Wie Spammer SPAM-Markierung im Subject umgehen

Viele SPAM-Filter, wie beispielsweise auch der von uns eingesetzte amavisd-new mit SpamAssassin markieren SPAM-Mails häufig im Betreff. Dadurch können die verdächtigen Mails dann beispielsweise auf dem nachfolgenden Mailserver oder der Seite des Clients über Regeln in entsprechende Ordner verschoben werden. Außerdem ist eine Markierung wie ***SPAM*** im Betreff in der Mailbox auf den ersten Blick erkennbar. (Bei uns werden die meisten Mails komplett abgewiesen und nur ein kleiner, nicht eindeutiger Teil an die Anwender zugestellt.)

In unseren SPAM-Samples haben wir heute ein Beispiel entdeckt, bei dem sich der Spammer durch einen fehlerhaften E-Mail-Header dieser Markierung erfolgreich entzieht. Damit steigen natürlich die Chancen nicht in einen SPAM-Ordner sortiert und auch vom Benutzer gelesen zu werden.

Dazu wurden in der E-Mail einfach zwei To-Header gesetzt. Die erste enthält den eigentlichen Betreff, während die zweite durch den SPAM-Filter markiert wird. Das sieht dann im Header so aus:

To: ***@etes.de

Subject: RE:  Doctor Q&A  Cassie Oneil

From: ***@etes.de

MIME-Version: 1.0

Content-Type: text/html

Subject: ***SPAM***

Message-Id: <20081110113621.8CCC81C2AE9@...>

Natürlich können wir nicht sicher sagen, dass der Spammer diesen Fehler absichtlich eingebaut hat. Aber es ist durchaus anzunehmen.

SPAM-Filter sollten also so arbeiten, dass sie in diesem Fall alle Header-Zeilen mit der SPAM-Markierung versehen um durch den falschen Header kein Vorbeimogeln an der Markierung zu ermöglichen. Für amavisd-new, der in unserem Fall für die Markierung im Header zuständig ist, werden wir einen entsprechenden Bug-Report öffnen.