Spamabwehr mit Roundcube

web,mail,spam

Erstellt: 21.06.2021 Lesedauer 5 - 6 Min.

Trotz vorgeschalteter Spamfilter des Hosters schaffen es einige besonders penetrante Anbieter von Dingen, die keiner braucht, ins Postfach. Dagegen bietet „Roundcube“ ein wirksames Werkzeug: Filter.

Wer mehr als eine Abwesenheitsnotiz anlegen will, kann das „ebenda“ tun. Denn Roundcube bietet sehr ausgefeilte Möglichkeiten für die Überprüfung eingehende E-Mails. Wer sich mit den Durchschlüpfern beschäftigt, wird schnell erkennen, dass es dieser Möglichkeiten bedarf. Dieser Artikel soll ein paar Ideen liefern, „was geht“.

Wegwerfen oder zurückschicken?

Spam ist unerwünschte Werbung. Beim Briefkasten ist es einfach: Unbesehen in die Tonne damit. Doch da ist ein oft übersehener Filter vorgeschaltet: ICH entscheide, was dort landet. Für einen Automat ist das deutlich komplizierter. Abgesehen von zweifelsfreien Indikatoren – z.B. einer bestimmten E-Mail-Adresse, Werbeslogans im Betreff, … – gibt es unscharfe Fälle. Hierbei könnte es sich um Post handeln, die trotz einiger unerwünschten Merkmale erwünscht sein kann.

Die groben Parameter lauten: „Persil-Schein“ ausstellen oder unbesehen mit einem Hinweis zurückschicken. Die zweite Methode ist Müllvermeidung, wenn ein Postfach gewerblich genutzt wird. Dort ist späteres Wegwerfen von angenommenen E-Mails kritisch: Es ist „geöffnete Geschäftspost“, für die Aufbewahrungsfristen gelten können.

Zurück schicken ist objektiv besser: Der Spammer wird selbst „zugespammt“, Absender von relevanter Post bekommen einen Hinweis und können z.B. anrufen, damit sie einen „Persil-Schein“ bekommen.

Roundcube Filter nutzen

In Roundcube oben rechts, bieten die „Einstellungen“ (1) den Eintrag „Filter“ (2) an. Dort können „Filtersätze“ (3) – eine Gruppe von Filtern – und „Filter“ (4) mit dem +-Symbol in der jeweiligen Spalte eingerichtet werden. Innerhalb der „Filterdefinition“ (5) kann ein Filtername, ein Regelsatz, sowie dazugehörende Aktionen festgelegt werden.

Die E-Mails durchlaufen die Spalten in umgekehrter Reihenfolge „von oben nach unten“, beginnend mit der ersten Filterdefinition im ersten Filtersatz. Nur Post, die diesen „Filterturm“ überlebt, kommt ins Postfach. Oder sie wird mit bestimmten Eigenschaften aus dem Filterprozess herausgenommen. Was wahlweise „kommt durch“ oder „ist schon raus“ bedeuten kann. Die Verteilung der Filter auf kleinzellige Operationen vereinfacht die Verwaltung.

Ein paar Beispiele.

Den mag ich nicht

Wenn der Absender („von“, from) den Textteil „denmagichnicht“ enthält, schick die Post mit einer Notiz zurück. Danach kann diese E-Mail aus dem Filterprozess herausgenommen werden. In der Notiz kann ein Hinweis enthalten sein, warum die Post abgelehnt wird. Sie kann einen Hinweis enthalten, wie eventuell verfahren werden kann.

Was sie – meine persönliche Meinung – keinesfalls enthalten sollte: Eine alternative E-Mail-Adresse oder sonstige Kontakt-Daten. Wenn es dem Empfänger der Notiz zu viel Arbeit macht, das nötigenfalls selbst zu recherchieren, das ist die Mail definitiv unwichtig.

Wichtig: Es gibt beim Abweisen kein »ein bisschen gucken«: Für die Post wird die Annahme verweigert, d.h. sie wird ungeöffnet zurückgeschickt. Kein Eintrag im Spam-Ordner oder sonst-wo. Was perfekt ist, sorgt es doch konsequent für „Postfach-Hygiene“. Falls es doch wichtig ist, werden Absendende sich anderer Möglichkeiten bedienen (s.o.).

Der versteckt sich

Eine beliebte Methode von Spammern ist „der falsche Schein“. Statt an den vermeintlichen Absender geht eine Antwort an jemand anders. Das lässt sich über einen Blick in den „E-Mail-Header“ ermitteln. Alle ernst zu nehmenden E-Mail-Programme haben die Option, sich eine E-Mail als „Quelltext“ anzusehen. Wenn dort der Eintrag reply-to eine unbekannte Adresse enthält, ist das der Teil, der in den Filter hinein muss.

Eine E-Mail kann diese Option enthalten. Es ist eine durchaus nützliche und auch gewünschte Funktion, Antworten auf eine andere Alias-Adresse umzuleiten, damit eine Reaktion beispielsweise direkt im Einkauf oder dem Support landet. Das lässt sich leider missbrauchen. Fehlt der Eintrag, ist from der Maßgebliche Eintrag, den das E-Mail-Programm als Absender anzeigt.

Wichtig: in-reply-to ist der Bezug auf eine vorangegangene E-Mail.

Es gibt darüber hinaus noch den return-path, der in der Wirkung mit reply-to vergleichbar ist. Dennoch sollte dieser Fall getrennt betrachtet werden. Das entspricht leicht nachvollziehbar einem „entweder - oder“. Das lässt sich zwar durchaus in den Regeln so definieren, doch wird das erst sichtbar, wenn die Regel untersucht wird.

Wenn eine Adresse aus einer „Abwehrliste“ herausgenommen werden soll, ist eine leicht identifizierbare Fehlermeldung im ansonsten womöglich identischen Text hilfreich (im Bild „Err 34“).

Den mag ich!

Nach diesen Filtern für „Schummler und Betrüger“ ist einer zweckmäßig, der wichtige Kontakte aus der weiteren Filterung heraus nimmt. Hierbei kann neben dem „von“ gleichermaßen das „an“ betroffen sein, wenn beispielsweise Post an jemand anders bc:oder bcc:-Feld als Kopie an andere Empfänger verschickt wurde.

Das bcc:-Feld ist als „Filter-Feld“ dafür ungeeignet, denn das taucht – verständlicherweise – nirgends im verschickten Quelltext auf. Sonst wäre es ja keine „blind copy“ („geheime“ Kopie).

Neben detaillierten E-Mail-Adressen können auch Teile einer E-Mail-Adresse verwendet werden. Statt name@domain.tld kann mit @domain.tld allen Adressen eines Absenders die Tür geöffnet werden. Grob vorsortieren und anschließend in einem weiteren Schritt einzelne Unerwünschte herausfiltern ist – was die Regeln betrifft – einfacher und übersichtlicher, als alles in einer Regel zu versuchen.

Spam, der keiner ist

Die von nahezu allen Hostern verwendete Software „Spam-Assassin“ ist sehr hilfreich, weil sie vermutliche Spam-Mails mit einem (häufig einstellbaren) Eintrag, typischerweise <em><strong>SPAM</strong></em>markiert. Dieser meist im „Betreff“ eingefügte Eintrag lässt sich gut filtern. Das sollte jedoch erst erfolgen, nachdem „den mag ich“-Filter alle gewünschte Post aus der Filterung genommen haben. Der „Spam-Assasin“ markiert nämlich durchaus unkritische Post schon mal als „SPAM“.

Die Feinheiten

  • Die „Vergleichseinträge“ sind Listen. Beginnt ein Feld mit einem [X> („X im Pfeil“), können mit Enter weitere Einträge hinzugefügt werden, die automatisch als »oder« abgearbeitet werden.
  • Abhängig vom Hoster, kann es Einträge wie z.B. softfail oder fail im Schlüsselwort receivd-spfgeben. Das weist darauf hin, dass eine ungültige E-Mail-Adresse verwendet wurde, für die es in Wahrheit keine Domain gibt.
  • Falls im Textkörper ein data-saferedirecturl enthalten ist, handelt es sich um einen perfiden Versuch der Umleitung eines Links, der vordergründig völlig anders aussieht. Mails mit diesem Inhalt sollten „zurück an den Absender“ – wobei der häufig keine Ahnung davon hat, dass seine Adresse dafür missbraucht wird.
  • mit dem Filter Nachrichtist doppelt lässt sich in kurzer Zeit mehrfach geschickter Müll sehr bequem entsorgen
  • Die Kombination von „ist gleich“ und „ist ungleich“ ermöglicht das Filtern besonderer Fälle, z.B.
    • die „an“-Adresse ist gleichtest@meine-domain.tld aber der
    • der „Betreff“ enthält nichtEine Wortfolge
    • Abweisen mit Nachricht
    • Regelauswertung anhalten (eigentlich überflüssig, da die Mail abgewiesen wird, vereinfacht lediglich das lesen der Regeln)

Die Königsdisziplin

Mit regulären Ausdrücken können sehr leistungsfähige Regeln erstellt werden. Doch falsch angewandt, kann es „sehr still“ im Postfach werden. Deshalb sollten diese Regeln sorgfältig – vorzugsweise mit einer Testmail-Adresse – ausprobiert werden.