Hallo,

ich verwende hier, auf Anraten, einen veränderten 'cleanfeed':
www.mixmin.net/cleanfeed (vom 05.01.2008). Unter anderem mit folgender
Konfiguration:

| do_phr => 1, # do posting-host (high-risk groups) check
| phr_aggressive => 0, # use path for phr filter when no posting host
| flood_groups => '^de\.admin\.net-abuse\.news$|[...]$', # high-risk groups

Um nach 'false positives' Anschau zu halten, lasse ich die entsprechenden
Artikel vor dem Blocken jedoch zunächst in einer Datei speichern. Und in
der habe ich gefunden:

| From: Clemens Zauner <cz+usenet<at>onlineloop.com>
| Message-ID: <ftbcf0$hev$3*geiz-ist-geil.priv.at>
| NNTP-Posting-Host: castle-romeo.onlineloop.com
| Newsgroups: de.admin.net-abuse.news

| From: Clemens Zauner <cz+usenet<at>onlineloop.com>
| Message-ID: <ftbc8n$hev$2*geiz-ist-geil.priv.at>
| NNTP-Posting-Host: castle-romeo.onlineloop.com
| Newsgroups: de.admin.net-abuse.news

[...]

Nun, so hatte ich mir das irgendwie nicht gedacht: Denn eigentlich lese
ich Clemens recht gern ;)

Also habe ich daraufhin ein

| phr_exempt => '[...]|^castle-romeo.onlineloop.com$',

gesetzt.

Doch kann mir jemand kurz erklären, wie es dazu gekommen ist? Und/oder,
woran ich drehen muß, um ähnliche Fälle zukünftig zu verhindern?

TIA & viele Grüße,
Thomas

* Ray Banana schrieb:

Irgendwie hab ich's ja geahnt, daß wieder Du es bist, der mir hilft :)

> Dazu gehören die Config-Einträge
>
> PHRRateCutoff => xx,
> PHRRateCeiling => xxx,
> PHRRateBaseInterval => xxxx,
>
> Wie sehen die bei dir aus?

Dort stehen die Defaults:

| PHRRateCutoff => 10,
| PHRRateCeiling => 80,
| PHRRateBaseInterval => 3600,

> Der Filter schlägt zu, wenn innerhalb von PHRRateBaseInterval
> Sekunden mehr als PHRRateCutoff Postings vom gleichen Posting
> Host nach flood_groups gepostet werden.

Hmm. Mit welchen Werten hast Du denn gute Erfahrungen gemacht,
wenn ich fragen darf?

Danke & viele Grüße,
Thomas

* Ray Banana schrieb:

> 10 Postings innerhalb von 6 Stunden ist etwas wenig, vor allem wenn
> jemand offline liest und schreibt und anschliessend alles auf einmal auf
> den Server schiebt. Meine letzten Werte waren 100/250/900, aber seitdem
> Bloxy seine Floods eingestellt hat, habe ich den Filter deaktiviert.
> Er liefert einfach zuviele false positives.

Dann werde ich das ebenfalls tun.
Ich hatte wegen zu vieler 'false positives' (neben 'phr_agressive') auch
schon 'phn_aggressive' abgeschaltet.

Nochmals danke & viele Grüße,
Thomas

Also sprach nospam-mbx*arcor.de (Thomas Nolte)

> | do_phr => 1, # do posting-host (high-risk groups) check
> | phr_aggressive => 0, # use path for phr filter when no posting host
> | flood_groups => '^de\.admin\.net-abuse\.news$|[...]$', # high-risk groups
[...]
> Doch kann mir jemand kurz erklären, wie es dazu gekommen ist? Und/oder,
> woran ich drehen muß, um ähnliche Fälle zukünftig zu verhindern?

Dazu gehören die Config-Einträge

PHRRateCutoff => xx,
PHRRateCeiling => xxx,
PHRRateBaseInterval => xxxx,

Wie sehen die bei dir aus? Der Filter schlägt zu, wenn
innerhalb von PHRRateBaseInterval Sekunden mehr als
PHRRateCutoff Postings vom gleichen Posting Host nach
flood_groups gepostet werden.


--
Too many ingredients in the soup, no room for a spoon.
http://news.motzarella.org

Also sprach nospam-mbx*arcor.de (Thomas Nolte)

> | PHRRateCutoff => 10,
> | PHRRateCeiling => 80,
> | PHRRateBaseInterval => 3600,
>> Der Filter schlägt zu, wenn innerhalb von PHRRateBaseInterval
>> Sekunden mehr als PHRRateCutoff Postings vom gleichen Posting
>> Host nach flood_groups gepostet werden.
> Hmm. Mit welchen Werten hast Du denn gute Erfahrungen gemacht,
> wenn ich fragen darf?

10 Postings innerhalb von 6 Stunden ist etwas wenig, vor allem wenn
jemand offline liest und schreibt und anschliessend alles auf einmal auf
den Server schiebt. Meine letzten Werte waren 100/250/900, aber seitdem
Bloxy seine Floods eingestellt hat, habe ich den Filter deaktiviert.
Er liefert einfach zuviele false positives.

--
Too many ingredients in the soup, no room for a spoon.
http://news.motzarella.org

Ray Banana schrieb:

>>| PHRRateBaseInterval => 3600,
>>> Der Filter schlägt zu, wenn innerhalb von PHRRateBaseInterval
>>> Sekunden mehr als PHRRateCutoff Postings vom gleichen Posting
>>> Host nach flood_groups gepostet werden.
[...]
> 10 Postings innerhalb von 6 Stunden ist etwas wenig,

1 Stunde (60x60 = 3600).

> vor allem wenn
> jemand offline liest und schreibt und anschliessend alles auf einmal auf
> den Server schiebt.

Aber das ändert nichts an der Richtigkeit dieser Feststellung.

Grüße,
-thh
--
Informationsschnipsel rund um Usenet und Newsserver:
<http://th-h.de/infos/usenet/>