---

Jeg kører med et procmail spamfilter, der normalt virker
tilfredstillende. Men en bestemt type spam ryger lige igennem filteret,
Hvad værre er, at jeg ikke forstår hvorfor Et eksempel:

tail procmail.log siger:
***
From s_acrane_lt@optinet.de Fri Sep 5 19:36:06 2003
Subject: =?iso-8859-1?b?UmU6Rm9yIHRoZSBtZW4uIFZpYWdyYS4=?=
Folder: /var/spool/mail/XXX 812

Men i mit mailprogram hedder det pludselig:
***
From s_acrane_lt@optinet.de Fri Sep 5 19:36:06 2003
Return-Path: <s_acrane_lt@optinet.de>
Received: from online.de (cs6668123-107.austin.rr.com [66.68.123.107])
by mail.kemi.dtu.dk (8.11.6/8.11.6) with ESMTP id h85HZxc23057
for <XXX@AAA.BBB.CCC>; Fri, 5 Sep 2003 19:36:04 +0200
Subject: Re:For the men. Viagra.
MIME-Version: 1.0
From: "Salvatore A. Crane" <s_acrane_lt@optinet.de>
To: XXX@AAA.BBB.CCC
Message-ID: <578801c373b2$6133b21c$9c230d78@i5awfz1>
Date: Fri, 05 Sep 2003 13:32:06 +0000
Content-Type: text/html
Content-Transfer-Encoding: 8bit

Jeg har naturligvis annonymiseret min e-mailadresse. Men hvordan bliver
"=?iso-8859-1?b?UmU6Rm9yIHRoZSBtZW4uIFZpYWdyYS4=?="

til

"Re:For the men. Viagra."

??? Tro mig, et subject med ordet viagra ville normalt ikke slippe
igennem Og med en iso-8859-3 kunne jeg nok også forstå det.

Det her sårer min stolthed. Er der en venlig sjæl derude der kan
forklare mig årsagen?

Michael

---

Michael Eriksen <sorry@no.spam> writes:

> Men hvordan bliver
> "=?iso-8859-1?b?UmU6Rm9yIHRoZSBtZW4uIFZpYWdyYS4=?="
>
> til
>
> "Re:For the men. Viagra."

Se RFC 2047 <http://rfc.sunsite.dk/rfc/rfc2047.html>

---

Michael Eriksen <sorry@no.spam> writes:

> ***
> From s_acrane_lt@optinet.de Fri Sep 5 19:36:06 2003
> Subject: =?iso-8859-1?b?UmU6Rm9yIHRoZSBtZW4uIFZpYWdyYS4=?=
> Folder: /var/spool/mail/XXX 812

Subject er base64-kodet.

Officielt skal subject være skrevet med ASCII, hvilket betyder at man
ikke kan skrive æ, ø og å. Normalt ignorere man det dog eller QP-koder
det.

Hvordan du let dekoder det i procmail har jeg ingen anelse om. Men
alene det at Base64-kode subject er et godt teg på at det er en
suspekt mail. Måske kan du bare sortere alt med =?iso-8855-1?b? ud.

--
Peter Makholm | Ladies and gentlemen, take my advice, pull down your
peter@makholm.net | pants and slide on the ice
http://hacking.dk | -- Sidney Freedman

---

Peter Makholm <peter@makholm.net> wrote in
news:87wucn150l.fsf@xyzzy.adsl.dk:

[snip]
> Måske kan du bare sortere alt med =?iso-8855-1?b? ud.
>
Næ, den går ikke. Jeg får meget legitim mail med æ, ø, å (her skal stå
&aelig; , &oslash; , &aring; i fald der er tegnsætproblemer og så
bliver subject tit lavet om til noget der begynder med "=?iso-8855-1" og
de danske bogstaver bliver lavet om til hex-kode, mens resten er alm.
pæn ascii-tekst.

Jeg har lige prøvet at lave et eksempel, men det kræver måske moget MS-
mailsnask, og det råder jeg ikke lige over...

Er =?iso-8855-1?b? (altså med ?b? til sidst) særlig tvivlsom?

Jeg er ved at kikke på Jespers reference, men det er tung læsning en
fredag aften

Michael

---

Michael Eriksen <sorry@no.spam> wrote in
news:Xns93EDD10C6B068kmedanbbsdk@212.54.64.135:

> Peter Makholm <peter@makholm.net> wrote in
> news:87wucn150l.fsf@xyzzy.adsl.dk:
>
> [snip]
>> Måske kan du bare sortere alt med =?iso-8855-1?b? ud.
>>
> Næ, den går ikke. Jeg får meget legitim mail med æ, ø, å (her skal
> stå &aelig; , &oslash; , &aring; i fald der er tegnsætproblemer
> og så bliver subject tit lavet om til noget der begynder med
> "=?iso-8855-1" og de danske bogstaver bliver lavet om til hex-kode,
> mens resten er alm. pæn ascii-tekst.
>
> Jeg har lige prøvet at lave et eksempel, men det kræver måske moget
> MS- mailsnask, og det råder jeg ikke lige over...
>
> Er =?iso-8855-1?b? (altså med ?b? til sidst) særlig tvivlsom?
>
> Jeg er ved at kikke på Jespers reference, men det er tung læsning
> en fredag aften
>
> Michael
>

Kan du ikke skrive ordentligt af! Det hedder altså iso-8859-1 Og så
skal jeg nok love at lade være med ukritisk at skrive af efter dig

Michael

---

Michael Eriksen <sorry@no.spam> writes:

> Næ, den går ikke. Jeg får meget legitim mail med æ, ø, å (her skal stå
> &aelig; , &oslash; , &aring; i fald der er tegnsætproblemer og så
> bliver subject tit lavet om til noget der begynder med "=?iso-8855-1" og
> de danske bogstaver bliver lavet om til hex-kode, mens resten er alm.
> pæn ascii-tekst.

Ja, det er QP-enkodet og hedder så '?iso-8859-1-?q?', altså med et q
og ikke et b tilsidst.

> Er =?iso-8855-1?b? (altså med ?b? til sidst) særlig tvivlsom?

Det ville jeg mene, men nu er jeg lige gået min egen mail-samling
igennem og ser at det er ret normalt at bruge Base64 i dele af
subject, så det vil nok være dumt at sortere på.

--
Peter Makholm | There are 10 kinds of people. Those who count in
peter@makholm.net | binary and those who don't
http://hacking.dk |

---

Michael Eriksen <sorry@no.spam> writes:

> Er =?iso-8855-1?b? (altså med ?b? til sidst) særlig tvivlsom?

Ikke specielt. Om man bruger B- eller Q-kodning afhænger
hovedsageligt af, hvor mange ikke-ASCII tegn strengen indeholder.
Hvis der er mange, er B bedst (kortest), ellers er Q bedst. Fx

Åååååååååååh!

Q: =?iso-8859-1?q?=C5=E5=E5=E5=E5=E5=E5=E5=E5=E5=E5h!?=
B: =?iso-8859-1?b?xeXl5eXl5eXl5eVoIQ==?=

Åh hold op!

Q: =?iso-8859-1?q?=C5h_hold_nu_op!?=
B: =?iso-8859-1?b?xWggaG9sZCBudSBvcCE=?=


Nå men du skal jo nok have fat på et eller andet program, som du kan
kalde fra procmail for at afkode dem. Ethvert scriptsprog med respekt
for sig selv (Perl, Tcl osv.) burde have en pakke som kan gøre det.

.... ellers kan Emacs som bekendt jo alt:

emacs --batch -l rfc2047.el --eval "(princ (rfc2047-decode-string \"$subject\"))"