Антиспамовый фильтр (Sendmail + DrWeb + SpamAssassin)

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Аватара пользователя
Nikola
member
Сообщения: 20
Зарегистрирован: 18 мар 2004, 19:34
Откуда: Arhangelsk, Russia

Сообщение Nikola » 03 авг 2004, 09:32

Pilat
Дело в том, что white_list и не должен помогать
Это я и без тебя узнал

ALL откликнитесь, может кто знает как сделать чтобы SpamAssassin отдельные IP адреса не проверял?

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 03 авг 2004, 12:54

Nikola , Pilat
ребята а почему бы не почитать документацию ?
http://spamassassin.apache.org/doc/Mail ... _Conf.html
конкретно читаем про internal_networks и trusted_networks

IvanKS
Junior member
Сообщения: 7
Зарегистрирован: 05 авг 2004, 17:44

To: undisclosed-recipients:;

Сообщение IvanKS » 05 авг 2004, 17:55

Мимо фильтра проскочил спам, где в поле To: undisclosed-recipients:;
Spamassassin кажется вообще его не анализировал, тегов X-Spam в заголовке нет.

Используется FreeBSD + Sendmail + Spamassassin + Clamav

Может сталкивался кто-нибудь?

IvanKS
Junior member
Сообщения: 7
Зарегистрирован: 05 авг 2004, 17:44

Сообщение IvanKS » 06 авг 2004, 11:35

Проверил, везде User unknown

вот как это выглядело в логах сендмейла

Aug 5 13:50:31 ns sm-mta[30171]: i759o6tu030171: <alex@domain.com>... User unknown
Aug 5 13:52:36 ns sm-mta[30171]: i759o6tu030171: from=<scznwo@pisem.net>, size=369173, class=0, nrcpts=3, msgid=<200408050950.i759o6tu030171@domain.com>, bodytype=8BITMIME, proto=SMTP, daemon=MTA, relay=courbet-3-82-224-255-33.fbx.proxad.net [82.224.255.33]
Aug 5 13:52:37 ns sm-mta[30354]: i759o6tu030171: to=<geny@domain.com>,<denis@domian.com>,ivan@domain.com, delay=00:02:15, xdelay=00:00:00, mailer=local, pri=459505, relay=local, dsn=2.0.0, stat=Sent

Попытался смоделировать ситуацию, делал RCPT сперва неcуществующему юзеру, затем после паузы 2-3 минуты нескольким существующим. Действительно, в поле To: undisclosed-recipients:; но spamassassin при этом исправно всё проверяет.

И нагрузка на сервер вроде минимальная :((

Аватара пользователя
Nikola
member
Сообщения: 20
Зарегистрирован: 18 мар 2004, 19:34
Откуда: Arhangelsk, Russia

Сообщение Nikola » 06 авг 2004, 13:09

setar trusted_networks прописаны. И internal_networks прописаны результат 0

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Re: To: undisclosed-recipients:;

Сообщение corvax » 06 авг 2004, 17:40

IvanKS писал(а):Мимо фильтра проскочил спам, где в поле To: undisclosed-recipients:;
Spamassassin кажется вообще его не анализировал, тегов X-Spam в заголовке нет.

Используется FreeBSD + Sendmail + Spamassassin + Clamav

Может сталкивался кто-нибудь?
используется spamass-milter?
если да, то чему равен параметр F в строке подключения milter'а?

а если задрать под потолок (14) confMILTER_LOG_LEVEL и confLOG_LEVEL, пересобрать sendmail.cf, еще раз прогнать письмо через связку sendmail + spamass-milter + spamd и посмотреть содержимое maillog?

IvanKS
Junior member
Сообщения: 7
Зарегистрирован: 05 авг 2004, 17:44

Re: To: undisclosed-recipients:;

Сообщение IvanKS » 06 авг 2004, 18:07

corvax писал(а):
используется spamass-milter?
если да, то чему равен параметр F в строке подключения milter'а?

а если задрать под потолок (14) confMILTER_LOG_LEVEL и confLOG_LEVEL, пересобрать sendmail.cf, еще раз прогнать письмо через связку sendmail + spamass-milter + spamd и посмотреть содержимое maillog?
F=T

Остальное щас буду пробовать
Какое значение поставить в confLOG_LEVEL?
И ещё вопрос
У меня стоит define(`confNO_RCPT_ACTION', `add-to-undisclosed')
А должно?

Мне кажется глюк может быть связан ещё и с размером сообщения - 369K

Это какие же должны быть мощностя и каналы..

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Re: To: undisclosed-recipients:;

Сообщение corvax » 06 авг 2004, 18:26

IvanKS писал(а):
corvax писал(а):
используется spamass-milter?
если да, то чему равен параметр F в строке подключения milter'а?

а если задрать под потолок (14) confMILTER_LOG_LEVEL и confLOG_LEVEL, пересобрать sendmail.cf, еще раз прогнать письмо через связку sendmail + spamass-milter + spamd и посмотреть содержимое maillog?
F=T
тогда если милтер не отвечает, то письмо должно tempfail'ится
как поступает spamass-milter при недоступности spamd, я не тестил
IvanKS писал(а): Остальное щас буду пробовать
Какое значение поставить в confLOG_LEVEL?
я ж написла, 14. и confMILTER_LOG_LEVEL тоже задрать надо
IvanKS писал(а): И ещё вопрос
У меня стоит define(`confNO_RCPT_ACTION', `add-to-undisclosed')
А должно?
да нормальное это значение. просто надо при этом понимать, что если в полученном письме есть заголовок

To: undisclosed-recipients:;

то это означает лишь то, что в исходном письме заголовка To вообще не было
IvanKS писал(а): Мне кажется глюк может быть связан ещё и с размером сообщения - 369K..
и используется ограничение на размер проверямых сообщений?
хотя, я не вижу пока в man spamass-milter ограничения на размер сообщений

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 09 авг 2004, 12:47

а тут модно удалять целые группы сообщений, если в них видно, что админ допустил технические ошибки или неточности?
куда подевались сообщения об undisclosed-recipients в RCPT?

или это глюки форума? причем удалены строго определенные сообщения...

ню-ню... продолжайте в том же духе...

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 09 авг 2004, 12:55

corvax писал(а):а тут модно удалять целые группы сообщений, если в них видно, что админ допустил технические ошибки или неточности?
куда подевались сообщения об undisclosed-recipients в RCPT?

или это глюки форума? причем удалены строго определенные сообщения...

ню-ню... продолжайте в том же духе...
смотри сюда, http://www.3nity.ru/viewtopic.htm?t=2778
пустой прёп я вынес отдельно, дабы не засорять тему.

IvanKS
Junior member
Сообщения: 7
Зарегистрирован: 05 авг 2004, 17:44

Сообщение IvanKS » 09 авг 2004, 13:34

Вот что получается

Если засылаю именно этот проскочивший мессадж, то spamassain его игнорирует. При этом пробовал, сообщения большего объёма чекает.
Значит объём не при чём

Пробовал засылать только заголовок и текст этого сообщения - тоже не игнорирует.

Одним словом мистика. Неужели существуют сообщения, которые spamassasin игнорирует в силу их содержимого? Бред!

Пытался бить его на части, но честно говоря, времени не много для экспериментов.

Всё до чего дошёл, этот jpeg засланный даже как вложение из любой почтовой проги (OE, Bat) вызывает полный игнор у spamassassina
В логах при этом всё как будто milter`а и нет.

если кому-то интересно могу переслать это шедевр спамерских технологий

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 09 авг 2004, 13:54

IvanKS писал(а):Вот что получается
если кому-то интересно могу переслать это шедевр спамерских технологий
мне интересно
адрес указан в профиле

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1984
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 09 авг 2004, 14:36

IvanKS писал(а):если кому-то интересно могу переслать это шедевр спамерских технологий
Мне тоже интересно, зашлите пожалуйста на меня, причем желательно не forward, а тело сообщения с прикриплением в архиве, а то боюсь не пропустит почтовик.

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 09 авг 2004, 14:42

corvax писал(а):
IvanKS писал(а):Вот что получается
если кому-то интересно могу переслать это шедевр спамерских технологий
мне интересно
адрес указан в профиле
сначала я думал, что ни spamc ни spamass-milter не справились с парсингом multipart/alternative внутри multipart/mixed

ни один ни другой не отдали письмо на проверку демону. это видно как из вывода tcpdump'а, так и из вывода самого spamd, запущенного в отладочном режиме

но если убрать из письма замаймленный jpeg, то милтер честно одает письмо демону. надо будет еще потестить, как себя будет вести exim+exiscan в такой же позе

IvanKS
Junior member
Сообщения: 7
Зарегистрирован: 05 авг 2004, 17:44

Сообщение IvanKS » 09 авг 2004, 14:44

дык.. в жпеге какая-то хрень сидит

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»