Interne Regeln

Interne Regeln können nicht nach bestimmten Texten durchsucht werden. Die Suche und Überprüfung erfolgt durch das Plugin.



BayesScore

Prüft eine Nachricht mit der Bayes-Methode auf deren Spam-Wahrscheinlichkeit.

Der Score hängt bei dieser Regel von der Rückgabe der Bayes-Berechnung ab und ist hier nicht unmittelbar von Bedeutung. Es wird aber empfohlen, den Score auf 0 zu setzen.

Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.

Optionen:

C "Clearly"
Gibt als Score den Wert 0 oder 100 zurück. Ist die errechnete Spamwahrscheinlichkeit kleiner oder gleich 50, wird 0 zurückgegeben, ansonsten 100.
P "Percent"
Gibt den Score als Prozent aus, wobei "0" Ham und "100" Spam bedeutet. Ansonsten wird für Ham der Score -100 und für Spam 100 verwendet.
D "Double"
Gibt an, dass der Score verdoppelt werden soll (sowohl bei positiven, als auch bei negativen Werten). Diese Option kann nicht gemeinsam mit der Option "P" angegeben werden.

Beispiel:

BayesScore 0 IP "" [BAYES-FILTER]


BetwBrackCnt

Überprüft einen HTML-Part, ob eine bestimmte Anzahl von Zeichen zwischen zwei HTML-Tags steht. Spammer teilen Texte oft mit ungültigen Tags auf, damit diese von Antispam-Programmen nicht erkannt werden. Dies ist für Regula grundsätzlich kein Problem, jedoch ein relativ sicheres Zeichen für Spam. Bei der Berechnung der Zeichen werden Leerzeichen und Zeilenumbrüche am Beginn des betreffenden Textes nicht berücksichtigt.

Die Regel ist in drei Werte unterteilt, die mit einem Pipe-Zeichen (|) voneinander getrennt sein müssen. Der erste Wert bestimmt die Mindestzahl der Buchstaben, der zweite Wert die maximale Anzahl der Buchstaben und der dritte Wert die Anzahl der Fundstellen, die für eine Erfüllung der Regel erreicht werden muss.

Beispiel:

BetwBrackCnt 40 I "1|4|5" [BetwBrackCnt_Test]

Damit diese Beispielregel erfüllt ist, müssen mindestens 5 Texte mit einer Länge von 1 bis 4 Zeichen zwischen HTML-Tags stehen.


BulkForm

Prüft, ob im Header Platzhalter von BulkMailer-Formularen enthalten sind. Die Regel bleibt unbeachtet und sollte nur aus zwei Anführungszeichen bestehen.

Optionen:

B "Body"
Wenn im Header keine Übereinstimmung gefunden wurde, wird auch der Nachrichtentext durchsucht.

Beispiel:

BulkForm 100 IH  "" [Nur im Header nach Platzhalter suchen]
BulkForm 100 IHB "" [Im Header und im Body nach Platzhalter suchen]


DateDeviate

Prüft, ob die Abweichung der Zeit im Header "Date:" zur ersten lesbaren Zeit in den Received-Zeilen kleiner oder größer ist als ein bestimmter Wert. Die Berechnung erfolgt in ganzen Stunden. Die Datumsangaben werden dazu in die UTC-Zeit konvertiert.

Als Regel muss die Anzahl der Stunden angegeben werden, die zwischen dem Absenden und dem Eingang der Mail auf dem letzten Mailserver (eigener Mailserver), liegen darf. Es darf nur eine positive Zahl angegeben werden. Fehlt die Angabe, werden 3 Stunden angenommen.

Optionen: Keine

Beispiel:

DateDeviate 50 I ""  [Zustellung dauerte mehr als 3 Stunden]
DateDeviate 90 I "5" [Zustellung dauerte mehr als 5 Stunden]


DateInvalid

Prüft, ob das Datum im "Date:"-Header korrekt, oder zumindest auslesbar formatiert ist.

Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.

Optionen: Keine

Beispiel:

DateInvalid 80 I "" [Date-Header hat falsches Format]


DebugOut

Gibt einen vordefinierten Header, oder einen Nachrichtenteil in die Protokolldatei aus. Damit kann geprüft werden, welche Daten vom Regula-Plugin ausgelesen wurden.

Die Regel gibt jene Headerbezeichnung an, die ausgegeben werden soll.

Beispiel:

DebugOut 0 I "ContentType" [Test-Ausgabe]
Im Protokoll wird folgendes ausgegeben:
DEBUG OUTPUT "Test-Ausgabe":
BEGIN>multipart/mixed<END.

Optionen: Keine


DNSBL

Führt eine DNSBL-Anfrage beim angegebenen DNSBL-Server durch.

Als Regel wird der Name des DNSBL-Servers, z.B. "sbl-xbl.spamhaus.org" angegeben. Das Standard-Timeout beträgt 250 Millisekunden (1/4 Sekunde). Um das Timeout zu verändern kann nach dem Servernamen, mit einem Leerzeichen getrennt, das neue Timeout in Millisekunden festgelegt werden. Timeout-Angaben die größer als 10 Sekunden sind werden auf den Standard-Wert (1/4 Sekunde) gesetzt.

Es wird empfohlen, DNSBL-Regeln am Ende der Regeldatei einzutragen und mit einem Score von 100 zu versehen. Weiters sollte nach dem ersten Treffer die Prüfung abgebrochen werden (Regeloption "A" bzw. "H"). Damit wird verhindert, dass unnötig viele DNSBL-Abfragen ausgeführt werden.

Optionen: Keine

Beispiel:

DNSBL 75 I  "bl.spamcop.net 200" [DNSBL-Anfrage mit 200 ms Timeout]
DNSBL 75 I  "list.dsbl.org" [DNSBL-Anfrage mit 250 ms Timeout]


DoubleFileExt

Prüft, ob ein Dateiname in den Anlagen eine doppelte Dateiendung hat.

Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.

Optionen: Keine

DoubleFileExt 60 I "" [Dateiname im Anhang hat doppelte Dateiendung]


FieldEmpty

Prüft, ob ein Header oder ein Nachrichtenteil fehlt oder keinen Inhalt hat. Als Regel wird der Name des Headers oder des Feldes erwartet.

Optionen:

T "Trim"
Leerzeichen und Sonderzeichen werden nicht als Inhalt anerkannt.

Beispiel:

FieldEmpty 50 IT "TextPart" [Kein Plain-Text-Part in der Nachricht]


FromAddrInAB

Prüft, ob der Absender der Nachricht ("Reply-To:"-Header) im Adressbuch von The Bat! eingetragen ist. Durch die Angabe einer bestimmten Datei, können auch mehrere Adressbücher überprüft werden. Mehr dazu ist unter "Adresse aus einem The Bat! Adressbuch ausschließen" angeführt.

Als Regel kann ein Dateiname für das auszulesende Adressbuch angegeben werden.

Optionen: Keine

Beispiel:

FromAddrInAB 0 IW "" [Absender in TheBat.ABD]
FromAddrInAB 0 IW "MyAddrBook.ABD" [Absender in MyAddrBook.ABD]


FromAddrInAutoWL

Prüft, ob der Absender der Nachricht ("Reply-To:"-Header) in der Datei "AutoWL.lst" eingetragen ist. Mehr dazu ist unter "Absender-Adressen automatisch ausschließen" angeführt.

Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.

Optionen: Keine

Beispiel:

FromAddrInAutoWL 0 IW "" [Absender in der Auto-Whitelist gefunden]


HdrExist

Prüft, ob ein Header existiert.

Als Regel wird der Name der Headerzeile, ohne Doppelpunkt, angegeben.

Optionen:

C "Case sensitive"
Groß- und Kleinschreibung beachten (sonst nicht)

Beispiel:

HdrExist 60 IC "FROM" ["FROM:"-Header in Großbuchstaben enthalten]
HdrExist -10 I "SUBJECT" ["Subject:"-Header enthalten]


IsEnglish

Prüft, ob der Nachrichtentext in English geschrieben ist. Dazu wird überprüft, ob im Text eine gewisse Anzahl von englischen Wörtern enthalten ist. Da die Wortliste relativ klein ist, kann es auch zu Falschmeldungen kommen.

Als Regel wird die Anzahl der zu suchenden englischen Wörter angegeben. Dieser Wert muss zwischen 1 und 32 liegen. Der Standardwert sind 3 Wörter.

Optionen: Keine

Beispiel:

IsEnglish 15 I "5" [Text ist vermutlich Englisch]


IsGerman

Prüft, ob der Nachrichtentext in Deutsch geschrieben ist. Dazu wird überprüft, ob im Text eine gewisse Anzahl von deutschen Wörtern enthalten ist. Da die Wortliste relativ klein ist, kann es auch zu Falschmeldungen kommen.

Als Regel wird die Anzahl der zu suchenden deutschen Wörter angegeben. Dieser Wert muss zwischen 1 und 32 liegen. Der Standardwert sind 3 Wörter.

Optionen: Keine

Beispiel:

IsGerman -20 I "" [Text ist vermutlich Deutsch]


IsScore

Prüft, ob der aktuelle Score kleiner oder größer ist, als der angegebene Wert.

Die Regel muss als erstes Zeichen ein Größer- oder Kleinerzeichen enthalten. Direkt danach folgt der Score-Wert, der überprüft werden soll.

Optionen: Keine

Beispiel:

IsScore 0 IH ">100" [Score ist größer als 100]


RawMsgSize

Prüft, ob die Größe der E-Mail kleiner oder größer ist, als der angegebene Wert.

Die Regel muss als erstes Zeichen ein Größer- oder Kleinerzeichen enthalten. Direkt danach folgt die Größe, die überprüft werden soll (in Byte).

Optionen: Keine

Beispiel:

RawMsgSize 75 I ">15000" [MSGSIZE: Größer als 15.000 Byte]


RcvFromIpInRange

Prüft, ob sich eine der IP-Adressen, die vom vorgegebenen Header "RcvFromIp" zurückgegeben werden, im angegebenen Adressbereich (IP-Range) befindet.

Die IP-Range muss aus zwei gültigen IP-Adressen bestehen, wobei die erste die Untergrenze und die zweite die Obergrenze angeben muss. Die beiden Adressen müssen mit einem Bindestrich von einander getrennt werden.

Optionen: Keine

Beispiel:

RcvFromIpInRange 90 I "211.50.0.0-211.50.255.255" [RCVFROMIPINRANGE: IP-Adressbereich der DACOM Corp. (Korea)]


RcvIpInRange

Prüft, ob sich eine der IP-Adressen, die vom vorgegebenen Header "RcvIp" zurückgegeben werden, im angegebenen Adressbereich (IP-Range) befindet.

Die IP-Range muss aus zwei gültigen IP-Adressen bestehen, wobei die erste die Untergrenze und die zweite die Obergrenze angeben muss. Die beiden Adressen müssen mit einem Bindestrich von einander getrennt werden.

Optionen: Keine

Beispiel:

RcvIpInRange 90 I "211.50.0.0-211.50.255.255" [RCVIPINRANGE: IP-Adressbereich der DACOM Corp. (Korea)]


ReplyToAddrInAB

Prüft, ob der Absender der Nachricht ("Reply-To:"-Header) im Adressbuch von The Bat! eingetragen ist. Durch die Angabe einer bestimmten Datei, können auch mehrere Adressbücher überprüft werden. Mehr dazu ist unter "Adresse aus einem The Bat! Adressbuch ausschließen" angeführt.

Als Regel kann ein Dateiname für das auszulesende Adressbuch angegeben werden.

Optionen: Keine

Beispiel:

ReplyToAddrInAB 0 IW "" [Absender in TheBat.ABD]
ReplyToAddrInAB 0 IW "MyAddrBook.ABD" [Absender in MyAddrBook.ABD]


ReplyToAddrInAutoWL

Prüft, ob der Absender der Nachricht ("Reply-To:"-Header) in der Datei "AutoWL.lst" eingetragen ist. Mehr dazu ist unter "Absender-Adressen automatisch ausschließen" angeführt.

Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.

Optionen: Keine

Beispiel:

ReplyToAddrInAutoWL 0 IW "" [Absender in der Auto-Whitelist gefunden]


SenderInAB

Prüft, ob der Absender der Nachricht ("From:"- und "Reply-To:"-Header) im Adressbuch von The Bat! eingetragen ist. Durch die Angabe einer bestimmten Datei, können auch mehrere Adressbücher überprüft werden. Mehr dazu ist unter "Adresse aus einem The Bat! Adressbuch ausschließen" angeführt.

Als Regel kann ein Dateiname für das auszulesende Adressbuch angegeben werden.

Optionen: Keine

Beispiel:

SenderInAB 0 IW "" [Absender in TheBat.ABD]
SenderInAB 0 IW "MyAddrBook.ABD" [Absender in MyAddrBook.ABD]


SenderInAutoWL

Prüft, ob der Absender der Nachricht ("From:"- und "Reply-To:"-Header) in der Datei "AutoWL.lst" eingetragen ist. Mehr dazu ist unter "Absender-Adressen automatisch ausschließen" angeführt.

Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.

Optionen: Keine

Beispiel:

SenderInAutoWL 0 IW "" [Absender in der Auto-Whitelist gefunden]


SubjCrippled

Prüft, ob im dekodierten Betreff Sonderzeichen oder Zahlen zwischen Buchstaben enthalten sind. Die Zeichen "äöüÄÖÜß/\"-'´`" werden dabei nicht als Sonderzeichen behandelt.

Als Regel wird die Anzahl der Wörter erwartet, die Sonderzeichen enthalten müssen, damit diese Regel zutrifft. Der Standard ist ein Wort. Im Anschluss an die Wortanzahl können, mit einem Leerzeichen getrennt, weitere Sonderzeichen angegeben werden, die ignoriert werden sollen.

Optionen: Keine

Beispiel:

SubjCrippled 25 I "2 áÁíÍûÛ" [SUBJ_CRIPPLED: Zwei Wörter verstümmelt]


SubjMultiSpace

Prüft, ob im dekodierten Betreff mehrere Leerzeichen hintereinander enthalten sind. Dabei werden Leerzeichen am Beginn und am Ende ignoriert. Die betreffenden Leerzeichen müssen zwischen zwei Textteilen stehen.

Als Regel wird die Anzahl der Leerzeichen erwartet. Der Standard sind 3 Leerzeichen.

Optionen: Keine

Beispiel:

SubjMultiSpace 30 I "" [Drei oder mehr Leerzeichen im Betreff]
SubjMultiSpace 60 I "5" [Fünf oder mehr Leerzeichen im Betreff]


TextPartsDiv

Extrahiert nur die Buchstaben aus dem "Text" und dem "PlainPart" einer Nachricht. Haben beide Nachrichtenteile einen Wert und unterscheiden sie sich, wird die Regel erfüllt. Viele Spammer schreiben unterschiedliche Inhalte in den HTML- und den Plain-Text-Part der Nachricht.

Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.

Optionen: Keine

Beispiel:

TextPartsDiv 75 I "" [Textteile der Nachricht sind unterschiedlich]


URLBL

Führt eine URLBL-Anfrage beim angegebenen URLBL-Server durch.

Als Regel wird der Name des URLBL-Servers, z.B. "multi.surbl.org" angegeben. Das Standard-Timeout beträgt 250 Millisekunden (1/4 Sekunde). Um das Timeout zu verändern kann nach dem Servernamen, mit einem Leerzeichen getrennt, das neue Timeout in Millisekunden festgelegt werden. Timeout-Angaben die größer als 10 Sekunden sind werden auf den Standard-Wert (1/4 Sekunde) gesetzt.

Es wird empfohlen, URLBL-Regeln am Ende der Regeldatei einzutragen und mit einem Score von 100 zu versehen. Weiters sollte nach dem ersten Treffer die Prüfung abgebrochen werden (Regeloption "A" bzw. "H"). Damit wird verhindert, dass unnötig viele URLBL-Abfragen ausgeführt werden. Weiters sollten URLBL-Regeln vor DNSBL-Regeln angeführt werden, da URLBL-Abfragen genauere Resultate liefern.

Optionen: Keine

Beispiel:

URLBL 100 IH "multi.surbl.org" [URLBL-Anfrage mit 250 ms Timeout]
URLBL 100 IH "multi.uribl.com" 200" [URLBL-Anfrage mit 200 ms Timeout]