Dlaczego wiadomość została zakwalifikowana jako spam?

2329 wyświetleń 1

Autor: Jan Elastyczny
05.10.2020

W sytuacji gdy wiadomość e-mail zostaje oznaczona jako potencjalny spam przez nasze systemy, oznacza to, że osiągnęła limit punktów zgodnie z regułami stosowanymi przez system ochrony antyspamowej „Spam Assassin”. Każdorazowo wiadomość, którą otrzymują systemy dhosting.pl jest skanowana i kwalifikowana na podstawie szeregu reguł. Gdy wiadomość spełnia warunek, otrzymuje punkty.

Gdy dana wiadomość osiągnie poziom 6 lub więcej punktów, jest kwalifikowana automatycznie jako spam.

Poniżej przedstawiony jest przykładowy wycinek nagłówka wiadomości e-mail dotyczący systemu antyspamowego:

X-Spam-Checker-Version: SpamAssassin 3.4.2 (2020-01-01) on sa-2.d
X-Spam-Flag: YES
X-Spam-Level: *******
X-Spam-Status: Yes, score=7.9 required=6.0 tests=DH_WYPISZ,DKIM_SIGNED,
DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF,FREEMAIL_FORGED_REPLYTO,
HEADER_FROM_DIFFERENT_DOMAINS,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,
LH_URI_DOM_IN_PATH,RCVD_IN_MSPIKE_H4,RCVD_IN_MSPIKE_WL,
ZABOJCASPAMU_BOLD,ZABOJCASPAMU_FSL_HTML_COMMENT autolearn=disabled
version=3.4.2
X-Spam-Report: =?ISO-8859-1?Q?
* 0.0 RCVD_IN_MSPIKE_H4 RBL: Very Good reputation (+4)
* [1.2.3.4 listed in wl.mailspike.net]
* 0.2 HEADER_FROM_DIFFERENT_DOMAINS From and EnvelopeFrom 2nd level
* mail domains are different
* 1.5 LH_URI_DOM_IN_PATH URI: Long-host URI having a domain name in
* the path part
* 0.0 HTML_FONT_LOW_CONTRAST BODY: kolor czcionki w HTML jest podobny
* do t=b3a
* 0.0 HTML_MESSAGE BODY: Wiadomość zawiera kod HTML
* 1.2 ZABOJCASPAMU_BOLD RAW: Boldowanie w tekscie
* 0.7 ZABOJCASPAMU_FSL_HTML_COMMENT RAW: Komentarz wHTML
* -0.1 DKIM_VALID_EF Message has a valid DKIM or DK signature from
* envelope-from domain
* 0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily
* valid
* -0.1 DKIM_VALID_AU Message has a valid DKIM or DK signature from
* author's domain
* -0.1 DKIM_VALID Message has at least one valid DKIM or DK signature
* 0.0 RCVD_IN_MSPIKE_WL Mailspike good senders
* 3.0 DH_WYPISZ Zrob cos tam aby wypisac sie ze spamu
* 1.5 FREEMAIL_FORGED_REPLYTO Freemail in Reply-To, but not From?=

Co oznaczają poszczególne pozycje?

  • X-Spam-Flag – informuje czy wiadomość została zakwalifikowana jako spam.
  • X-Spam-Level – określa w ilu regułach wiadomość otrzymała punktację spamową.
  • X-Spam-Status – poza tym, że ponownie informuje czy wiadomość została zakwalifikowana jako spam czy też nie, mamy tutaj informację o tym ile punktów uzyskała wiadomość.
  • RCVD_IN_MSPIKE_H4 RBL – informuje o poziomie reputacji domeny / serwera, z którego otrzymano wiadomość w stosunku do list „RBL”
  • HEADER_FROM_DIFFERENT_DOMAINS – informacja, czy pojawiła się wartość EnvelopeFrom, czyli przykładowo wskazująca opisowo inny adres e-mail, niż ten, z którego wiadomość faktycznie została nadana.
  • HTML_FONT_LOW_CONTRAST BODY – jest to weryfikacja poziomu kontrastu stosowanych czcionek. Często wiadomości będące spamem mogą mieć w treści wiadomości ukryte elementy w postaci białego tekstu na białym tle.
  • HTML_MESSAGE BODY – weryfikuje czy wiadomość jest przesłana w formie tekstowej czy HTML. W wypadku gdy jest w HTML, może zawierać dodatkowe elementy ukryte w kodzie oraz aktywne linki.
  • ZABOJCASPAMU_BOLD – określa czy wiadomość w momencie gdy jest przesłana w formacie HTML zawiera elementy pogrubionym tekstem. To może wskazywać metodę przykucia uwagi przez wiadomość spamową i nakłonienie do kliknięcia w potencjalnie złośliwe linki.
  • ZABOJCASPAMU_FSL_HTML_COMMENT – informuje czy wiadomość w formacie HTML zawiera w kodzie ukryte komentarze.
  • DKIM_VALID_EF – weryfikuje, czy przy użyciu opcji EnvelopeFrom, serwer nadawcy zgłasza poprawny rekord DKIM.
  • DKIM_SIGNED – weryfikuje czy podpis DKIM jeśli obecny, jest poprawny.
  • DKIM_VALID_AU – weryfikuje czy domena, z której wiadomość została nadana zgłasza poprawny rekord DKIM.
  • DKIM_VALID – reguła określa czy obecny rekord DKIM dla domeny, z której wiadomość została nadana jest poprawny / poprawnie podpisany.
  • DH_WYPISZ – weryfikacja czy wiadomość w treści / kodzie, zawiera element jakim jest link służący do wypisania się z listy mailingowej, co z jednej strony sugeruje, że wiadomość należy do tej grupy tj. jest to wiadomość wysyłana masowo, a nie prywatna komunikacja oraz może oznaczać, że link służący do wypisania się będzie spreparowany nie kierując do strony umożliwiającej wypisanie się. Jest to ostatnimi czasy dość powszechnie stosowana przez spamerów technika.
  • FREEMAIL_FORGED_REPLYTO – sprawdza czy adres podany w polu reply-to, czyli tym na który zostanie wysłana odpowiedź gdy jej udzielisz, jest tym samym adresem, z którego wiadomość została nadana. W sytuacji gdy adresy te się różnią, może to oznaczać, że wiadomość była spreparowana lub pochodzi z systemu mailingowego.

Powyższe informacje są jedynie przykładem. Reguły systemów antyspamowych weryfikują m.in słowa kluczowe i frazy występujące często w wiadomościach będących spamem.

Poniżej znajdziesz dodatkowe informacje oraz artykuły związane z systemami antyspamowymi:

Tags:

Czy ten artykuł był pomocy?

 
Powiązane artykuły