Thunderbird-Regel: definierte Kopfzeile im Mail-Header filtern

Man kann mit einer Thunderbird-Regel eine definierte Kopfzeile im Mail-Header filtern. Die Kunst ist, etwas zu finden, was diesen einen Versender von Spam einigermaßen eindeutig kennzeichnet. Im Mail-Header findet man da immer was passendes: Jede Mail besteht eigentlich aus reinem Text – doch im Mail-Header, dem Kopfbereich der Mail, stehen Dinge wie Absender-/Empfänger-Adresse und manches mehr im Klartext drin. Das kann man nutzen.

Für das folgende schadet es nicht, schon mal Thunderbird-Regeln genutzt zu haben. Wer ganz neu in dem Thema ist, besuche thunderbird-mail.de oder diesen Blog-Beitrag Thunderbird Filter – Mails automatisch in Ordner verschieben.

Kopfzeile im Mail-Header finden

Erster Schritt ist also, sich die störende Mail in ihrer wahren Form anzusehen.

  • In Thunderbird markieren Sie die Mail.
  • Drücken Sie [Strg][U] oder wählen Sie Ansicht, Nachrichten-Quelltext

Sie sehen nun den Quelltext der Nachricht. Sieht zum Beispiel (gekürzt) so aus:

Return-Path: <nd-ru@btab.biz>
X-Original-To: empfaenger@example.com ("unsere" E_Mail-Adresse)
Received: from server.btab.biz (unknown [199.188.100.53])
by xy.kasserver.com (Postfix) with ESMTPS id xy
for <empfaenger@example.com>; Sun, 31 Aug 2014 13:55:36 +0200 (CEST)
Received: from btab by server.btab.biz with local (Exim 4.80)
for empfaenger@example.com; Sun, 31 Aug 2014 15:55:33 +0400
To: empfaenger@example.com
Subject: WordPress Website Just $99 + 1 year Free Hosting for Your New Domain.
Message-ID: <xy@www.btab.biz>
Date: Sun, 31 Aug 2014 11:10:12 +0400
From: "Mark Hays" <info@prologicwebdesign.com>
Reply-To: info@prologicwebdesign.com

Jeder mit etwas Fantasie kann sicher erkennen, was die einzelnen Werte Received, for, To, Subject und so weiter bedeuten (Details bei Wikipedia).

Blau hervorgehoben habe ich mal Werte, die man mit den voreingestellten Thunderbird-Filtern filtern könnte. Diese nützen hier aber nichts, weil ich ja nicht “Mark Hays” <info@prologicwebdesign.com> filtern will, sondern *alles was über server.btab.biz* lief. Und so geht es doch:

Thunderbird-Regel zum Filtern

Die Thunderbird-Regeln lassen sich um Header-Einträge erweitern:

  • Die Thunderbird-Filter finden Sie im Menü Extras, Filter.
  • Sie fügen zum Beispiel mit Neu… einen neuen Filter hinzu und nennen ihn JUNK!

Sie legen fest:

  • Die Thunderbird-Regel soll Mindestens eine Bedingung erfüllen*
  • (Beispiel!) nach der schurkischen Zeichenkette server.btab.biz Ausschau halten (Beispiel!)
  • und dann die Nachricht als Junk markieren und in den Junk-Ordner verschiedenen (gleich löschen? lieber nicht!)

Die angefangener Thunderbird-Filter sieht etwa so aus:

Thunderbird-Regel: Filter bearbeiten

Nun lässt sich aber server.btab.biz nicht über Betreff, Von oder eine anderen vorhandenen Optionen erwischen, daher

  • klicken Sie hier auf Anpassen… – es erscheint der Dialog Benutzerdefinierte Kopfzeilen
  • Mit “Kopfzeilen” gemeint sind hier die Dinge vor dem Doppelpunkt im Header, im Fall der obigen Mail probiere ich es mit dem rot markieren Eintrag Received: from server.btab.biz
  • Sie geben also ins Feld neue Kopfzeile Received ein und klicken auf Hinzufügen.
    Thunderbird-Regel: Benutzerdefinierte Kopfzeilen
  • Danach auf OK klicken und die Regel ist fast fertig.
  • Als Bedingung nun das neue Received wählen und als Wert server.btab.biz eintragen.

Der Thunderbird-Filter sieht im fertigen Zustand so aus:

Thunderbird-Regel: Filter bearbeiten

Thunderbird-Regel im Klartext:
“Wenn eine Mail im Mail-Header die Zeile Received: enthält, die wiederum die Zeichenkette server.btab.biz enthält, dann wirf den Quatsch weg.”

Fazit

Ist das schon der Weisheit bester Schluss?

  • Nö, denn der Listenanbieter server.btab.biz könnte den Mail-Header entschlacken. (Aber das sehen wir, wenn es soweit ist. Bis dahin klappt das 1a.)
  • Nada, man könnte die Thunderbird-Regel nämlich noch allgemeiner fassen: btab.biz – aber wer weiß, wer darüber sonst noch sendet?
  • No, denn vielleicht, ja sogar ganz sicher gibt es bessere Methoden, Spammer zu finden. Das obige ist nur ein Beispiel, das gewiss nur in einigen Fällen von Spam-Versendern funktionieren wird. Andere müssen erst auf analoge Weise identifiziert und hinzugefügt werden. Wieder andere (etwa Nigeria-Mails) erfordern völlig andere, ideenreiche Thunderbird-Regeln.
  • Nope, das mit der Thunderbird-Regel kann nämlich schief gehen: Sie haben dann vielleicht eine trickreiche Filterbedingung eingeführt, die dann aber versehentlich auch wichtige Mails löscht. Sie müssen also zumindest Anfangs den Junk-Ordner im Auge behalten und immer wieder sichten.

Das obige möge daher eher als nützliche Anleitung zur Erweiterung von Thunderbird gelten, um mit einer Thunderbird-Regel über eine selbst definierte Kopfzeile im Mail-Header Nachrichten zu filtern.
*PS: Warum im Filter Mindestens eine Bedingung erfüllen aktivieren? Weil Sie sicher eines Tages bei Ihren Thunderbird-Regeln den Filter JUNK! um weitere Zeichenketten werden erweitern wollen. Alle Bedingungen werden aber (Thunderbird-Vorgabe) via LOGISCHES UND miteinander verknüpft, ergo müssen alle Bedingungen stimmen, um die Aktion (Löschen, etc..) zu starten; mit Mindestens eine Bedingung erfüllen reicht es, wenn eine Bedingung erfüllt ist (logisches ODER), so dass man einfach verschiedene identifizierte Zeichenketten als zweite, dritte und so weiter Bedingung eintragen kann.
In meiner Praxis vergesse ich je-des-mal, diese Option zu setzen, und wundere mich je-des-mal einige Minuten, warum der verd… Filter nicht funktioniert. Daher der deutliche Hinweis ;-)

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte dich auch interessieren …