Spam trotz gesperrtem Absender (inkl. Domain)

alphaX

Mitglied
Hi zusammen

Ich habe ein lästiges Problem, welches ich gerne gelöst bekommen hätte.

Ich verwende Outlook Office Home and Business 2016. Wie viele andere werde auch ich mit Spams zugemüllt. Da bin ich froh über die Möglichkeit, die Absender mittels E-Mail Adresse wie auch der Domain zur Liste der gesperrten Absender hinzufügen zu können.

Nun aber; wie kann es sein, dass ich von gesperrten Absendern (inkl. Domaine) dennoch immer wieder neue Spams erhalte? Wenn ich diese erneut sperren will, geht dies ja logischweise nicht mehr, da Absender wie Domain bereits zur Black-List hinzugefügt wurden.

Ich bin kein Crack uf dem PC Gebiet und kenne mich mit dem Fachchinesisch nicht aus.

Für Eure Unterstützung danke ich jetzt schon.

Beste Grüsse
Patrick
 

Gaby Salvisberg

Super-Moderator
Hallo Patrick – und willkommen im PCtipp-Forum!

Bei einer Mailübermittlung kommen etwa drei Arten von «Absendern» vor. Nämlich jener, der im Header (in den Übermittlungszeilen) in der Zeile «From:» steht, jener, der in einer Zeile wie «Envelope-from» steht und dann noch «SMTP-From», welches aber im Header nicht mehr erscheint. Ich könnte mir vorstellen, dass Outlook vielleicht die From-Angabe prüft, nicht aber das Envelope-from – oder umgekehrt.

Vergleiche einmal die Kopfzeilen zweier Exemplare. In Outlook 2016 findet sich das unter Datei/Eigenschaften.

Herzliche Grüsse
Gaby
 

alphaX

Mitglied
Hi Gaby

Danke vielmals für Deinen guten Hinweis!

Tatsächlich sind unter Internetkopfzeilen noch mir verborgene Einträge vorhanden. Bei mehreren geprüften Mails (auch mir vertraute absender) stellte ich aber fest, dass folgender immer vorhanden ist: @ mailcloud.upcmail.net
Diesen sollte ich aber besser nicht blockieren nehme ich an?

Da werde ich noch einige Arbeit vor mir haben, dies bei kommenden Mails zu prüfen.

Gruss
Patrick
 

Gaby Salvisberg

Super-Moderator
Hallo Patrick

Ja, den mailcloud.upcmail.net solltest Du glaubs behalten.

Wichtig: Die Zeilen, die mit "Received:" beginnen, enthalten nur IPs und Servernamen von Servern, die unterwegs an der Zustellung der Mail beteiligt waren. Diese bitte nicht filtern. Die können in der Regel nichts dafür, sondern tun nur ihren Job.

Outlook wird sich betreffs Junkfilter ziemlich sicher an einer der "From" Zeilen orientieren, also eine, die mit "From:" beginnt und einen Namen oder eine Mailadresse enthält oder an "Envelope-From:".

Als Beispiel ein Teil eines Headers aus dem PCtipp-Newsletter:

Code:
Received: from AMSPR02MB133.eurprd02.prod.outlook.com (10.242.93.14) by
 AMSPR02MB136.eurprd02.prod.outlook.com (10.242.93.26) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
 15.1.860.13 via Mailbox Transport; Fri, 3 Feb 2017 13:58:01 +0000
Received: from HE1PR0202CA0041.eurprd02.prod.outlook.com (10.171.89.155) by
 AMSPR02MB133.eurprd02.prod.outlook.com (10.242.93.14) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
 15.1.860.13; Fri, 3 Feb 2017 13:57:56 +0000
Received: from VE1EUR03FT038.eop-EUR03.prod.protection.outlook.com
 (2a01:111:f400:7e09::203) by HE1PR0202CA0041.outlook.office365.com
 (2603:10a6:3:e4::27) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.1.888.16 via
 Frontend Transport; Fri, 3 Feb 2017 13:57:56 +0000
Authentication-Results: spf=pass (sender IP is 136.147.185.241)
 smtp.mailfrom=bounce.digital.nmg.de; pctipp.ch; dkim=pass (signature was
 verified) header.d=mail.pctipp.ch;pctipp.ch; dmarc=bestguesspass action=none
 header.from=mail.pctipp.ch;nmgz.ch; dkim=fail (body hash did not verify)
 header.d=mail.pctipp.ch;
Received-SPF: Pass (protection.outlook.com: domain of bounce.digital.nmg.de
 designates 136.147.185.241 as permitted sender)
 receiver=protection.outlook.com; client-ip=136.147.185.241;
 helo=mta.digital.nmg.de;
Received: from mta.digital.nmg.de (136.147.185.241) by
 VE1EUR03FT038.mail.protection.outlook.com (10.152.19.112) with Microsoft SMTP
 Server id 15.1.888.7 via Frontend Transport; Fri, 3 Feb 2017 13:57:55 +0000
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=200608; d=mail.pctipp.ch;
 h=From:To:Subject:Date:List-Unsubscribe:MIME-Version:Reply-To:List-ID:Message-ID:Content-Type; i=redaktion@mail.pctipp.ch;
 bh=xp4JMx9WsWCJYTuNG3yA2kJQ/+k=;
 b=pMWdUVAh0JWBhfmSZsc8AzQOkI8/G0xF/yrvHP5R7GiRAmVfk5A70bsoww8WcYPSbvatCzdupO/R
   4qWmWUzAhnniQpLFYz6cAtCcs5nnBlhLydxanJXOnVDSH+zA/Em63Nm/0TBVfG/BYgMA34ZICE9Y
   itCVDJZGONXfeIA6tMQ=
Received: by mta.digital.nmg.de id hii668163hsg for <me@example.com>; Fri, 3 Feb 2017 13:57:55 +0000 ([COLOR="#008000"][B]envelope-from[/B][/COLOR] <eineID@bounce.digital.nmg.de>)
[COLOR="#008000"][B]From:[/B][/COLOR] "PCtipp" <redaktion@mail.pctipp.ch>
To: <me@example.com>
Subject: =?UTF-8?Q?F=C3=BCr_diese_Apps_lohnt_sich_Gear_VR_*_PCtipp_an_der_?=
 =?UTF-8?Q?M=C3=A4nnermesse?=
Date: Fri, 3 Feb 2017 07:57:55 -0600
List-Unsubscribe: <mailto:einelangeID@leave.digital.nmg.de>
MIME-Version: 1.0
Reply-To: "PCtipp" <einelangeID@mail.nmgz.ch>
List-ID: <eineID.xt.local>
X-CSA-Complaints: whitelistcomplaints@eco.de
x-job: 7230989_1832389
Message-ID: <eine@id.xt.local>
Content-Type: multipart/alternative; boundary="mGwwnYpwifFq=_?:"
Return-Path: bounce-eineID@bounce.digital.nmg.de
X-MS-Exchange-Organization-Network-Message-Id: eineID
X-EOPAttributedMessage: 0
X-EOPTenantAttributedMessage: eineID
X-MS-Exchange-Organization-MessageDirectionality: Incoming
Habe die From-Infos im Header in Grün markiert. Bei der Spam-Mail stehen die eventuell anderswo, sind doppelt vorhanden oder auch gar nicht. Wie gesagt: Mir ist nicht bekannt, ob Outlook die "From:"-Info oder das <Envelope-from> fürs Filtern verwendet.

Herzliche Grüsse
Gaby
 

alphaX

Mitglied
Doch noch Unklarheiten... :-/

Hi Gaby

Ich habe begonnen, bei den eintreffenden Spams auch die weiteren, auf den ersten Blick unsichtbaren, Adressen zu sperren.

Ich hatte nun trotzallem schon mehrere Spams, die doch nicht gefiltert wurden - obwohl diese bereits vollständig den gesperrten Absendern hinzugefügt wurden. Mein Spam Filter habe ich auf "hoch" gesetzt", was jedoch kaum Wirkung zeigt.

Als Beispiel habe ich einen Code von heute kopiert:

Code:
Return-Path: <return@srpubblicita.com>
Delivered-To: meine E-Mail Adresse
Received: from vie01a-pemc-pdcdr-pe02 ([172.31.216.1])
	by vie01a-pemc-pdcbe-pe01 (Dovecot) with LMTP id 3cKeAmDnoViPPgAAkGqH9Q
	for < meine E-Mail Adresse >; Mon, 13 Feb 2017 18:05:36 +0100
Received: from vie01a-pemc-psmtp-pe02 ([172.31.216.1])
	by vie01a-pemc-pdcdr-pe02 (Dovecot) with LMTP id SN/aJVbnoVjiTwAAG+g2MA
	; Mon, 13 Feb 2017 18:05:36 +0100
Received: from edge09.upcmail.net ([213.46.255.200])
	by vie01a-pemc-psmtp-pe02 with SMTP @ mailcloud.upcmail.net
	id kGra1u01o4LBt1901H5Nla; Mon, 13 Feb 2017 18:05:22 +0100
X-SourceIP: 213.46.255.200
Received: from mailer184.srpubblicita.com ([104.223.46.184])
	by edge09.upcmail.net with edge
	id kH5L1u0053yRvSY09H5M6W; Mon, 13 Feb 2017 18:05:22 +0100
X-Spam-Action: folder Spam
X-SourceIP: 104.223.46.184
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=default; d=srpubblicita.com;
 h=To:Subject:Message-ID:Date:From:Reply-To:MIME-Version:List-Unsubscribe:Content-Type:Content-Transfer-Encoding; i=info@srpubblicita.com;
 bh=+0AMZlUGjaOxe7SXkGw5TeJimnU=;
 b=DIzfMVqAXJdxYdKixH6lDWyF++R7ql4KXfoSUiXlhgahGgK+0vD8fSmtLe+ny1AiO8dEHLxM5FAx
   +n+vS+TwiYHfTvE3dAyoSF1nw50e+R/Mb0hWtM5hcU4N67qLHKkpyjmnNRSOQNf67bkcjwcQFmJa
   qY6vAPbhJXQc5MdSrko=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=default; d=srpubblicita.com;
 b=dYtgh4wsAMQex/Gz4lXC79F87oAJ1CFPaPDASY1hb4/6FwDhHr44AcGKyBWIDqf5TCsQI6rljbYJ
   HUXsYxO8rDKXH5oHnw59Aoz5SCMTn3Di1QQV4S14kQjuvoYU50WnIm7e4xixjOs/LZ8QJjuf9Agt
   pI5i2JqAW9/AHRqntEk=;
To: meine E-Mail Adresse
Subject: Ich muss reden (wichtig)
Message-ID: <756b72f2e73eabb4cd27fda747a7a88a@srpubblicita.com>
Return-Path: return@srpubblicita.com
Date: Mon, 13 Feb 2017 17:05:17 +0000
From: "Sarah Crawford" <info@srpubblicita.com>
Reply-To: info@srpubblicita.com
MIME-Version: 1.0
X-Mailer-LID: 53
List-Unsubscribe: <http://srpubblicita.com/ctJZU6761676_zXOG1a80197d25f1322828ee2c2e6ded071a_wBjF53_48EN416.html>
X-Mailer-RecptId: 6761676
X-Mailer-SID: 416
X-Mailer-Sent-By: 1
Precedence: bulk
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: 8bit

Weisst Du vielleicht, weshalb solche Mails bei mir dennoch eingehen?

Danke für Deine Hilfe

Gruss
Patrick
 

Gaby Salvisberg

Super-Moderator
Hallo Patrick

Hast Du denn @srpubblicita.com schon im Filter? Um die ganze Domain zu erwischen, muss man eventuell einen Stern vorne hin pappen "*@srpubblicita.com" (müsste man ausprobieren oder in den Infos des Providers/Mailprogramms nachschauen).

Wo hast Du den Filter eingetragen, im Mailprogramm oder im Webinterface? Was hast Du angegeben, was mit als Spam gekennzeichneten Mails passieren soll? Falls Du z.B. im Webinterface angegeben hast, dass diese Mails als Spam markiert werden sollen, könnte es sein, dass Du im lokalen Mailclient noch angegeben musst, dass die serverseitig als Spam gekennzeichneten Mails in den Junk-Ordner verschoben werden müssen.

Mir ist das manuelle Nachrüsten von Spamfiltern allerdings schon seit einer Weile verleidet. Ich benutze lokal Thunderbird und trainiere dessen Spamfilter, indem ich Spam als solchen (falls nicht eh schon erkannt) markiere und in einen Junk-Ordner verschieben lasse. So wird immer mehr korrekt aussortiert und lässt sich nach kurzem Überfliegen der Betreffzeilen und Absender mit Ctrl+A markieren und mit Shift+Del gleich ohne Umweg über den Papierkorb löschen.

Herzliche Grüsse
Gaby
 

alphaX

Mitglied
Hi Gaby

Ja, @srpubblicita.com habe ich bereits im Filter. Ich versuche es mal eine Zeit lang mit dem * davor.

Den Filter habe ich im Mailprogramm eingerichtet. Webinterface habe ich gegooglet, aber scheint irgendwie Fach-Chinesisch zu sein :-) Ich schaue mal noch, ob ich vom Provider weitere Informationen finde.

Danke für Deine Hilfe!

Gruss
Patrick
 
Oben