Názory k článku
SpamAssassin: Braňte se proti spamům!

A jak na to, pokud jsou uživatelské účty (pro virtuální domény) v databázi, tudíž nic jako ~ pro toho kterého uživatele nefunguje. Jak nastavit procmail a jak uživatelské nastavení spamassasinu?
Díky

SpamAssasin lze spoustet i primo v MTA. V postfixu by mel jit nahodit jako externi filter. Podrobnosti v dokumentaci.

mail pro virtualni domenu smeruje na konkretniho uzivatele (popr. na konkretni user_name@stroj), tak staci nastavit v ~/.procmailrc toho ktereho uzivatele filtr.

nebo je mozne nastavit globalni pravidla pro procmail

a nakonec je mozne nastavit filter do /etc/mail/sendmail.cf :) hodne stesti (:

No, ja mozna dostavam jiny spam... I pokud nepocitam soucasny virus, posilany jako bezpecnostni varovani Mrkvosoftu, tak je ucinnost SA maximalne 90% (i kdyz i to neni spatne, mozna by pomohlo snizit threshold).

Ale navic je nutno explicitne whitelistovat nektere newslettery, protoze pokud je "SPAM" pouze v HTML a on k nemu prida svuj komentar (body za jednotlive testy), tak neni trivialni prinutit MUA aby to HTML zobrazila :-(

Spamassassin je dobre pouzivat ve spojeni s nejakym mailscannerem. Pokud pouzivate MTA Sendmail, tak napr. www.mailscanner.info. Pak si mailscanner vybira mail z prichozi fronty, necha mail ohodnotit Spamassassinem, anitivirem a pokud je nezavadny, ulozi jej do odchozi fronty. Navic umi mailscanner mnoho dalsich veci a je bohate konfigurovatelny.

Pak byste si mohl dat zminene "varovani Microsoftu" do konfigurace MailScanneru jako SilentVirus a hotovo.

BTW trestne body se u SpamAssassinu nescitaji. Pouziva se slozitejsi algoritmus.

ntw

Ja mam dva ucty, na jednom je antivirus, tam Microsoft ani nedochazi. Takze to neni problem.

Ale porad to neresi ten problem s chtenymi HTML maily :-(

Ahoj Michale,

resil jsem stejny problem jako ty a vyresil jsem ho konfiguraci SA. Proste jsem mu zakazal modifikovat telo mailu nejakym prepinacem, na ktery si ted z voleje nevzpomenu.
SA to dela zcela zamerne a to proto, ze se snazi potencialne zavadny "HTML spam" zcela modifikovat tak, aby ho MUA nezobrazil jako HTML a tedy odesilatel nemel sanci trackovat, ze dana emailova adresa je aktivni (viz. napr. zname obrazky 1x1px ;)

Pripadne muzu pohledat v konfiguraci...

Doufam, ze nejsem uplne mimo misu ;)

komentar moze kludne pridavat aj do hlavicky - vtedy sa s telom nic nerobi, takze HTML sa zobrazi spravne

"Z toho plyne, že pokud si poštu stahujete z cizího serveru přímo do svého mailového klienta, nebude vám SpamAssassin nic platný."

Používám na stahování pošty Kmail ze vzdáleného POP3. Kmail umí přijatou poštu protlačit přes externí program a dál pracovat s výsledkem. Nic mi tedy nebrání vytvořit filtr, který vezme příchozí poštu, prožene ji přes SA, který doplní hlavičku. Dalším filtrem si to podle obsahu hlavičky přesunu do složky se spamem. Takže Spamassasin je velmi platný i při stahování pošty z cizího serveru! Bohužel proklamované úspěšnosti nedosahuje a to ho učím :-/, zatím tak 75% ale i to mi hodně pomáhá. Co je pravda, že se ještě ani jednou nesekl.

Ja pouzivam SA cca dva roky (mozna dele) a drive mel uspesnost obrovskou, urcite 98%, spis vic. Ted se ale roztrhl pytel s tim falesnym Microsoftem (jeste horsi nez skutecny :-)) a podobnou haveti, kterou naprosto nezvlada, takze mam denne cca deset spamu nerozpoznanych (drive to byl jeden za mesic apod.), proto se chci zeptat: jak ho muzu "ucit"?

Mozna to zkombinovat s veci jako Messagewall apod. Messagewall muz byt naprosto striktni pri dodrzovani RFC (coz standardni maily jsou, spamy casto nikoliv), muze kontrolovat existenci domen a ma taktez vybornou funkci a to je moznost vyzadovat funkcni reverzni DNS zaznam. Mne to (ve spolupraci s primitivni kontrolou na klicova slova typu penis, viagra, loan apod.) zachyti vetsinu spamu.

Ucit tzv. bayes modul muzes tak, ze hodis spam do slozky napr. /root/spam a ham (tj. maily, ktere nejsou spamy) do slozky napr. /root/ham. Pak spustis:

sa-learn --spam --showdots --dir /root/spam
sa-learn --ham --showdots --dir /root/ham
(viz man sa-learn)

Bayes modul zacne fungovat, az zna aspon 200 spamu/hamu. Optimalni velikost databaze je 5000. Funkcnost spamassassinu a bayesu (vcetne stavu databaze) zjistis prikazem

spamassassin -D --lint

Dulezite je Bayes naucit nejen co je spam, ale i co spam neni.

Bayes ohodnoti pravdepodobnost, ze mail je spam a v hlavicce mailu se to ukaze jako jeden tag spamassassinu s nazvem BAYES_xx, kde xx vyjadruje pravdepodobnost, ze mail je spam. Napr. ve vypisu uvedenem nize BAYES_90 vyjadruje pravdepodobnost 90% az 99% a ve spamassassinu je pro tag BAYES_90 nastaveno score 3.00.

Sep 25 09:46:09 agneta MailScanner[4210]: Message h8P7k3PE004815 from 198.208.105.137 (nhev652swp@insurer.com) to mydomain.cz is spam, ORDB-RBL, SpamAssassin (score=5.6, required 4.9, BAYES_90 3.00, DATE_IN_PAST_03_06 0.27, FORGED_MUA_OUTLOOK 2.17, MISSING_MIMEOLE 0.10)

ntw

A safra, potřeboval bych poradit. Podle Vaší rady jsem dal
spamassassin -D --lint
a dozvěděl jsem se, že "Only 17 spam(s) in Bayes DB

sa-learn na konci vypise, z kolika mailu si zaznamenal informace.

zkuste to spustit na jednom mailu s prepinacem -D
sa-learn -D --spam --single

Kde vo vypise po zadani prikazu spamassassin -D --lint mam najst udaj o velkosti databazy? Ja som tan nic podobne nenasiel.

Poctivě jsem všechy ty viry "od Mrkvosoftu" nahraval zpatky na server a spamassassina je učil. Udělal jsem to asi s šedesáti různýma kopiema toho viru. Ale nebylo to nic platný, spamassassin to pořád nechápal jako spam. (Jak je to možný??) Nakonec jsem to vyřešil. Jednoduše jsem přidal do blacklistu slovo Microsoft a msn.com. Funguje cca na 95%, což je pohoda oproti předchozímu stavu.

Nachapu, jak to tenhle virus dela, ale opravdu se mu dari SpamAssassin totalne obejit. I kdyz jsem mu rucne pridal par pravidel typu "SECURITY_UPDATE", "ALL_KNOWN_SECURITY_VULNERABILITIES", "NOT_REPLY_THIS_MESSAGE", apod., tak z neznamyho duvodu tenhle mail naproso ignoruje, akorat najde MICROSOFT_EXECUTABLE a MIME_HTML_NO_CHARSET.

Ale uz se s tim nehodlam s#at, nastavil jsem score MICROSOFT_EXECUTABLE na 5 a vsechny soucasny i budouci viry timto odkazuji do /dev/null :-)).

Spamassassin je na spam - virový email je něco dost odlišného. Pravidla spamassassina se nehodí moc na viry, protože ty mají jiné typické znaky.

Presne tak. Nejlepsi je pouzivat jak SpamAssassin tak Antivirus (a jako wrapper pouzit nejaky mailscanner).
ntw

Kdyz jsem v Linuxu, je pro me virus totez, co spam. Proste obtizna moucha, kterou je treba zabit. A ocekaval bych, ze spamassassin to udela.

Jo jenze smyslem spam filteru je zbranit stahovani toho spamu ze serveru as tim predchazet zahlceni linky, takze spamfilter je treba aplikovat tam, kdyz si ho dam az u sebe, tak se spam nejdriv stahne a pak teprve zahodi, coz jaksi neni uplne ono.

To je samozrejme pravda, ale na mnou pouzivanem pop3 serveru neni zadna antispam ochrana a tak to resim po svem. Navic to nijak neni v rozporu s mym tvrzenim, ze ve clanku je velka nepresnost. SA na lokalu s MUA je resitelny. Ze to neni idealni? ...lepsi takhle jak vubec ;)

Lepsi mne pripada Bogofilter (http://bogofilter.sourceforge.net/).
- neni to v Perlu, je to primo binarka - nezatezuje to tolik stroj
- instalace a sprava je jednodussi

moje rec nebo, spamprobe, totez, velmi ucine a maly rychly programek..

dobry den,

prijde mi legracni, ze autor popisuje SW, ktery obsahuje tak primitivni metody detekce spamu. aby byl korektni, mel by alespon uvest, ze existuji jine (a lepsi) alternativy.

napr. spambayes (spambayes.sourceforge.net) je sada programu, ktere se nejdrive musi *naucit*, co je spam a co neni, a na zaklade toho pak jsou schopne velice dobre ohodnotit, co spam je a co neni *na zaklade preferenci uzivatele* (oproti SA, ktery ma sadu nadefinovanou pevne a ktera s postupem casu zastarava).

Jasne, to je mozna vhodne pro osobni pouziti, ale pro nasazeni ve firme kde jsou BFU je to dost nepouzitelne.

omyl, SA obsahuje Bayesovske filtry a to tedy rozhodne neni primitivni metoda detekce spamu.

Bayesianske filtry take nejsou samospasitelne ... Nebo jste si jeste nevsiml spamu, ktere maji puvodni text prokladany vyplnovymi slovy (treba v HTML komentarich) z nejakeho slovniku?

Tohle umi MailCorral. Nejdrive zpracuje text do "viditelne" podoby - odstrani komentare a vsuvky a potom ho teprve zpracovava dal.

Jo, tohle mam v planu dodelat do bogofilteru (preprocesor, ktery podobne veci vyhazi pred samotmym zpracovani bayesovskym filterem). Ale mam to v planu uz tak dlouho, ze to nejspis udela nekdo jiny driv :-)

Myslím, že jde opět o nekonečný souboj zlodějů a policajtů. Prostě policajti budou vždycky o nějaký ten krůček pozadu. Stejný problém mají antiviry - prostě někdy je lepší ten a za měsíc zase jiný. Jen je potřeba rozlišit, kdo už úplně zaspal.

Tak co, nemá někdo čas a chut udělat malou rekognoskaci a napsat srovnávací (nebo aspon přehledový) článek?

Docela by mě zajímalo, jakou technologii používá mozilla, protože mě funguje tak s 95% spolehlivostí už od naučení cca 100 mailů. Pravda je, že zpočátku mi hodně označovala korektní maily a dodnes má těžký problém s odlišením notifikačních mailů od RedHatu.

Nektery veci me dohanej k zurivosti a mj. je to i tenhle spam. Protoze presne vim, kdy to cele zacalo, dovolim si tvrdit, jak spammeri prisli na moji adresu, protoze pouzili adresu, kterou znalo asi 5 lidi.

Zacalo to cele tim, ze mi prisel od znameho, ktery mi obcas posilal zpravy na vyse zminenou adresu (samozrejme z outlooku, dejte utajovanou adresu nekomu, kdo ma ol a mate problemy, viz nize). Jednoho dne prisel...no typicky virus, co naleze na outlook vybere seznam adres, ktery najde, nahodne je pokrizi, prida kus nejake zpravy, svoje telo a posle se dal. Moje reakce na tuhle ,,krasu'' byla typicka, cele jsem to poslal slusne receno do /dev/null, bohuzel tu zpravu jsem nasledne presunul tamtez, coz jsem v dany moment povazoval za rozumne reseni (dnes bych to uz neudelal...). Kurz und gut. Do hodiny po tyhle udalosti jsem obdrzel prvni ,,Increase your penis length''. Od te doby chodi tahle zprava zhruba trikrat za den. Z ruznych adres, dokonce z ruznych serveru. Mail je vzdy stejny, zadny zahadny kod jiz neobsahuje, jen otravuje. Vyresil jsem to celkem jednoduse v ~/.procmailrc odsunutim zprav, obsahujicich v nazvu slovo ,,penis'' do /dev/null, coz je pomerne jednoduchy a spolehlivy pravidlo.

Zaver z toho mam jedinej. Autori mail cervu (viru) nejsou zmindrakovani pubertaci, jaxe snazi verejnosti soustavne nekdo namluvit, imho jsou to malo schopni programatori, ovsem dobre placeni reklamnimi agenty. Kde je dpdl nejaka etika a vlastni hrdost bych rad vedel, ale nejspis nekde v /dev/null mezi pytlem spamu.

...a nasledne se vyvali pytel ,,magu'', kteri vice ci mene uspesne resi problemy se spamem, ovsem za pytle penez. ...a vsichni se velmi dobre zivi...sice paraziticky, ale zivi...

BTW vite kolik by bylo lidi bez prace, kdyby ti ,,pubertalni blbecci'' prestali psat viry?

right

Obávám se, že podobný problém je i MicroSoft kdyby nebyl tak problematický tak je taktéž spousta lidí na poli a seká trávu srpem ;-)
jinak je vše all right

Spamassassin používáme v kombinaci s Amavisd-new+Clamav+Postfix a vše šlape jak má,
problém byl, když byla v několika málo případech zachycena pošta našich klientů, ale to spravil whitelist a zvednutí hodnoty hits z 5 na 7,5 bodů.

Pouzivam tutez kombinaci (SA+Amavis+ClamAV+PostFix) a jsem spokojen! Postfix navic nastaven celkem "drasticky" (kontrola existence domeny, dodrzovani RFC apod.). Problem mi delaji jen SPAMy, ktere josu koncipovany jako jeden obrazek, vicemene bez textu.

Obdobne to riesim aj ja. Postfix+Amavis-new+SophosAV+Courier-IMAP+LDAP. V LDAP su vsetky virtualne mail konta a LDAP ma aj amavis schemu, takze nastavenia spamassassinu si ovlada kazdy uzivatel sam nastaveniami v LDAP.

pouzivame SA. stalo sa ze prisiel majl oznaceny za spam a bol od jedneho klieta z taiwanu. mal pridelenych okolo 20 tresnych bodov.
kuriozne je ze ked mi ten majl forwardli, tak ani ja som neveril ze to spam nie je. text bol pisany kombinaciou velkych a malych pismen + nejake farebne texty cez html. Obsahoval slova o peniazoch a navyse bol odoslany cez open realy server. keby som o tom ci je spam mal rozhodnut ja, tak by som ho za spam oznacil.
... hmmm v takych prpadoch pomoze iba white_list

V takovem pripade by mozna pomohlo vysvetlit dotycnemu jak se pisou normalni maily ...

....přesně tak :)

Nedavno mi taky na utajovanou adresu zacal chodit spam. Protoze mi chodi posta pouze z domeny .cz, vyresil jsem to tak, ze prichozi postu z ostatnich domen posilam do /dev/null. Zatim to funguje na 99%. Az to prestane fungovat pristoupim k radikalnejsimu kroku- kdo mi bude chtit neco poslat, bude muset napsat do predmetu napr. "NOSPAM", pak bude ucinost 100% :-)

Ovsem pouze do doby, nez to tam zacnou psat i spameri ;-)

uz pisou :-(((

trochu sa to do tohoto fora nehodi, ale existuje spamassain-u aj pre lokalneho klienta pre Win2000 - to sa hodi pre pripady, ze spravca serveru je tak tupy, ze ho nedokaze namontovat na sever. V kombinacii s dobre nastavenym dobrym(!) mailovym klientom napr. The Batt!, firewallom napr. ZoneAlarm a antivirom je to prakticky nepriestrelna kombinacia, ktora odola kazdej sekretarke a spamu, ucinnost kolise tak 98-100% pri priemerne 150 spammoch denne. Jedina nevyhoda je, ze to cele zozerie cca 37MB RAM

Vim ze to sem moc nepatri, ale chtel bych se zeptat jestli nevite nekdo o necem podobnem jako je project Spampal (http://www.spampal.org). Jedna se o proxy spam filter, ktery je bohuzel jen pro windows. Existuje do nej nekolik pluginu s ruznyma rozsirenima a funguje dost dobre. Co se mi na nem nejvic libi ze muze fungovat transparetne pro jaky koliv pop3 nebo imap4 server. Tak ze se nemusi posta stahovat pres fetchmail, atd. Proste se v postovni klientu zada misto pop3 serveru ip pocitace kde bezi spampal popripade port a do uzivatelskeho jmena se zada uzivatel@pop3.adresa.

Diky za jakykoliv typ

naucil jsem ho 40 spamu, a vsech 80 za weekend bez problemu chytil

Stala se mi takova neprijemna vec...prosel mi email, prestoze mel uvedeno v hlavicce od spamassassin hits=11,5 required=5. Nemohl by nekdo poradit co je spatne?
Dekuji