsten kann man ja eigentlich genau das Zielpublikum nicht bedienen.

Und ein Programm, das in der Lage ist, heuristisch Viren zu entdecken, hat keine Blacklist für false positives? Was zahlt man denn so für eine grafische Version von /begin(.*?)iloveyou(.*?)end/is ? Nix für ungut. :-))) Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/

Moin, * Joerg Rossdeutscher :

Und ein Programm, das in der Lage ist, heuristisch Viren zu entdecken, hat keine Blacklist für false positives?

Dürfte schwierig werden. Wie soll ein Programm diesen Mailtext... ,----[ Scriptcode: wscript.echo "VIRUSALARM" ] | begin blahblah.vbs | ;=W-C

Hallo, * David Haller :

Hallo,

On Mon, 09 Jun 2003, Andreas Kneib wrote: [..]

...

Dürfte schwierig werden. Wie soll ein Programm diesen Mailtext... [..] ...unterscheiden? :)

So wie es win.exe von $virus.pif unterscheidet. Ausserdem kann man das base64 auch dekodieren und dann analysieren...

Eben. Man _kann_ nicht. Man _muss_, wenn man will. Gruss, Andreas

Moinmoin, * Joerg Rossdeutscher :

Nein, ganz im Ernst: Bei uns im Betrieb gibt es auch ein paar Windowsrechner. Bei der Einrichtung fliegen Outlook und IE runter und werden ersetzt durch Mozilla und Eudora. Bei Eudora muß man noch einstellen, daß es eben nicht den MS-HTML-Viewer verwendet, und gut ist. Sooo schwer ist es doch gar nicht.

Nein, es ist nicht schwer. Deshalb kommt mir auch jedes Mal die Galle hoch, wenn wieder die verwurmte Mail eines Outlookers durch sein blindes Fenster in meinen Spam-Folder segelt. Das letzte Mal brachte so eine Mail gleich Teile ihrer heimischen Festplatte mit. Sprich das Bewerbungsschreiben und den Lebenslauf einer wissenschaftlichen Assistentin, von ihrem zukünftigen Arbeitgeber in "Eigene Dateien" abgelegt. Ich habe die junge Dame angerufen (Anschrift/Telefon lag ja dem Wurm bei) und ihr erklärt, dass ihre Gehaltsvorstellungen samt Vita und Qualifikationen gerade über den halben Erdball verteilt werden...

(Man könnte an dieser Stelle viel Diskutieren. Zum Beispiel, was ein .vbs überhaupt in einer Mail zu suchen hat, und ob man es nicht ganz löscht.

Ich hatte hier mal so ein VBS-Schnippsel rumliegen, der beim tumben Draufklicken den Rechner des tumben Draufklickers runterfährt. Das scheint Sinn zu machen. ;) Gruss, Andreas -- Mit den Mengen an TOFU, die in dcoulm anfallen, koennte man vermutlich die gesamte Weltbevoelkerung auf Jahre hinaus ernaehren ... -- Juergen Ilse in de.comp.os.unix.linux.misc

* On Tue, 10 Jun 2003 at 9:19 +0200, Andreas Kneib wrote:

* Adalbert Michelic :

...

Tja, da gibts aber noch einen zweiten Punkt, und zwar aus Sicht der Hersteller der Virenscanner: Nachdem Outlook und Konsorten (Evolution, etc.) ja leider aus jedem begin bla.fasel ... end Block ein Attachment machen, muß das ja leider gescannt werden, ansonsten kann man ja eigentlich genau das Zielpublikum nicht bedienen. Ein Virenscanner, der diesen Block nicht scannt, würde ja sonst einen Virus frei Haus an Outlook liefern.

Aber nicht doch. :)

Der Virenscanner liefert gar nichts frei Haus, wenn sich ein kaputter Mailreader aus diesem _Text_...

begin smiley.html G/&AT;6P^/&)O9'D^/&@Q/CHI/"]H,3X\+VAT;6P^/"]B;V1Y/@H* ` end

... selber eine "funktionierende" _Datei_ bastelt.

Das, was der Scanner machen soll, ist, für den Client gefährliche Inhalte von ebendiesem fernhalten. Und dazu _muss_ er eben diesen Textblock angreifen, weil er sonst genau das Zielpublikum - das, so ziehe ichs mir mal aus der Nase, zu über 90% aus Outlook-Anwendern besteht - eben nicht "beschützen" kann.

Selbst wenn es sich dabei nicht um .html sondern .vbs handelt. Das abzustellen ist die Aufgabe des Herstellers des Mailers. Wo soll das sonst noch enden?

Du sagst es. Der Scanner kann das nicht abstellen. Das muß der Hersteller des Mailers machen. Solange Mailer das machen, muß auch der Scanner das berücksichtigen, ansonsten ist noch sinnbefreiter, als er jetzt schon ist.

Heute ist es "begin ", morgen vielleicht das Wort "und ", das dem Großkonzern nicht passt, und das wir gefälligst nicht zu benutzen haben. [1]

Vor MIME hat man Attachments eben so verschickt, manche machen das auch heute noch so (ließ mal die Liste genauer - jedesmal, wenn die Frage auftaucht, wie man eine Mail mit Attachment per Skript verschickt, kommt so ein Tip). Daß das clientseitig noch unterstützt ist - such Dirs aus - dämlich, dinosauriermäßig, $WHATEVER. Es ist nur leider nicht so aus der Luft gegriffen, wie es scheint. Ja, es gehört eliminiert. Und zwar in den MUAs - nicht in Virenscannern. Aber es wird ja das Gegenteil gemacht. Schau Dir Evolution an, das ist mittlerweile genauso dämlich wie Outlook. Ein VBS-Interpreter fehlt noch, aber der kommt bestimmt bald. Das dauert nimmer lang. PS: Meine persönliche Meinung zum Thema Virenscanner, Viren in Mails und Sinnhaftigkeit derer aller verkneife ich mir hier; die ist nicht gesellschaftstauglich. /apm -- GPG welcome, request public key: mailto:adalbert+key@lopez.at

thertw@rz.uni-karlsruhe.de schrieb am :

Subject: Re: Schweinkram in der Liste

Florian Gross schrieb:

...

[...] Was passiert bei ILOVEYOU?

[...]

zustellbar waren, genau wegen dem Problem. Der Absender der Mails ist mir bekannt, aber er laesst von diesen zwei- felhaften Spaessen nicht ab, obwohl ich schon mal darauf hingewiesen habe.

CU, Thomson

Hi Thomas Du wirst Die Leute nicht andern. Diese Kiddies halten sich fur was besonders Schlaues, wenn sie Fake-Viren versenden und freuen sich schelmisch, wenn wieder einmal ein Viren- scanner oder gleich der ganze Mailer darauf angesprungen ist. Ich denke immer, da? die Leute, die es betrifft, nicht so sehr sozial (gemeinschaftlich), sondern eher als asozial (der Gemeinschaft entgegenwirkend) einzustufen sind. Gru? Martin

Ich brauche keine Privatkopie von Listenmails, ich lese diese Liste mit. Ich dachte immer, mutt sei so ein toller MUA mit einem List-Reply - dann soll- te man es auch nutzen! Kristian Koehntopp wrote:

[...] Ein Mailvirenscanner ist konstruktionsbedingt buggy und Schlangenöl. Er bekommt nur die Hälfte mit und ist zum Beispiel machtlos, wenn es um ZIPs mit einem Kennwort, PGP-verschlüsselte Nachrichten und anderes Zeugs geht. Damit kann er genau das nicht erreichen, wofür er angeblich installiert worden ist: Das Netz hinter dem Scanner vor Infektionen schützen.

So ein Scanner arbeitet logischerweise nicht 100% zuverlaessig. Die Frage ist aber, ob man deswegen darauf verzichten kann oder will oder soll. Ich bin kein Befuerworter solcher Filter oder Scanner, aber kann es durchaus verstehen: wenn auch nur einige Viren abgefangen werden, so hat das Ganze fuer eine Firma o.ae. schon seinen Sinn erfuellt. Da spielt es keine Rolle, ob manche Nachrichten verschluesselt sind oder nicht (was wohl eher aus- zuschliessen ist bei einer Firma) oder ob ZIPs ein Passwort tragen oder nicht. Ausserdem, Du kannst Dich da gerne mal schlau machen, kenne ich einige Firmen, da ist der Admin gegen den Einsatz solcher Dinge, hat aber gegen die Firmenleitung keine Wahl. Und, nein, er wird deswegen nicht seinen Job wech- seln, den Jobs sind heutzutage nicht gerade wie Sand am Meer verfuegbar.

Der Anwender - alle Anwender hinter dem Mailscanner! - brauchen dennoch einen lokalen Virenscanner auf ihrem System, der sie vor dem Kram schützt, den der Mailscanner zwangsläufig durchläßt. Der Mailscanner erspart einem damit genau gar keine Arbeit und wird außerdem zu einem Privacy-Problem und einem Kommunikationsrisiko.

Warum das ein Privacy-Problem ist, verstehe ich nicht. Deine Mail wird nicht veraendert, sie wird auch nicht inhaltlich ausgewertet und bewertet. Sie wird nur auf Viren geprueft (was natuerlich auch eine Auswertung des Inhalts ist, aber IMHO eine unbedenkliche im Gegensatz zu manchen anderen).

[...] Nein, danke. Meiner persönlichen Meinung nach gehören Mailvirenscanner in den Kopf geschossen, und deren Admins gleich dazu, falls es sich um die Sorte Scanner handelt, die nette Warnmails versenden. [...]

Ich glaube, auf diesem Niveau diskutiere ich nicht. Wenn Du Leuten in den Kopf schiessen moechtest, dann mache das bitte woanderst. Danke. CU, Thomson -- Thomas Hertweck, Geophysicist Geophysical Institute, Karlsruhe University (TH)

Kristian Koehntopp schrieb:

[...] Sie wird aufgrund nicht nachzuvollziehender, sich spontan ändernder Kriterien ("Messages containing the letter 'P'") in ein Quantäneverzeichnis kopiert, nicht zugestellt und dann von einer dazu nicht berechtigten Person gelesen. Darum ist zum legalen Betrieb eines solchen Scanners ja auch eine Betriebsvereinbarung zwingend notwendig.

Na, das ist aber schon arg gekuenstelt :-) Ich denke, man muss da schon ein bissl bei der Realitaet bleiben - nach dem Buchstaben "P" wird wohl kaum jemand einen Virenscan- ner arbeiten lassen. Wenn die Mail bounced, wird sie ab- gelehnt, aber auch nicht von einer Person gelesen, ausser vom urspruenglichen Autor und der darf das. Mal davon ab- gesehen, dass Systemverwalter i.d.R. alle unverschluessel- ten Mails lesen koennten, so sie es darauf anlegen. Dass es unschoen ist, da stimme ich voll mit Dir ueberein, und dass viele Scanner buggy sind, ebenfalls. Ueber den Sinn des Einsatzes solcher Virenscanner kann man sicher strei- ten, ich habe aber bei vielen Gespraechen schon erfahren, dass es sich bei Firmen wohl doch lohnt, sowohl fuer ein- als auch ausgehene Emails. Ich denke aber um so mehr, dass das Verschicken von Viren-Fakes eine Unsitte ist und einem recht zweifelhaften Humorempfinden entspringt. Gruesse, Thomson PS: Bitte bitte keine Kopie der Mail an mich! Ich erhalte auch so schon genug Mails den Tag ueber :-)

Adalbert Michelic schrieb:

* On Tue, 10 Jun 2003 at 18:54 +0200, Thomas Hertweck wrote:

...

Kristian Koehntopp schrieb:

...

[...] Sie wird aufgrund nicht nachzuvollziehender, sich spontan ändernder Kriterien ("Messages containing the letter 'P'") in ein Quantäneverzeichnis kopiert, nicht zugestellt und dann von einer dazu nicht berechtigten Person gelesen. Darum ist zum legalen Betrieb eines solchen Scanners ja auch eine Betriebsvereinbarung zwingend notwendig.

Na, das ist aber schon arg gekuenstelt :-)

Leider nein.

...

Ich denke, man muss da schon ein bissl bei der Realitaet bleiben - nach dem Buchstaben "P" wird wohl kaum jemand einen Virenscan- ner arbeiten lassen.

http://www.google.com/search?q=trend+micro+p

Ja, und? Das war ein Bug in der Software und wurde behoben, es war ja keine Absicht: The "p" protection was the result of a bug accidentally introduced to eManager in an update to the product's antispam feature. Das Beispiel geht also IMHO an der Diskussion hier vorbei. Wenn wir naemlich an- fangen, saemtliche Bugs in saemtlicher Software, die so im Einsatz ist, hier zu beherzigen, dann wird das eine seeeehr lange Diskussion :-) Gruesse, Thomson

On Tue, Jun 10, 2003 at 06:54:49PM +0200, Thomas Hertweck wrote:

Kristian Koehntopp schrieb:

...

[...] Sie wird aufgrund nicht nachzuvollziehender, sich spontan ändernder Kriterien ("Messages containing the letter 'P'") in ein Quantäneverzeichnis kopiert, nicht zugestellt und dann von einer dazu nicht berechtigten Person gelesen. Darum ist zum legalen Betrieb eines solchen Scanners ja auch eine Betriebsvereinbarung zwingend notwendig.

Na, das ist aber schon arg gekuenstelt :-) Ich denke, man muss da schon ein bissl bei der Realitaet bleiben - nach dem Buchstaben "P" wird wohl kaum jemand einen Virenscan- ner arbeiten lassen.

http://slashdot.org/article.pl?sid=03/05/23/0521222&mode=nested&tid=126&tid=128 "Trend Micro quarantines the letter 'P'" Kristian

Hallo, On Tue, 10 Jun 2003, Kristian Koehntopp wrote:

On Mon, Jun 09, 2003 at 08:02:50PM +0200, Thomas Hertweck wrote:

...

Man sollte vielleicht auch mal be- denken, dass nicht jeder Subscriber hier Einfluss auf Vi- renscanner unterwegs hat - dass solche Virenscanner buggy sind, wenn sie auf Signaturviren hereinfallen, steht ausser Frage.

Dazu von mir nur soviel: Im grossen und ganzen bin ich der Meinung von Kris. Wenn ein Scanner wg. einer plain-text(!) sig(!): b*gin 666 magritte.txt.vbs Ceci n'est pas un attachement end (mit 'e' statt dem '*') anspringt und das fuer einen Virus haelt, also ich bitte dich! Das ist doch einfach nur laecherlich, krank und scheisse. Darf ich jetzt wegen diesem Schrott nicht mal mehr in einer Mail 'begin' am Zeilenanfang schreiben??? Oder einen Anhang mit base64 codieren? Da sag ich nur: FUCK OFF AND DIE! [2] Gab es denn mal Viren mit < 320 Byte? In den letzten 10 Jahren?

Ein Mailvirenscanner ist konstruktionsbedingt buggy und Schlangenöl.

Nicht per se. Allerdings filtere ich meine Mails nicht durch nen Scanner, aber was hier allein an So(r)big Varianten aufschlaegt (alle 2 Tage einer) ist unschoen. Da will man diese Mails dann doch mal per Hand an AntiVir verfuettern um zu sehen, was das denn jetzt schon wieder fuer ein Virus ist ;) In meinem "Archiv" (die meisten So(r)big's landen inzwischen nur noch unbesehen im spam-folder[1]) finden sich inzwischen: < Contains signature of the VBS script virus VBS/LoveLetter.D < Contains signature of the worm Worm/BugBear.1 < Contains signature of the worm Worm/Gibe.B.3 < Contains signature of the worm Worm/Klez.E < Contains signature of the worm Worm/Sobig.B < Contains signature of the worm Worm/Sorbig.A Das sieht fuer mich doch sehr langweilig aus. V.a. wenn man betrachen wuerde wann diese Viren jew. eingetroffen sind. Apropos: Von LoveLetter hab ich mir dann irgendwann mal den Quelltext besorgt, das ist sowas von laecherlichem VBS... Und die meisten 5k1p7-k1ddyz bekommen ja nicht mal sowas hin, sondern klicken sich das im Baukasten zusammen... Wann gab's den letzten "originellen" Virus? IIRC muesste das vor CIH gewesen sein, und das ist, aeh, wie lange her? *gah*! Ich werd schon fast nostalgisch bzgl. meiner Viren-verseuchten Amiga-Disketten... [..]

Der Anwender - alle Anwender hinter dem Mailscanner! - brauchen dennoch einen lokalen Virenscanner auf ihrem System, der sie vor dem Kram schützt, den der Mailscanner zwangsläufig durchläßt.

ACK. [..]

Nein, danke. Meiner persönlichen Meinung nach gehören Mailvirenscanner in den Kopf geschossen, und deren Admins gleich dazu,

NACK. V.a.: wo ist bei einer SW der Kopf, in den man schiessen koennte? Nein, die Programmierer von so'ner Scheisse gehoeren gelartet. Und die Leut's, die sowas blind einsetzen, das Teil dann nicht richtig konfigurieren und unschuldige Leuts wie dich und mich belaestigen... Wo gab's den schwarzen taktischen Kleinbus nochmal guenstig zu mieten? Jedenfalls: die Idee, Viren (soweit erkennbar) schon auf dem MTA-Host auszusortieren ist per se nicht schlecht. Dann haben die Scanner auf den MUA-Hosts weniger zu tun... ;)

Zum Thema Wortfilter? Davon fange ich besser gar nicht an [..]

Hab ich jetzt noch nicht angeschaut. Aber das was man hier immer wieder an bounces bekommt, weil $USER via $IDIOTENISP mit $WORTFILTER subscribed ist, nur weil man z.B. mal schreibt, dass solch scheiss SW Schlangenoel und grober Unfug ist, das ist fuer mich hier meist doch eher amuesant. -dnh, patting his sigmonster [1] da durch spamassassin ausgefiltert... [2] nicht zu dir, latuernich, sondern zu all denen, die solche Mist-^WScheiss-^W beschissenen Filter schreiben und verwenden. Mal sehen, wo das wieder ueberall in $FILTER haengenbleibt... -- Don't Panic

Hallo, On Tue, 10 Jun 2003, Andreas Kneib wrote:

* David Haller :

...

*gah*! Ich werd schon fast nostalgisch bzgl. meiner Viren-verseuchten Amiga-Disketten...

ByteBandit :)

Sacht mir (fast) nix -> PM? Damals[tm][1] war _ich_ der Newbie ;)) Ich habe damals nur von $IRGENDWO[tm] Disketten "bekommen", wo eben gerne auch mal ein Virus mit dabei war... Gestoert hat mich das aber eh nur, wenn deswegen dann "Guru Meditation"s ausgeloest wurden oder das Spiel nicht mehr richtig lief... *hach* Allein diese Meldung ;)) Naja, ich habe dann aber doch relativ bald auch ab und an mal den µEmacs und AmigaBasic verwendet ;) /me hat sich damals den Luxus geleistet, das RAM von .5 auf 1 MB zu verdoppeln... Und heut hab ich 320 MB in der Kiste *g*... Und ja, ich bereue es inzwischen, meine "Freundin" hergegeben zu haben... *seufz* Die Spiele heute sind uebrigens nur von der Grafik her schicker, das Spiel selbst ist meist nur ein mehr oder weniger mueder Abklatsch der alten Ideen... MI, Lemmings, RR-Tycoon, EOB[2], Kick Off... Oder dann auf DOS: M&M (EOB Ersatz), Descent [3], Civilization...

Jo, langlang ist's her...

Och, soooo alt fuehl ich mich noch gar nicht ;) -dnh [1] Anfang der 90er, IIRC [2] Das suche ich uebrigens "verzeifelt"... [3] ja, ich kenn d1x, das laeuft praechtig[4], mir ist nur leider grad der (neue!) Joystick verreckt *ARGH* [4] und das hab ich mir sogar schon "passend" gehackt, ich habe diese niedrigen Limits fuer die "Missiles" schon immer gehasst ;) OpenSource is geil ;) -- "Powered-up hardware and sweat do not mix." -- Simon Cozens

Andreas Kneib wrote: [...] Ich mache hier alles "sidewide" über die /etc/mails/spamassassin/local.cf. ----------------------------------- required_hits 5.1 rewrite_subject 0 spam_level_stars 0 report_safe 0 bayes_path /etc/mail/spamassassin/bay/bayes score RAZOR_CHECK 0 score RCVD_IN_ORBS 0 use_terse_report 1 auto_learn_threshold_spam 7.0 ok_languages de en ok_locales en whitelist_to spamassassin-talk@lists.sourceforge.net whitelist_from *@ssl.berkeley.edu #deutsche Phrasen rawbody GERMAN_PORN_1 /(vernaschen|geil|schatz|single|dates|livechat|kuss|fick|amateur|kostenlos|treff|privat|erotik|flirt|anonym|0190|hack|dialer|invest|cash|webcam|girls)/ describe GERMAN_PORN_1 words and phrases indicating German porn (1) score GERMAN_PORN_1 1.8 ------------------------------------- Wie ruft ihr spamassassin auf? Die Bayesfiles werden default unter ~/.spamassassin gesucht für die User-ID, die spamassassin startet oder via spamc auf spamd zugreift. MfG Benn -- #250319 - http://counter.li.org

On Sat, 7 Jun 2003, Bernd Schmelter wrote: Hi,

Wie ruft ihr spamassassin auf? Die Bayesfiles werden default unter ~/.spamassassin gesucht für die User-ID, die spamassassin startet oder via spamc auf spamd zugreift.

Schaltet mal das Debugging fuer spamassassin/spamd ein, bei beiden geht das mit -D. Die werden dann sehr gespraechig, und ich wuerde mal die Logfiles checken. Bei meiner Installation auf unserem Solaris-Mailserver lag es an den Permissions, die zentrale Datenbank musste fuer alle schreibbar sein. Noch was zum Lernen: Automatisch gelernt wird Spam bei Punktezahlen ueber 15 und Ham bei kleiner als -5(?). Es lohnt sich also auch noch, aussortierten Spam kleiner 15 lernen zu lassen oder "gute" Mails mit nicht so niedrigen Werten. Die Manpage sagt aber auch, dass man bei Ham vorsichtig sein soll und nicht zu wenige Mails zum Fuettern nehmen soll. Und: Was nun bei uns nahezu 100%ige Sicherheit bei der Spam-Erkennung bringt: installiert noch Net::DNS (CPAN), Razor, Pyzor und DCC. Spamassassin erkennt automatisch, wenn die Tools installiert sind und zieht die zusaetzlich zur Bewertung heran. Ok, Ihr muesst dazu online sein. http://razor.sourceforge.net/ http://pyzor.sourceforge.net/ http://www.rhyolite.com/anti-spam/dcc/ Bei etwa 50 Spams am Tag kommen bei mir vielleicht noch 3 die Woche durch, false Positives hatte ich bisher nur eine Einzige in mittlerweile einigen Monaten... Spamassassin ist genial! Viele Gruesse Dirk -- private office Schubertstr. 43 ComNets - RWTH Aachen 52080 Aachen Lehrstuhl fuer Kommunikationsnetze Phone +49 (0) 241 961180 Phone +49 (0) 241 8793779

Moin, Einleitendes postscriptum: Ich lasse über diese Mail einmal "Suchen und ersetzen rübergehen und ersetze @ durch (AT), weil unten im log ziemlich viele Mailadressen auftauchen) Am Sam, 2003-06-07 um 12.20 schrieb Bernd Schmelter:

Wie ruft ihr spamassassin auf? Die Bayesfiles werden default unter ~/.spamassassin gesucht für die User-ID, die spamassassin startet oder via spamc auf spamd zugreift.

Auf meinem lokalen Mailserver: fetchmail holt die Mails "....is ratti here" von diversen POP3's ab, schickt sie durch procmail und postfix, sodaß sie lokal liegenbleiben, und mein Rechner holt sie wiederum über pop3 ab. Spamassassin läuft auf dem Server, weil mir das Filtern sonst zu lahm ist. Die Einbindung läuft über procmail: ratti(AT)server:~> cat .procmailrc :0fw: spamassassin.lock | /usr/bin/spamassassin Ich habe sowohl als root als auch als ratti sa-learn gefüttert. spamc/spamd läuft eigentlich nicht. Durch die Einbindung per procmail entfällt auch der Zwang, irgendeinen Daemon neu zu starten... Hatte ich vergessen, extra zu erwähnen: Nichts besonderes in den Logs. Ich habe jetzt mal testweise ~/.spamassassin/bayes* auf 666 ge'chmode'ed. Isses auch nicht. So, dann hatte jemand die Idee, spamassassin im Debug-Modus laufen zu lassen. Prima Idee, hatte ich übersehen, daß es den gibt. Also, ich nehme mir eine spam-Mail, schiebe sie auf den Server und befreie sie von der bestehenden Erkennung: spamassassin -d tmp Jetzt lasse ich sie manuell durch spamassassin durchlaufen. Bei aktiviertem debugging: spamassassin -D <tmp >/dev/null debug: Score set 0 chosen. debug: running in taint mode? no debug: using "/usr/share/spamassassin" for default rules dir debug: using "/etc/mail/spamassassin" for site rules dir debug: using "/home/ratti/.spamassassin" for user state dir debug: using "/home/ratti/.spamassassin/user_prefs" for user prefs file debug: using "/home/ratti/.spamassassin" for user state dir debug: bayes: 10937 tie-ing to DB file R/O /home/ratti/.spamassassin/bayes_toks debug: bayes: 10937 tie-ing to DB file R/O /home/ratti/.spamassassin/bayes_seen debug: Score set 3 chosen. debug: Initialising learner debug: is Net::DNS::Resolver available? no debug: is DNS available? 0 debug: running header regexp tests; score so far=0 debug: running body-text per-line regexp tests; score so far=2.3 debug: Razor2 is not available debug: bayes corpus size: nspam = 519, nham = 21945 debug: tokenize: header tokens for *p = "" debug: tokenize: header tokens for *F = ""susi raab" " debug: tokenize: header tokens for To = ""hallo kunde" " debug: tokenize: header tokens for MIME-Version = "" debug: tokenize: header tokens for *c = "multipart/alternative; ----=_ NHxtPHrt _ HHH _ HHHH _ HHHHHHHH . HHHHHHHH" debug: tokenize: header tokens for X-Priority = "1" debug: tokenize: header tokens for X-MSMail-Priority = "High" debug: tokenize: header tokens for *m = "MX01 KONTENT De " debug: tokenize: header tokens for X-Evolution-Source = "pop://ratti(AT)server" debug: tokenize: header tokens for *r = " kbonet.com.br (unknown [200.207.77]) by MX01.KONTENT.De (Postfix) ; " debug: tokenize: header tokens for *r = " kbonet.com.br (unknown [200.207.77]) by MX01.KONTENT.De (Postfix) ; MX01.KONTENT.De ([81.88.34]) by mailin01.sul.t-online.com esmtp id 19LqbU-0Iqwu8C; " debug: bayes token 'und' => 0.001 debug: bayes token 'eine' => 0.001 debug: bayes token 'auf' => 0.001 debug: bayes token 'H*r:esmtp' => 0.001 debug: bayes token 'HX-Evolution-Source:pop' => 0.001 debug: bayes token 'HX-Evolution-Source:ratti(AT)server' => 0.001 debug: bayes token 'zur' => 0.001 debug: bayes token 'ziemlich' => 0.00126050420168067 debug: bayes token 'sk:1415070' => 0.00273037542662116 debug: bayes token 'Susi' => 0.00289505428226779 debug: bayes token 'untitled' => 0.0030808729139923 debug: bayes token 'multi-part' => 0.982717501708796 debug: bayes token 'H*c:HHHH' => 0.973744443378014 debug: bayes token 'MIME' => 0.970788992967483 debug: bayes token 'H*c:HHH' => 0.9700700384019 debug: bayes token 'URI' => 0.964429899184299 debug: bayes token 'format' => 0.951395702177033 debug: bayes token 'H*c:HHHHHHHH' => 0.949207317591783 debug: bayes token 'H*m:MX01' => 0.933535135163607 debug: bayes token 'Document' => 0.931508129106323 debug: bayes: score = 0.441882458599359 debug: using "/home/ratti/.spamassassin" for user state dir debug: bayes: 10937 untie-ing debug: bayes: 10937 untie-ing db_toks debug: bayes: 10937 untie-ing db_seen debug: running raw-body-text per-line regexp tests; score so far=4 debug: running uri tests; score so far=4 debug: uri tests: Done uriRE debug: running full-text regexp tests; score so far=4 debug: Current PATH is: /usr/local/bin:/usr/bin:/usr/X11R6/bin:/bin:/usr/games:. debug: DCC is not available: dccproc not found debug: Razor2 is not available debug: Pyzor is not available: pyzor not found debug: all '*From' addrs: svsjrabb(AT)kbonet.com.br debug: all '*To' addrs: ratti(AT)gesindel.de ratti(AT)localhost.server.local debug: forged_rcvd_trail: entry 0: by=server.local from=(undef) mismatches=0 debug: forged_rcvd_trail: entry 1: by=(undef) from=t-online.com mismatches=0 debug: forged_rcvd_trail: entry 2: by=t-online.com from=kontent.de mismatches=0 debug: running meta tests; score so far=4 debug: auto-learn? safety=4, ham=-2, spam=15, body-hits=1.7, head-hits=2.3 debug: auto-learn: currently using scoreset 3. recomputing score based on scoreset 1. debug: Score set 1 chosen. debug: auto-learn: original score: 4.6, recomputed score: 4.263 debug: Score set 3 chosen. debug: auto-learn? no: inside auto-learn thresholds or safety zone around required_hits debug: is spam? score=4.6 required=5 tests=HTML_50_60,HTML_FONT_BIG,LARGE_HEX,MIME_HTML_ONLY,MISSING_MIMEOLE,PRIORITY_NO_NAME,X_MSMAIL_PRIORITY_HIGH,X_PRIORITY_HIGH Da steht also eine ganze Menge Bayes-Kram drin, und es sieht so aus, als würde es prima ausgeführt. Ich hab's nochmal gemacht ohne die Umleitung nach /dev/null, und im Header steht weiterhin nur: X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp) Nicht von aktivem Bayeskrams. Hä? Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/

Am Sam, 2003-06-07 um 15.32 schrieb Bernd Schmelter:

Joerg Rossdeutscher wrote:

Du hast in Deiner local.cf - always_add_headers auf 0 gesetzt. Deshalb wird bei "Nicht-spam" auch nix angezeigt. Das heisst nicht, dass Bayes nicht arbeitet.

Ich Hirsch. Ich habe es auf 1 gesetzt, und voila, bei der nächsten Mail (war auch kein Spam): X-Spam-Status: No, hits=-5.6 required=5.0 tests=BAYES_01,FROM_ENDS_IN_NUMS,IN_REP_TO,QUOTED_EMAIL_TEXT,X_LOOP,X_MAILING_LIST version=2.55 Danke! Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/