Spamassassin Rules Regeln gegen Sober.I Mails

Ich habe mich gerade mal hingesetzt und ein wirksames Mittel gegen die im Moment kursierenden E-mails geschaffen, welche der Wurm Sober.I derzeit versendet. Informationen zu dem Wurm bietet z.B. die Homepage des Bundesministeriums für Sicherheit in der Informationstechnik (BSI) oder heise online. Der Wurm verschickt nervige Mails, die auf den ersten Blick so aussehen wie Berichte über falsch zugestellte Emails. Sie enthalten den Hinweis: "Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl. Daten nur angehängt werden. Wir bitten Sie, dieses zu berücksichtigen." Logischerweise ist keine Email in dem Anhang, sondern der Wurm selbst. Beim Öffnen der Datei infiziert man also den eigenen Rechner mit dem Wurm. Dieser durchsucht den Computer nach Emailadressen, an die er sich dann selbst verschickt (wie Würmer das eben so tun...). Wirklich was kaputt macht er allerdings nicht. Mich nervten einfach die Mails - denn viel zu viele Benutzer glauben offensichtlich den Mails über nicht zugestellte Emails und öffnen den Anhang. Also habe ich ein paar sehr simple aber effektive Regeln für den Spamfilter SpamAssassin geschaffen. Diese kann man natürlich mit den Informationen über den Mailer noch deutlich verbessern (bspw. auf Dateinamen der Attachements und auf noch mehr Subject-Lines filtern). Aber für meine Zwecke tut es erstmal. Ich wollte auch nicht allzulange Zeit damit vertüdeln. Lange Rede kurzer Sinn, hier kommen die Regeln:

# spamassassin rules for faked returned mails
# by Till Kothe 12/2004
# use at your own risk

header RETURNED_MAIL_FAKES1 Subject =~ /^(Mail- Verbindung wurde abgebrochen|Mailer-Fehler -Damon\:|Ung.ltige Zeichen in Ihrer E-Mail)/
describe RETURNED_MAIL_FAKES1 'Subject' lines for faked returned mails
score RETURNED_MAIL_FAKES1 1

rawbody RETURNED_MAIL_FAKES2 /Diese E-Mail wurde automatisch generiert/
describe RETURNED_MAIL_FAKES2 another line in faked returned mails
score RETURNED_MAIL_FAKES2  0.4

rawbody RETURNED_MAIL_FAKES3 /Mehr Information erhalten Sie unter/
describe RETURNED_MAIL_FAKES3 another line in faked returned mails
score RETURNED_MAIL_FAKES3 0.4

rawbody RETURNED_MAIL_FAKES4 /Aus Datenschutzrechtlichen Gr.nden, darf die vollst.ndige E-Mail incl\. Daten nur angeh.ngt werden\./
describe RETURNED_MAIL_FAKES4 another line in faked returned mails
score RETURNED_MAIL_FAKES4 1.6

#das tut leider nicht, weil ich nicht weiss, wie ich linebreaks einbauen kann
body RETURNED_MAIL_FAKES5 /Aus Datenschutzrechtlichen Gr.nden, darf die vollst.ndige E-Mail incl\. Daten nur angeh.ngt werden\..*Wir bitten Sie\,  dieses zu ber.cksichtigen\./
describe RETURNED_MAIL_FAKES5 another line in faked returned mails
score RETURNED_MAIL_FAKES5 5

rawbody RETURNED_MAIL_FAKES6 /STOP mailer/
describe RETURNED_MAIL_FAKES6 another line in faked returned mails
score RETURNED_MAIL_FAKES6 0.4

Ich hab sie in einer Datei 70_returned_mail_fakes.cf. Wer keinen Plan hat, wie er/sie diese Datei benutzen kann, Googlet bitte ein bisschen. Wer die Regeln noch verbessern möchte, kann sich ja mal die Virenbeschreibungen anschauen. Dazu eignet sich die Beschreibung auf a-squared, welche recht ausführlich ist - jedenfalls deutlich ausführlicher als die unseres Ministeriums.