廣告信過濾詢問

[gramy]

素大您好：

不好意思，又來詢問廣告信過濾的問題~~^^"

近來有一種廣告信，在log上看到的是非自己寄自己，
但是收下來看郵件標頭，或是沒收下來，在webmail上看郵件標頭，都是自己寄自己，
無寄件日期(webmail上看是1899年12/30 8:00)
但能通過內文過濾的「Date:」反結果過濾，

最扯的是...我有安裝Spamassassin，
雷電的log上有出現執行事件成功，
spamassassin的log上也有出現檢查，非廣告信，
但是郵件標頭上不會出現x-spam之類的spamassassin檢查的字眼，
(確定spamassin有啟動，因為前後封的郵件都有x-spam-checker...檢查過的標頭資訊)


目前是用內文過濾「偉---哥的英文藥名」來過濾此類信件，
(我怕又被誤鎖ip，就不全文貼上了~~>"<)

對方用什麼樣的系統機制騙過雷電的過濾機制呢？
不然怎會在郵件log上，非自己寄自己，
收下時卻是自己寄自己？
且能通過無日期的過濾
(還有spamassin?)

[Arnor]

由於你沒給信件檔頭,
無法來分析

先解釋你這句
"不然怎會在郵件log上，非自己寄自己，
收下時卻是自己寄自己？ "

寄方有給兩次寄件人的資料, 第一次在連線時的SMTP協定, 第二則是在信內容裡的檔頭部份, 這樣講可能有點難懂, 我拿現實例子解釋好了,
有個人A寄一封平信給你, 它可以是拿公司信封來寄(寄信人是公司), 但信內容卻是以他名義寫信給你(寫信人是個人), 這是不同的資料部份.

郵差看不到信內容, 以他及郵局觀點, 就是從該公司寄給你, 但當你收了信, 拆掉信封並丟到垃圾筒, 剩下的就是裡頭的信紙. 以你觀點, 就是A寄信給你.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

[gramy]

感謝素大，
大致上了解您所說的意思了，
此類廣告信與部分dtl的log記錄已寄給您參考，
再次感謝囉~^_^y

have a nice day~

[gramy]

素大您好：

實行不能自己寄自己與雙maild多天，
已少有自己寄自己類型的廣告信能進到信箱，

但今天發現仍有廣告信是依照此作假方式躲過雷電的自己寄自己的限制，
(一開始顯示是非自己信箱，收下來看才知道是假冒自己的信箱寄信)
且同時假冒自己信箱寄到同網域的其它人信箱，
(寄信日期也正常、無特定廣告詞....)

想請問此類廣告信有較好的防制方法嗎？

感謝~^_^"
====================================
[2009/5/17 下午 12:38:44] [860] SMTP 服務接受從 24.113.63.219 來的連線
[2009/5/17 下午 12:38:57] [860] 24.113.63.219 找不到此信箱或已被停用 : steven609d@ABCDE.com
[2009/5/17 下午 12:39:01] [3884] SMTP 服務接受從 24.113.63.219 來的連線

[2009/5/17 下午 12:39:11] [860] 24.113.63.219 找不到此信箱或已被停用 : steven609d@ABCDE.com
[2009/5/17 下午 12:39:17] [3884] 24.113.63.219 找不到此信箱或已被停用 : h@ABCDE.com

[2009/5/17 下午 12:39:26] [860] 24.113.63.219 找不到此信箱或已被停用 : steven609d@ABCDE.com
[2009/5/17 下午 12:39:29] [3884] 24.113.63.219 找不到此信箱或已被停用 : hank.huang@ABCDE.com
[2009/5/17 下午 12:39:30] [2856] SMTP 服務接受從 24.113.63.219 來的連線
[2009/5/17 下午 12:39:41] [2856] 24.113.63.219 找不到此信箱或已被停用 : hank.huang@ABCDE.com
[2009/5/17 下午 12:39:43] [3884] 24.113.63.219 找不到此信箱或已被停用 : jessicalq@ABCDE.com


========================
[2009/5/17 下午 12:39:43] [3884] 24.113.63.219 要求 SMTP 服務 - 寄信人是 trustworthierpte39@ghazalgroup.com

[2009/5/17 下午 12:39:46] [3884] 24.113.63.219 - 郵件內容已收到 (To:gramy@ABCDE.com,gramy@ABCDE.com|gramy@FGHIJK.com.cn,hankhuang@ABCDE.com,jennyw@ABCDE.com) 633 bytes ( 0.4 KB/s)
[2009/5/17 下午 12:39:46] [3884] 儲存郵件到 <gramy> 的信箱, 檔名為 _20090517123905-362896892-3884.eml 764 bytes
[2009/5/17 下午 12:39:46] [3884] 找到符合事件(SapmAssassin-New), 且執行事件程序成功(C:\mail\spam\spamassassinVBS.vbs //b file=D:\RaidenMAILD\Inboxes\gramy\_20090517123905-362896892-3884.eml from=gramy@ABCDE.com|gramy@ABCDE.com||)
[2009/5/17 下午 12:39:52] [3884] 傳送郵件從 gramy@ABCDE.com 到 gramy@FGHIJK.com.cn(FGHIJK.com.cn) 成功 804 bytes ( 0.8 KB/s)
[2009/5/17 下午 12:39:52] [3884] 儲存郵件到 <hankhuang> 的信箱, 檔名為 _20090517123931-362922351-3884.eml 764 bytes
[2009/5/17 下午 12:39:52] [3884] 找到符合事件(SapmAssassin-New), 且執行事件程序成功(C:\mail\spam\spamassassinVBS.vbs //b file=D:\RaidenMAILD\Inboxes\hankhuang\_20090517123931-362922351-3884.eml from=gramy@ABCDE.com|gramy@ABCDE.com||)
[2009/5/17 下午 12:39:52] [3884] 儲存郵件到 <jennyw> 的信箱, 檔名為 _20090517123932-362923667-3884.eml 764 bytes
[2009/5/17 下午 12:39:52] [3884] 找到符合事件(SapmAssassin-New), 且執行事件程序成功(C:\mail\spam\spamassassinVBS.vbs //b file=D:\RaidenMAILD\Inboxes\jennyw\_20090517123932-362923667-3884.eml from=gramy@ABCDE.com|gramy@ABCDE.com||)

==========================
補上檔頭
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-0 on maild
X-Spam-Level:
X-Spam-Status: No, score=-100.0 required=6.3 tests=USER_IN_WHITELIST
shortcircuit=ham autolearn=disabled version=3.2.3
Received: from 24-113-63-219.wavecable.com ([24.113.63.219])
by mail.ABCDE.com ([10.2.1.12]);
Sun, 17 May 2009 12:39:46 +0800
Date: Sat, 16 May 2009 21:38:59 -0800
From: gramy@ABCDE.com
Subject: Be amazed by our lowest prices for designer watches
To: <gramy>
Message-ID: <000d01c9d6a9>
MIME-Version: 1.0
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
Content-type: text/plain; format=flowed; charset=iso-8859-1; reply-type=original
Content-transfer-encoding: 7bit
X-Priority: 3
X-MSMail-priority: Normal
X-EsetId: BE05F3250C593739ED48

[Arnor]

反查就能查到這種假冒網域了
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

[gramy]

感謝素大，
因之前設定過反解，新進郵件很容易進到未驗証信匣，
(尤其是一些大陸的信，大都沒作反解)

公司業務收信寧可多收幾封廣告信，
也不願漏掉任何一封新進業務郵件，
所以...只能暫時仍維持現狀了~@@"

再次感謝解說 & Have a Nice Day~^_^b

===============
也有可能是因為我之前DNS伺服器設定有問題，
所以造成判斷郵件反解錯誤多？@@"
我會找時間再試試開啟反解試試看~

[Arnor]