Spamassassin: blokiranje spama pomoću vlastitih pravila

U službi pomoći za sistemce zaprimili smo nekoliko praktički jednakih upita, a tiču se spama. Naime, u zadnje vrijeme primjećena je pojačana aktivnost spamera, a zajedničko svim tim spamovima je isti sadržaj, dok se adresa pošiljatelja mijenja. Adrese pošiljatelja su redovito one s institucije, mada ima i adresa od starih korisnika kojih više nema na sustavu. Ovo upućuje na to da se spamer, odnosno njegov softver, prilagođava poslužitelju te pokušava prikazati kao da spam potiče s tog poslužitelja. Na taj način pokušavaju zavarati korisnike tako što se čini da mail potiče od njihovih kolega, te su veće šanse da će spam pročitati.

Blokiranje po IP adresama nema smisla, jer se mijenjaju (vrlo vjerojatno se radi o zaraženom relay računalu negdje u svijetu). Kako se Subject poruke ne mijenja (što ne znači da neće!), probajmo eliminirati problem pomoću SpamAssassinove direktoive "header". U datoteku /etc/spamassassin/local.cf upišite:

header ESTATE_SPAM               Subject =~ /\bInternational Real Estate Consulting Company needs/
score ESTATE_SPAM 4.0
describe ESTATE_SPAM Spam sa subjectom: International Real Estate Consulting Company...

Ne zaboravite restartati amavis nakon ovoga (/etc/init.d/amavis restart). Također, ukoliko imate amavis, ne trebate imati pokrenut proces spamd (osim ako ga rabite u neke svoje svrhe). Amavis ima sve što je potrebno da SpamAssassin radi, kombinacija klijenta (spamc) i SA daemona (spamd) vam ne treba u standardnoj konfiguraciji.

Nego, što smo postigli upisom gornjih redaka? Svakom mailu koji sadrži tekst unutar kosih crta u svom Subjectu će biti povećan spam score za 4.0 bodova. Zašto odmah ne staviti 10, 20 ili više? Ako napravimo tako, Amavis će mail odmah staviti u karantenu, no što ako  nam vlastiti korisnici proslijede taj spam mail s upitom što da učine? Mi taj korisnikov mail onda nećemo ni vidjeti, jer će prijeći granicu $sa_kill_level_dflt (koja je po defaultu 5.0 bodova, ali često je podešeno na 6.3 ili 6.9, i to ne treba smanjivati).

Neki kolege prijavljuju da Subject spamova nije uvijek isti, ali da svi imaju istu adresu u tijelu poruke. SpamAssassin može i tome doskočiti pomoću direktive "body":

body SPAM_ADDRESS_1         /\@westeur-consult\.com/
describe SPAM_ADDRESS_1 Spam adresa unutar tijela poruke 1
score SPAM_ADDRESS_1 4.0

Dakle, SpamAssassin omogućuje pregled tijela poruka, a sve gore spomenuto vrijedi i dalje, a vrijednost koju ste dodijelili spam scoreu držite nisko kako bi izbjegli lažne pozitive.

Kuharice: 
Kategorije: 
Vote: 
5
Vaša ocjena: Nema Average: 5 (4 votes)

Komentari

Ovo ne funkcionira (bar kad je u pitanju westeur-consult.com )

Sto ne funkcionira? Header ili Body pravilo? Jeste li restartali amavis?

Ponovo smo provjerili i radi:

X-Spam-Status: No, score=5.305 tagged_above=-999 required=6.31
tests=[BAYES_00=-1.9, SPAM_ADDRESS_1=4, TVD_SPACE_RATIO=0.001,
T_RP_MATCHES_RCVD=-0.01, URIBL_DBL_SPAM=1.7, URIBL_RHS_DOB=1.514]
autolearn=no

Mail je dobio score 5.305, pa je uspio proci, no to ne znaci da savjet ne vrijedi, samo trebate povecati spam score za to pravilo, ili bolje napraviti vise manjih pravila s manjim scoreom kako ne bi dobijali lazne pozitive.

 

>>Sto ne funkcionira? Header ili Body pravilo? Jeste li restartali amavis?

Body pravilo. Već stoji dva dana bodovano na 7.0 (probao i sa 4.0 i 10.0 svaki put i amavis prepokrenut s /etc/init.d/amavis restart (u tekstu upute u komandi fali jedno slovo). Svejedno korisnici u više navrata dobili jutros tekst sadrzaja poput onog na kraju ove poruke, pa je preostalo jedino da stavim u cron da perl skripta svakih 5' provjeri da li je itko dobio nešto što sadrži westeur-consult.com i da to prebaci u "karantenu".

Zašto u uputi ne stoji da treba raditi /etc/init.d/spamassassin restart, kad /etc/mail/spamassassin/local.cf pripada paketu spamassassin a ne amavis paketu?

Dodao bih također uputi da treba s naredbom:

spamassassin --lint

nakon editiranja datoteke /etc/mail/spamassassin/local.cf provjeriti da li su pravila u skladu sa sintaksom.

 

 

Countries of interest: Hungary, Slovakia, Romania, Croatia, Slovenia, Serbia, Bosnia, Macedonia

You must own a company or be a fully authorized signatory or a holder of power of attorney of a company.

Your main tasks will consist in handling financial flows resulting from our sales activities.

We offer a fixed association model with your earnings on commission basis.

Having positive and prolonged relations with local financial institutions is required, you might need to provide references.
Contacts: Marlene@westeur-consult.com


> Zašto u uputi ne stoji da treba raditi /etc/init.d/spamassassin restart, kad /etc/mail/spamassassin/local.cf pripada paketu spamassassin a ne amavis paketu?

Zato sto ne treba raditi restart spamd daemona, nego amavisa, koji zapravo ima internu podrsku za spamassassin, i nije mu potrebna nikakva kombinacija spamc/spamd klijenta i daemona. Kad se amavis restarta, procitat ce nove definicije i ruleove iz spamassassin konfiguracije.

Datoteka koju treba mijenjati je /etc/spamassassin/local.cf, NE /etc/mail/spamassassin/local.cf. Moze i "stara" varijanta, /var/lib/amavis/.spamassassin/user_prefs, ali ovo prije je bolje rjesenje.

> Dodao bih također uputi da treba s naredbom:

> spamassassin --lint

Slazem se, to smo i navodili nekoliko puta u clancima o spamassassinu.

Mozemo li dobiti full zaglavlja spama koji je prosao, i jednu normalnu poruku koja je i treba proci?

Reinstalirao sam danas amavisd-new, pa odonda ne stiže spam te vrste.

Vidjet ću, kako će se dalje ponašati.

Pozdrav,

L. Ć.