Spamassassin - Chybaproste Pytanie O Konfiguracje

[ednet 136]

Witam

Myślę zę dla Was to proste pytanie.

 

Mam konto z cPanelem i jak kazdy otrzymuje duze ilosci spamu. Spamassassina mam włączonego i ustawione required_score na 4. Kazdy spam ma dodawany przedrostek [sPAM]. Pomimo tego od okolo 1-2 miesięcy otrzymuję więcej spamu.

Listy jakie są ewidentnym spamem przechodzą bez problemu przez filtry. W naglowkach majli mam informację:

 

X-Spam-Checker-Version: SpamAssassin 3.1.7 (2006-10-05) on XXXXXXXX.pl

X-Spam-Level: *

X-Spam-Status: No, score=1.7 required=4.0 tests=EXTRA_MPART_TYPE,

HTML_IMAGE_ONLY_32,HTML_MESSAGE autolearn=disabled version=3.1.7

 

Juz kiedys dzwonilem do obslugi serwera ale powiedzieli ze nie mozna tego dokladniej ustawić. Zanim ponownie do nich zadzwonie chcialem od Was się dowiedzieć czy Spamassassina mozna skonfigurowac aby lepiej filtrowal poczte? Słyszalem ze jest możliwość aby Spamassassin sam uczył sie co jest Spamem ale nie znam szczegółów.

Jak będę dzwonił do nich to chciałbym przedstawić jakieś argumenty bo nie chcialbym zeby mnie zbyli.

 

Ed

[beliq 442]

autolearn=disabled

Tego nie powinno tu być.

[ednet 136]

Tego nie powinno tu być.

 

czyli Spamasasin nie przyjmuje nowych definicji wirusow!

Dzieki za pomoc!

 

ed

[moron 0]

u mnie filtruje jakies 98% spamu a mam ustawione na 5 punktow

powinienes poduczyc troche tego SA

[Gość adamszendzielorz]

required_score na 4. Kazdy spam ma dodawany przedrostek [sPAM]. Pomimo tego od okolo 1-2 miesięcy otrzymuję więcej spamu.

 

Przede wszystkim jaki to jest spam ?

 

Podejrzewam (chocby po tym jednym wklejonym fragmencie naglowka) ze chodzi o syf zawarty w animowanych gifach ? Nadawca / temat / tresc sa prawie za kazdym razem rozne - tresc jest brana z roznych przypadkowych stron www.

 

Zainteresuj sie pluginem FuzzyOcr... Tak tak, dozylismy czasow ze skanery antyspamowe musza OCRowac zalaczone w mailach obrazki (sic!). Zeby tego bylo malo to musza rozbijac animowane gify na poszczegolne klatki i OCRowac ich tresc pokolei.. Ja do teraz nie moge sie otrzasnac ;-)

pozdr.

[beliq 442]

Zainteresuj sie pluginem FuzzyOcr...

Zdradzisz Adam, o ile(w wypadku Progreso) mniej więcej wzrósł load na serwerze poczty po dograniu tej zabawki?

[Gość adamszendzielorz]

Zdradzisz Adam, o ile(w wypadku Progreso) mniej więcej wzrósł load na serwerze poczty po dograniu tej zabawki?

 

Nie jest najgorzej, choc zeby nie bylo problemu musielismy dolozyc trzecia fizyczna maszyne (dual PIII, 2GB RAM, scsi) do obslugi poczty. Ale przyznam szczerze ze sadzilem, ze bedzie znacznie ciezej :-)

 

Co do tego jaka ma wydajnosc maszynka z taka konfiguracja, to dla przykladu logi z jednej maszyny z ostatnich 3 tygodni:

 

# cat mailstats.csv | wc -l

1086490

 

(prawie 1,1 mln przeskanowanych wiadomosci)

 

# cat mailstats.csv | grep SPAM-QUARANTINED | wc -l

539441

 

(ponad 500 tys. odrzuconego SPAMU)

 

# cat mailstats.csv | grep CLAMDSCAN | wc -l

25344

 

(ponad 25 tys odrzuconych wirusow)

 

 

Mysle ze obyloby sie bez tej trzeciej maszyny, bo LA na kazdej jest teraz naprawde niskie (1-2) ale mielismy ostatnio troche klopotow z atakami SMTP wiec i tak trzebabylo.. A ze byl pretekst w postaci OCRu to tym bardziej ;-)

pozdr.

 

 

Pomimo tego od okolo 1-2 miesięcy otrzymuję więcej spamu.

 

Aaaa jeszcze jedna bardzo wazna rzecz pozwalajaca uniknac *masy* (powiedzialbym ze grubo ponad 50%) spamu.

 

Nie wpuszczaj na swoje serwery SMTP maili wysylanych *DO* Twoich uzytkownikow *Z* adresow przydzielanych dynamicznie (neostrady i tak dalej). Jezeli Twoj serwer SMTP jednoczesnie przyjmuje poczte z zewnatrz oraz od Twoich lokalnych uzytkownikow to bedziesz mial niestety troche zabawy z ustawieniem tegoz.

 

Najlepiej miec oddzielny serwer poczty tylko do przyjmowania wiadomosci z zewnatrz (okreslony przez rekord MX w DNSie) i wyciac na firewallu wszystkie znane Ci dynamiczne pule adresowe - ja wycialem setki tysiecy IPkow i ruch na SMTP zmalal parokrotnie!). Dzis spamerzy wykorzystuja trojany jako silniki SMTP, a te najczesciej siedza na komputerach end-userow z dynamicznymi IPkami na uslugach typu Neostrada (najwiecej syfu przychodzilo mi z odpowiednika Neostrady we Francji - nie pamietam nazwy hosta...).

 

Jezeli nie masz oddzielnego serwera - mozesz zrobic pewien myk.. Zbindowac "normalny" SMTP na adresie IP z ktorego beda korzystac Twoi uzytkownicy (i tutaj nie wpuszczac *zadnych* innych maili niz tylko od Twoich autoryzowanych uzytkownikow) a na innym adresie IP zbindowac serwer SMTP tylko do przyjmowania poczty z zewnatrz (i jego okreslic w rekordach MX wszystkich uzywanych domen). Wtedy rownie latwo co w przypadku posiadania oddzielnego serwera pocztowego mozna ciac poczte na firewallu (iptables np.).

 

Gdyby kogos interesowalo moge udostepnic wycinane przezemnie pule adresowe -> a jezeli ktos ma cos podobnego to prosze o wklejenie - tego syfu nigdy nie wytepimy w 100% ale im wiecej regulek tym bedzie spamerom coraz trudniej

pozdr.

[Gość voytar]

Nie wpuszczaj na swoje serwery SMTP maili wysylanych *DO* Twoich uzytkownikow *Z* adresow przydzielanych dynamicznie (neostrady i tak dalej). Jezeli Twoj serwer SMTP jednoczesnie przyjmuje poczte z zewnatrz oraz od Twoich lokalnych uzytkownikow to bedziesz mial niestety troche zabawy z ustawieniem tegoz.

Nie wystarczy do tego RBL?

[ednet 136]

Tego nie powinno tu być.

 

Dostalem odpowiedź z suportu serwera gdziej jest moje konto, ze ustawienie autolearn na enabled raczej nie spowoduje zmniejszenia ilości spamu. Dodatkowo wzrosnie obciązenie serwera i pozostałe usługi będą pracowały wolniej.

 

ed

[Gość adamszendzielorz]

Nie wystarczy do tego RBL?

 

Nie, na RBLa dany IPek dostaje sie zwykle w kilka/nascie/dziesiat godzin *po* wyslaniu spamu i zaraportowaniu przez userow, czyli juz "po ptakach". Zwykle tez komputer zakazonego usera ma juz dawno inny adres IP i "sieje" od nowa. Pozatym wiekszosc tych IPkow poprostu nie ma na zadnych RBLach.

pozdr.

[Gość voytar]

Nie, na RBLa dany IPek dostaje sie zwykle w kilka/nascie/dziesiat godzin *po* wyslaniu spamu i zaraportowaniu przez userow, czyli juz "po ptakach". Zwykle tez komputer zakazonego usera ma juz dawno inny adres IP i "sieje" od nowa. Pozatym wiekszosc tych IPkow poprostu nie ma na zadnych RBLach.

pozdr.

Na SORBS DUHL też?

[Gość adamszendzielorz]

Na SORBS DUHL też?

 

Tez nie wszystkie. Ale mimo wszystko to jak Ty sobie ta konfiguracje wyobrazasz jezeli na tym samym serwerze smtp normalni klienci wysylaja zwykla poczte w swiat ? Trzebaby te RBLe sprawdzac za autoryzacja. A to mimo wszystko bedzie obciazac maszyne (chocby DNSy). Nie ma problemu jezeli masz 10 takich polaczen na godzine, ale jak masz 500 na sekunde to juz robi sie wiekszy klopot

pozdr.

[huan 18]

Dostalem odpowiedź z suportu serwera gdziej jest moje konto, ze ustawienie autolearn na enabled raczej nie spowoduje zmniejszenia ilości spamu. Dodatkowo wzrosnie obciązenie serwera i pozostałe usługi będą pracowały wolniej.

 

Pewnie, ze wlaczenia autolearn Bayes zwieksza obciazenie, ale jest to bardzo skuteczna metoda walki ze spamem i potrafi wielokrotnie zmniejszyc ilosc dostarczanego spamu.

[ednet 136]

Pewnie, ze wlaczenia autolearn Bayes zwieksza obciazenie, ale jest to bardzo skuteczna metoda walki ze spamem i potrafi wielokrotnie zmniejszyc ilosc dostarczanego spamu.

 

a czy jest mozliwosc odpalania np aktualizacji regulek SpamAssasina cronem np co 2 godziny?

Obciążenie powinno być mniejsze przy takiej aktualizacji.

 

ed

[Gość patrick]

w defaultowym programie nie spotkałem się z taką opcją.

[beliq 442]

a czy jest mozliwosc odpalania np aktualizacji regulek SpamAssasina cronem np co 2 godziny?

Obciążenie powinno być mniejsze przy takiej aktualizacji.

 

ed

 

Po częsći tak i korzystałem z tego kiedyś.

Jest taka strona w sieci, na której są publikowane "charakterystyki" tego co

aktualnie niedobrego krąży via smtp w sieci.

Oczywiście są to dane z tylko jednego serwera poczty,

ale o ile mnie pamięc nie myli, to sporo tego było.

Na stronie jest również skrypt, który należy wrzucić do crona,

a który to np. raz dziennie aktualizuje regułki SA,

po czym go przeładowywuje.

Niestety teraz nie mam czasu przkopywać mojego spisu ulubionych,

bo to ponad 0.5 MB tekstu, ale postaram się do wtorku umieścić w tym temacie link.

[ednet 136]

Niestety teraz nie mam czasu przkopywać mojego spisu ulubionych,

bo to ponad 0.5 MB tekstu, ale postaram się do wtorku umieścić w tym temacie link.

 

Będę Ci wdzięczny za linka do tej strony.

 

W ciągu ostatniego póltora dnia na mojego majla weszlo 190 spamow z czego spam assasin tylko 119 oznaczył jako SPAM a pozostałe przeszly nietknięte.

37% spamu nie zostalo wykryte. To jest bardzo kiepski wynik.

Suport wzbrania się przed ustawieniem autolearn=enabled bo serwer moze nie wyrobić obciążenia.

 

Mam konto resselerskie i jeśłi nie poprawia antyspamu to chyba będę musiał się wynieśc na własny dedyk.

 

u mnie filtruje jakies 98% spamu a mam ustawione na 5 punktow

powinienes poduczyc troche tego SA

 

@Moron: Czy masz jakiś nieobciążający za bardzo serwer sposob na douczenie SA?

 

Ed

[ertcap 0]

a czy jest mozliwosc odpalania np aktualizacji regulek SpamAssasina cronem np co 2 godziny?

Obciążenie powinno być mniejsze przy takiej aktualizacji.

Jest.

Poczytaj o sa-learn.

Przenos sobie recznie spamy do jakiegos katalogu a pozniej raz w nocy odpalaj sa-learn.

 

pzdr.

[beliq 442]

Będę Ci wdzięczny za linka do tej strony.

Mówisz i masz, link numer jeden:

http://www.sa-blacklist.stearns.org/sa-blacklist/

 

Gdzieś jeszcze miałem drugi... poszukam...

 

Jakby ktoś chciał ciąć ruch SMTP via IPtables z Rosji:

http://www.nthost.ru/allrunet.txt

Tutaj z kolei Korea, Chiny, Hong-Kong, Indie, Indonezja:

http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/ALL.sh.txt

[p 3]

Tutaj z kolei Korea, Chiny, Hong-Kong, Indie, Indonezja:

http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/ALL.sh.txt

Korea, Chiny - OK...

Indonezja - nie mam pojecia...

...ale Hong-Kong, Indie? Chyba przesadzasz

[beliq 442]

...ale Hong-Kong, Indie? Chyba przesadzasz

Mam jeszcze gdzieś na dysku opracowaną na podstawie RBLa Hiszpanię i Argentynę,

ale nie mogę tej listy znaleźć wśród plików "nowy dokument tekstowy(n).txt".

[p 3]

Mam jeszcze gdzieś na dysku opracowaną na podstawie RBLa Hiszpanię i Argentynę,

ale nie mogę tej listy znaleźć wśród plików "nowy dokument tekstowy(n).txt".

Raczej chodzilo mi o cos w stylu:

Czy jest w ogole sens wycinac te kraje (chodzi mi tu glownie o Hong-Kong)?

Prowadzisz jakies statystyki dotyczace ilosci wycinanych maili per kraj?

[beliq 442]

Raczej chodzilo mi o cos w stylu:

Czy jest w ogole sens wycinac te kraje (chodzi mi tu glownie o Hong-Kong)?

Prowadzisz jakies statystyki dotyczace ilosci wycinanych maili per kraj?

Doskonale rozumiem o co Ci chodziło...

Teraz to ja nie mam na podstawie czego tych statystyk generować,

bo blokuje cały ruch z około 2800 klas.

Wkurzyłem się kiedyś i tnę jak leci, zaś nowe kraje pobieram ze statystyk firm zewnętrznych.

[p 3]

Doskonale rozumiem o co Ci chodziło...

Teraz to ja nie mam na podstawie czego tych statystyk generować,

bo blokuje cały ruch z około 2800 klas.

Wkurzyłem się kiedyś i tnę jak leci, zaś nowe kraje pobieram ze statystyk firm zewnętrznych.

Hehe

A nie boisz sie o false-positives?

[beliq 442]

A nie boisz sie o false-positives?

Nie, bo nic mnie z tymi zakątkami globu nie łączy.