Антиспамовый фильтр (Sendmail + DrWeb + SpamAssassin)

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Аватара пользователя
RedScorp
Advanced member
Сообщения: 158
Зарегистрирован: 24 июл 2003, 11:01
Откуда: Западный Казахстан, г.Уральск
Контактная информация:

Сообщение RedScorp » 13 апр 2004, 14:00

Оки. Спасибо.
Кстати про P.S. я и говорил. Просто слышал, что такое можно осуществить, а вот про результаты ни кто ни чего. Еще раз спасибо.
А вот по поводу проверки - она где ведеться???
Ну ладно, теперь буду ставить SpamAssassing.
"Я сюда еще вернусь..." (А.Макаревич)

toor99
Junior member
Сообщения: 1
Зарегистрирован: 21 апр 2004, 16:43
Контактная информация:

Сообщение toor99 » 21 апр 2004, 16:45

setar писал(а):to Nitro
В корне неверная опция all_spam_to add@ress.com
Любые письма присланные на этот адрес будут признаны спамом со всеми вытекающими!
Сюда заносится липовый адрес специально подставленный для роботов сканеров mail адресов с пометкой не пишите сюда если вы не спаммер ;)
Кгхм. Неверно.

Цытата:
There are three levels of To-whitelisting, whitelist_to, more_spam_to and all_spam_to. Users in the first level may still get some spammish mails blocked, but users in all_spam_to should never get mail blocked.

А для того, что вы имели в виду, есть другие опции:

blacklist_to add@ress.com
If the given address appears as a recipient in the message headers
(Resent-To, To, Cc, obvious envelope recipient, etc.) the mail will
be blacklisted. Same format as blacklist_from.

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 22 апр 2004, 10:36

toor99 писал(а):Кгхм. Неверно.

Цытата:
There are three levels of To-whitelisting, whitelist_to, more_spam_to and all_spam_to. Users in the first level may still get some spammish mails blocked, but users in all_spam_to should never get mail blocked.

А для того, что вы имели в виду, есть другие опции:

blacklist_to add@ress.com
If the given address appears as a recipient in the message headers
(Resent-To, To, Cc, obvious envelope recipient, etc.) the mail will
be blacklisted. Same format as blacklist_from.
:D Абсолютно справедливо, снимаю шляпу.
:wink: это лишний раз доказывает, что всегда и всё нужно проверять и пробовать самостоятельно, особенно если пишешь конфиги.

MikolaT
member
Сообщения: 26
Зарегистрирован: 17 мар 2004, 09:59

bug in spamassasin 2.63

Сообщение MikolaT » 06 май 2004, 12:06

Заметил баг в spamassasin 2.63. (sendmail 8.12.10, drweb-smf 4.29.10)
Валится намертво, в коредамп, при получении в хидере сообщения конструкции типа:

Код: Выделить всё

Message-ID: <D[20
вот что в логах:

Код: Выделить всё

May  5 19:08:05 relay sm-mta[54295]: i45C7vwZ054295: from=<sharon@someserver.net>, size=1340, class=0, nrcpts=1, msgid=<D[20, proto=ESMTP, daemon=MTA, relay=relay.otherserver.ru [195.aaa.aba.aca]
May  5 19:08:05 relay spamd[375]: connection from localhost.myserver.ru [127.0.0.1] at port 1180 
May  5 19:08:05 relay spamd[54302]: processing message <D[20 for root:65534. 
May  5 19:08:06 relay spamd[54302]: identified spam (8.1/5.0) for root:65534 in 1.0 seconds, 1552 bytes. 
May  5 19:08:06 relay sm-mta[54295]: i45C7vwZ054295: milter_read(spamassassin): cmd read returned 0, expecting 5
May  5 19:08:06 relay sm-mta[54295]: i45C7vwZ054295: Milter (spamassassin): to error state
May  5 19:08:06 relay drweb-smf: [i45C7vwZ054295]: message from sharon@someserver.net is aborted
May  5 19:08:06 relay sm-mta[54295]: i45C7vwZ054295: Milter: data, reject=451 4.7.1 Please try again later
May  5 19:09:28 relay sm-mta[54307]: i45C9SwZ054307: Milter (spamassassin): error connecting to filter: Connection refused by /var/run/spamass-milter
May  5 19:09:28 relay sm-mta[54307]: i45C9SwZ054307: Milter (spamassassin): to error state
May  5 19:09:28 relay sm-mta[54307]: i45C9SwZ054307: Milter: initialization failed, temp failing commands
May  5 19:09:32 relay sm-mta[54308]: i45C9WwZ054308: Milter (spamassassin): error connecting to filter: Connection refused by /var/run/spamass-milter
May  5 19:09:32 relay sm-mta[54308]: i45C9WwZ054308: Milter (spamassassin): to error state
т.е. как я понимаю, это рассылается виряк с таким хидером.
никто не сталкивался? как вылечить?

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 06 май 2004, 14:52

вылечить видимо патчем можно
я тут пытался найти баг из известных, но честно говоря просто не хватило терпения, уж очень их много...
http://bugzilla.spamassassin.org/buglis ... s=REOPENED

Сам лично пока не нарывался.

magic
member
Сообщения: 20
Зарегистрирован: 12 май 2004, 04:30

Spamassassin Bayes

Сообщение magic » 12 май 2004, 04:42

Доброго время суток!
Небольшая проблема:
В приходящем письме не ставится оценка Bayes, обучение провел

Доброго времени суток!
Проблема следующая:
В приходящем письме не стоит оцека Bayes
spamassassin -D --lint выдает следующее:


debug: Score set 0 chosen.
debug: running in taint mode? yes
debug: Running in taint mode, removing unsafe env vars, and resetting PATH
debug: PATH included '/usr/local/sbin', keeping.
debug: PATH included '/usr/sbin', keeping.
debug: PATH included '/sbin', keeping.
debug: PATH included '/usr/local/sbin', keeping.
debug: PATH included '/usr/local/bin', keeping.
debug: PATH included '/sbin', keeping.
debug: PATH included '/bin', keeping.
debug: PATH included '/usr/sbin', keeping.
debug: PATH included '/usr/bin', keeping.
debug: PATH included '/usr/X11R6/bin', keeping.
debug: PATH included '/root/bin', which doesn't exist, dropping.
debug: Final PATH set to: /usr/local/sbin:/usr/sbin:/sbin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin
debug: ignore: using a test message to lint rules
debug: using "/usr/share/spamassassin" for default rules dir
debug: using "/etc/mail/spamassassin" for site rules dir
debug: using "/root/.spamassassin" for user state dir
debug: using "/root/.spamassassin/user_prefs" for user prefs file
debug: bayes: 22461 tie-ing to DB file R/O /etc/mail/spamassassin/bayes_toks
debug: bayes: 22461 tie-ing to DB file R/O /etc/mail/spamassassin/bayes_seen
debug: bayes: found bayes db version 2
debug: Score set 3 chosen.
debug: Initialising learner
debug: Loading languages file...
debug: Language possibly: en,sco
debug: dns_available set to yes in config file, skipping test
debug: is Net::DNS::Resolver available? yes
debug: all '*From' addrs: ignore@compiling.spamassassin.taint.org
debug: running header regexp tests; score so far=0
debug: running body-text per-line regexp tests; score so far=2.077
debug: bayes corpus size: nspam = 337, nham = 563
debug: uri tests: Done uriRE
debug: tokenize: header tokens for *F = "U*ignore D*compiling.spamassassin.taint.org D*spamassassin.taint.org D*taint.org D*org"
debug: tokenize: header tokens for *m = " 1084266398 lint_rules "
debug: bayes token 'message' => 0.000206843521722414
debug: bayes token 'H*F:D*org' => 0.995837837837838
debug: bayes token 'body' => 0.0256190476190476
debug: bayes: score = 0.456284251644015
debug: bayes: 22461 untie-ing
debug: bayes: 22461 untie-ing db_toks
debug: bayes: 22461 untie-ing db_seen
debug: Razor2 is not available
debug: running raw-body-text per-line regexp tests; score so far=2.077
debug: running uri tests; score so far=2.077
debug: uri tests: Done uriRE
debug: running full-text regexp tests; score so far=2.077
debug: Razor2 is not available
debug: DCCifd is not available: no r/w dccifd socket found.
debug: all '*To' addrs:
debug: RBL: success for 1 of 1 queries
debug: running meta tests; score so far=2.077
debug: is spam? score=2.076 required=6 tests=BAYES_44,DATE_MISSING,NO_REAL_NAME


где может быть засада?

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 12 май 2004, 11:28

to magic
почему вы считаете что оценка не стоит? - я вижу BAYES_44
если в письме есть другие оценки и нет баеса, то пришлите пример заголовка проверенного письма и результат
#sa-learn --dump magic
Судя по вышеприведённому дампу всё хорошо.

magic
member
Сообщения: 20
Зарегистрирован: 12 май 2004, 04:30

Сообщение magic » 13 май 2004, 04:56

Доброго времени суток ВАМ setar !

Вот пример письма:

Return-Path: <magic@test.com>
Delivered-To: test.com-magic@test.com
Return-Path: <terje@pcmail.com.tw>
Delivered-To: rulyar-vv@biryusa.ru
Received: (qmail 29443 invoked from network); 13 Jan 2004 06:59:38 -0000
Received: from unknown (HELO biryusa.ktk.ru) (192.168.0.1)
by 192.168.0.2 with SMTP; 13 Jan 2004 06:59:38 -0000
Received: (qmail 28589 invoked from network); 13 Jan 2004 13:46:14 -0000
Received: from mail.ktk.ru (80.253.225.4)
by biryusa.ktk.ru with SMTP; 13 Jan 2004 13:46:14 -0000
Received: from CPE-144-136-154-93.qld.bigpond.net.au (CPE-144-136-154-93.qld.bigpond.net.au [144.136.154.93])
by mail.ktk.ru (8.12.10/8.12.10) with SMTP id i0D6pKR6093575
for <rulyak-vv@biryusa.ru>; Tue, 13 Jan 2004 13:51:25 +0700 (KRAT)
Received: from pcmail.com.tw (pcmail-com-tw.mr.outblaze.com [203.86.166.16])
by CPE-144-136-154-93.qld.bigpond.net.au (Postfix) with ESMTP id 6A7F9BBAC9
for <rulyak-vv@biryusa.ru>; Tue, 13 Jan 2004 01:49:10 -0500
From: magic <magic@test.com>
To: magic@test.com
Date: Thu, 13 May 2004 07:38:57 -0500
MIME-Version: 1.0
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2479.0006
X-Virus-Scanned: by amavisd-milter (http://amavis.org/)
X-UID: 5
Organization: [A.I.M]
User-Agent: KMail/1.5
Content-Type: text/plain;
charset="windows-1251"
Content-Transfer-Encoding: base64
Content-Disposition: inline
Message-Id: <200405130838.57110.magic@test.com>
X-Spam-Status: Yes, hits=5.6 required=5.0
tests=BASE64_ENC_TEXT,FORGED_MUA_OUTLOOK,
RCVD_IN_UNCONFIRMED_DSBL,USER_AGENT
version=2.55
X-Spam-Level: *****
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
X-Spam-Report: This mail is probably spam. The original message has been attached
along with this report, so you can recognize or block similar unwanted
mail in future. See http://spamassassin.org/tag/ for more details.
Content preview: &#206;&#206;&#206; "&#209;&#242;&#243;&#228;&#232;&#238; - &#200;&#236;&#232;&#228;&#230;" &#208;&#238;&#230;&#228;&#229;&#241;&#242;&#226;&#229;&#237;&#241;&#234;&#232;&#229; &#239;&#240;&#224;&#231;&#228;&#237;&#232;&#234;&#232; &#239;&#240;&#238;&#245;&#238;&#228;&#255;&#242;
- &#205;&#229;&#238;&#225;&#245;&#238;&#228;&#232;&#236;&#238;&#241;&#242;&#252; &#226; &#240;&#229;&#234;&#235;&#224;&#236;&#229; &#238;&#241;&#242;&#224;&#229;&#242;&#241;&#255; &#207;&#206;&#203;&#200;&#221;&#210;&#200;&#203;&#197;&#205;&#206;&#194;&#219;&#197; &#207;&#192;&#202;&#197;&#210;&#219; &#226;&#251;&#241;&#238;&#234;&#238;&#227;&#238;
&#228;&#224;&#226;&#235;&#229;&#237;&#232;&#255; &#209; &#194;&#224;&#248;&#229;&#233; &#244;&#232;&#240;&#236;&#229;&#237;&#237;&#238;&#233; &#241;&#232;&#236;&#226;&#238;&#235;&#232;&#234;&#238;&#233; &#210;&#232;&#240;&#224;&#230; 1 &#246;&#226;. 2 &#246;&#226;. 3 &#246;&#226;. 4 &#246;&#226;. 5
&#246;&#226;. 6 &#246;&#226;. 7 &#246;&#226;. 8 &#246;&#226;. 500 0,33 0,37 0,51 0,63 0,78 0,98 1,23 1,53 1000
0,25 0,30 0,38 0,48 0,60 0,75 0,93 1,10 2000 0,22 0,27 0,34 0,43 0,53
0,67 0,83 1,04 3000 0,17 0,21 0,26 0,33 0,41 0,51 0,64 0,70 5000 0,15
0,18 0,22 0,27 0,33 0,42 0,52 0,62 10000 0,13 0,16 0,19 0,23 0,28 0,35
0,44 0,54 [...]
Content analysis details: (5.60 points, 5 required)
BASE64_ENC_TEXT (1.6 points) RAW: Message text disguised using base-64 encoding
RCVD_IN_UNCONFIRMED_DSBL (0.5 points) RBL: Received via a relay in unconfirmed.dsbl.org
[RBL check: found 93.154.136.144.unconfirmed.dsbl.org.]
FORGED_MUA_OUTLOOK (3.5 points) Forged mail pretending to be from MS Outlook
USER_AGENT (0.0 points) Has a User-Agent header
X-Spam-Flag: YES
Subject: *****SPAM***** =?windows-1251?b?UGXq62Hs7ftl?= =?windows-1251?b?IGN54mXt6HD7?=


ООО "Студио - Имидж"

Рождественские праздники проходят -
Необходимость в рекламе остается

ПОЛИЭТИЛЕНОВЫЕ ПАКЕТЫ
высокого давления
С Вашей фирменной символикой
Тираж 1 цв. 2 цв. 3 цв. 4 цв. 5 цв. 6 цв. 7 цв.
8 цв.
500 0,33 0,37 0,51 0,63 0,78 0,98 1,23
1,53
1000 0,25 0,30 0,38 0,48 0,60 0,75 0,93
1,10
2000 0,22 0,27 0,34 0,43 0,53 0,67 0,83
1,04
3000 0,17 0,21 0,26 0,33 0,41 0,51 0,64
0,70
5000 0,15 0,18 0,22 0,27 0,33 0,42 0,52
0,62
10000 0,13 0,16 0,19 0,23 0,28 0,35 0,44
0,54

Пакет белый, размер 40х50, 55 микрон, укрепленная ручка, донная складка.
Площадь запечатки - 30х30 см
Возможны: уплотненные пакеты (80 микрон), цветные пакеты.
Размер 30х40 - 0,01у.е
При площади запечатки - 33х33 см +0,03 у.е
Пакеты низкого давления в форме "маечка" просчитывается по отдельному
прайс-листу

Специальное предложение и скидки!
РЕКЛАМНЫЕ СУВЕНИРЫ
Предлагаем Вашему вниманию более 5000 наименований
рекламно-сувенирной продукции (ручки, зажигалки, ежедневники, кружки,
футболки,
бейсболки, брелоки, пепельницы, портфели, часы и многое другое).
Постоянно в наличии продукция на складе.
Собственная производственная база позволяет
осуществлять нанесение логотипа быстро и качественно.

Наш менеджер приедет к Вам в офис с образцами и каталогами

Ждем звонков по телефонам: 514-7982, 514-7986.

sa-learn --dump magic:

0.000 0 2 0 non-token data: bayes db version
0.000 0 337 0 non-token data: nspam
0.000 0 563 0 non-token data: nham
0.000 0 39629 0 non-token data: ntokens
0.000 0 1015825308 0 non-token data: oldest atime
0.000 0 1084265943 0 non-token data: newest atime
0.000 0 1084265943 0 non-token data: last journal sync atime
0.000 0 0 0 non-token data: last expiry atime
0.000 0 0 0 non-token data: last expire atime delta
0.000 0 0 0 non-token data: last expire reduction count

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 13 май 2004, 11:05

to magic
действительно оценка баеса у вас не присутствует в письме.

Общие мысли на которые следует обратить внимание:
1. присутствие в конфиге

Код: Выделить всё

use_bayes   1 
2. не менялись ли права на файлы auto_whitelist.db bayes_seen bayes_journal bayes_toks , ну и присутствие этих файлов.
3. не менялись ли стандартные пороговые значения для первоначального обучения баеса (200 чёрных и 200 белых писем)

magic
member
Сообщения: 20
Зарегистрирован: 12 май 2004, 04:30

Сообщение magic » 13 май 2004, 12:26

To setar

locall.cf:

rewrite_subject 1
required_hits 6.0

use_terse_report 0
use_dcc 0
use_pyzor 0
auto_whitelist_path /etc/mail/spamassassin/auto_whitelist

use_bayes 1
bayes_path /etc/mail/spamassassin/bayes

auto_learn 1
ok_languages ru en
ok_locales ru en
dns_available yes
always_add_headers 1

#If you set this to option to `1', the report will be included in the X-Spam-Report header, even if the message is not tagged as spam.
always_add_report 1

report_safe 1

настройку по-умолчанию в 200 писем не менял
владелец баз данных - root, похоже наверно из-за этого, а кого поставить владельцем?
Файлов bayes_journal и auto_whitelist.db не присутствует

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 14 май 2004, 13:24

magic писал(а):/usr/bin/spamd -a -d -u nobodyвладелец баз данных - root, похоже наверно из-за этого, а кого поставить владельцем?
Файлов bayes_journal и auto_whitelist.db не присутствует
посмотрите от какого юзера запущен демон у меня nobody, файлы тоже nobody:root с правами 600.
/usr/bin/spamd -a -d -u nobody

ssloy
Junior member
Сообщения: 3
Зарегистрирован: 14 май 2004, 18:31

Сообщение ssloy » 14 май 2004, 18:34

А кто-нибудь пробовал настроить спамассассин, чтобы он в ответ на письма, что подозревает в спаме, слал бы уведомление

Mail Delivery Subsystem

(reason: 553 5.3.0 .... No such user here)

?

Аватара пользователя
exLH
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 5061
Зарегистрирован: 11 фев 2004, 15:49
Откуда: Москва
Контактная информация:

Сообщение exLH » 14 май 2004, 19:03

Если я что-то понимаю, то спамассассин письма проверяет уже _полученные_, а ответ 553 отсылается MTA не после получения тела письма, а до этого.

ssloy
Junior member
Сообщения: 3
Зарегистрирован: 14 май 2004, 18:31

Сообщение ssloy » 16 май 2004, 16:57

Ну, если я правильно понимаю, то спамассассин сам только вставляет теги в заголовок, и только его милтер что-то с ними делает.

Вот и вопрос, как можно отсылать уведомления хоть какого-нибудь образца?
чтобы можно было позвонить в случае чего

magic
member
Сообщения: 20
Зарегистрирован: 12 май 2004, 04:30

Сообщение magic » 17 май 2004, 04:20

to setar

демон у меня вот так запускается
root 22503 1 0 May11 ? 00:00:05 /usr/bin/spamd -d -c -a -m5 -H

права на файлы root:root 600

Попробую на другой системе байеса запустить

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»