Обучение SA + создание удобств для админа

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Nickname0001
Junior member
Сообщения: 3
Зарегистрирован: 30 янв 2008, 09:11
Откуда: Махач

Обучение SA + создание удобств для админа

Сообщение Nickname0001 » 30 янв 2008, 10:34

Есть связка Sendmail+Spamassassin, письма забираются по POP3.
Настроен procmail для того, чтобы кидать письма с "*****SPAM" в теме в файл почтовой базы для пользователя allspamgoeshere.

Чтоб как-то облегчить себе просмотр этой помойки и не вредить делу создал второй ящик spamlearn, куда просто копирую с помощью "cat" файл allspamgoeshere. Затем загружаю письма с первого ящика в Outlook и смотрю. Полезные письма ещё не разу не были отсеяны, но юзерам спам валится по 10 сообщений в день.

Дело в том, что на наш почтовый сервер (сейчас у нас свой домен) письма форвардятся с другого сервера (домена), который раньше использовался организацией по договору, теперь договор хранения почтовых ящиков истек, но иногда юзерам шлют на старые ящики. Мы попросили пока, чтоб их сервак переадресовал на наш, но спам поступает не фильтруемый.  В полях писем естественно пишется, что переадресовано с такого-то ящика. Влияют ли такие поля на качество обучения?

Ещё я, если не находил полезных писем в allspamgoeshere, натравливал sa-learn на spamlearn, но в том файле бывает множество одинаковых писем, что видимо тоже плохо. Раньше стояло включенным автообучение байесов, в результате чего некоторые виды спама были приняты за ham и таким письмам выставляются отрицательные баллы. Теперь я это отключил и учу вручную. Хотя "сигнатур" набралось несколько тысяч.

Сейчас, поняв, что обучение было не совсем адекватным, хочу переучить. Встали такие вопросы:

1) Если нету IMAP и пользователь не может класть нераспознанное спамовое письмо в отдельную папку на сервере, а пересланное пользователем письмо на служебный спамоадрес будет хранить в заголовках информацию, которая, мне кажется, может криво повлиять на обучение, как удобно и корректно можно организовать такое перемещение?

2) Если я просматриваю спамофайл (или пользовательский ящик) с кучей писем и обнаружил в нем:
а) полезное письмо;
б) уникальный интересный вид спама;

как средствами FreeBSD или вообще любыми по-быстрому извлечь именно это письмо и корректно кинуть в служебный файл для обучения?

3) Если спам из одной категории, то хватает ли одного акта обучения на письме такого рода? И не влияет ли плохо то, что я каждый день получаю одинаковые спам-письма, которые кидаются в спамофайл наряду с другими спам-письмами, и я запускаю училку на весь этот файл, тем самым обучаю на одном и том же?

4) Нужно ли учить на форвардённых спам-письмах?

5) В мануалах к спамассасину писалось о процедуре обучения - натравите sa-learn на каждую почтовую папку каждого пользователя.
Уникальны ли "сигнатуры" спама для каждого сервера/домена и каждого почтового ящика? Корректно ли будет импортировать файл с токенами от другого сервака?

6) Если учить на отловленном спаме, какая с этого польза?

Спасибо всем, кто дочитал до конца :)

Nickname0001
Junior member
Сообщения: 3
Зарегистрирован: 30 янв 2008, 09:11
Откуда: Махач

Сообщение Nickname0001 » 14 фев 2008, 08:53

1) и 4) Почитал форум, нашел ответ:
учить надо не на форварденных, класть надо неизмененными, например через копирование пропущенных писем на сервер, предварительно экспортированных из почтового клиента.
В the Bat  - это формат msg, но как я понял, почитав файлы и сравнив msg и eml - разницы нет.

2) Обходное решение на второй вопрос - загружать спам с этого ящика в клиент и экспортировать, но это иногда не выход.

6) Видать, мало пользы, но может какие-то новые обнаружацца и обучаться rulesets в отловленном?

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 16 гостей