De kracht van Spamassassin

Onderwerp: ***SPAM*** You have changed your PayPal email address
Van:       notice@security.org
Aan:       Undisclosed-recipients

De kracht van Spamassassin werd vandaag eens te meer duidelijk. Ontvangst van onderstaand mailtje (in de spambox) bracht me even in verwarring. Een false positive? Oppervlakkige lezing, de soberheid van het mailtje en het ontbreken van taalfouten en links (jfr875ght.byuvaigria.ru) gaven me even de indruk dat dit een oprechte poging van PayPal was om mij op de hoogte te brengen van verdachte bewegingen op mijn account. 

Een blik op de broncode deed me snel ontwaken:

Niet alleen bleken 2 van de gebruikte IP adressen bekende spambronnen, Spamassassin wist onder andere ook haarfijn aan te wijzen dat we te maken hebben met een forged Mail User Agent: de X-Mailer header van de mail zei 'Microsoft Outlook Express 6.00.2600.0000' maar de inhoud van de mail sprak dat tegen.

Overigens ligt sinds installatie van Spamassassin 3.3.1 op deze server bij de huidige configuratie het aantal false positives onder 1%.