X
SpamAssassin
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
垢版 |
2005/08/23(火) 13:55:32
apache.orgの傘下になって、ますます勢いづくスパムメールの暗殺者
SpamAssassin
これでSPAM業者を失業に追い込もう.......
とまでには、まだまだ遠い道のりだよ(w
学習しろ!!学習しろ!!学習しろ!!
sa-learn --spam --mbox /home/hiroyuki/mail/spam

ハムをスパムと間違えないで、一生のお願いだから。

スパム業者の荒らしはスルーってことで。
おまいら、まったりとお願いします。

本家 ttp://spamassassin.apache.org/
2005-06-06: SpamAssassin 3.0.4 released!

キーワード
local.cf
user_prefs
spamassassin
ベイズ推定
ベイジアンフィルタ
ホワイトリスト
AWL
bayes_journal
auto-whitelist
0158名無しさん@お腹いっぱい。
垢版 |
2006/10/19(木) 21:58:20
>>157
うちもすり抜けてウザーだったから
portupgrade mail/p5-Mail-SpamAssassinしたら
3.1.6で補足出来てますよ〜
0159名無しさん@お腹いっぱい。
垢版 |
2006/10/29(日) 09:24:22
>>154
どんなのがすり抜けてきてる?
0161名無しさん@お腹いっぱい。
垢版 |
2006/11/14(火) 16:54:34
3.1.5です。>157みたいな英文のスパムの捕捉率がついに50%割っちゃったotz
レンサバなので3.1.6にできない。くやしーw
0162名無しさん@お腹いっぱい。
垢版 |
2006/11/16(木) 11:32:47
Company: The Motion Picture Group 
Symbol: MPRG 
Price: $0.25 
3 Day Target: $1.00 
Status: Strong Investment

この書式をNG登録する良い方法って無いでしょうか。

Company:
Symbol: 
Price: $ 
3 Day Target: 
Status:


0163名無しさん@お腹いっぱい。
垢版 |
2006/11/16(木) 22:17:55
>>162
それボットネット野郎のspamですなw
SAのスレなのは承知でひとつ、
どうしてもSAでダメならProcmailのレシピで
SAに飛ばす手前で処理させればよろし。
振り分けがmilterだったら調べてくだされ。

例)
:0 B
* < 3000
* .*Symbol*
* .*Price*
* .*3 Day Target*
* .*Status*
$MAILDIR/trash/.
0165名無しさん@お腹いっぱい。
垢版 |
2006/11/17(金) 19:50:44
>>164
ここまでわかってるのになんでタイーホできないんだろうねぇ
やっぱり国の事情なのかなぁ(´・ω・`)

腹立ってしょうがない
0166名無しさん@お腹いっぱい。
垢版 |
2006/12/04(月) 10:44:33
>162
ここの日記が参考になります。
株式spamの排除 その3 2006年11月14日
ttp://nikki.hart.co.jp/
ttp://nikki.hart.co.jp/index.php?UID=1163472431
0167名無しさん@お腹いっぱい。
垢版 |
2006/12/07(木) 12:00:52
安倍内閣メールマガジン ttp://www.kantei.go.jp/jp/m-magazine/

このメールのアドレスを
whitelist_from kantei@mmz.kantei.go.jp
としたんだけどスパム扱いになってしまった。

どうも、Fromの "首相官邸 <kantei@mmz.kantei.go.jp>" ってやつの
首の字がまずいような気がする。
( 首が、JISで 3c37 ってことは < と同じなんだよね。)

全国の首の字で始まる方、ご注意ください。
0170名無しさん@お腹いっぱい。
垢版 |
2006/12/08(金) 18:29:08
だったらそんなフィルタ入れてる上流に文句言うべきだよな。
俺のところにはちゃんとMIMEエンコードで来てたから。
0172名無しさん@お腹いっぱい。
垢版 |
2006/12/08(金) 20:48:18
もしかして、日本語対応パッチっていうのをやっているからなのかなぁ...
MeCabいれて、MeCabの辞書いれて、いくつかのPerlモジュールいれたんだよなぁ...
日本語対応パッチがヘッダのエンコードをデコードしてしまっているためかもしれないなぁ...
よくわからんけど...

0177名無しさん@お腹いっぱい。
垢版 |
2006/12/11(月) 19:17:57
RBL関連のスコアはかなり低くしといたほうがよさげ。

SORBSとNJABLでInfoWebの動的IPがblacklist入りして、それだけでスコアが3.9に。
RCVD_NUMERIC_HELOが1.5なので、HELOに適当なホスト名ではなく自分のIPアドレスを
名乗るMTAだったりすると、もうspamと判定されちゃう。
0178163
垢版 |
2006/12/11(月) 22:39:29
>>176
株式タイプはgifだけじゃなくてpngもjpegもあるよ、
うちにはずいぶん前からきてる
procmailの場合下のキーワードにwindows-1250なんかの文字コードや
他にいくつかのキーワードを混ぜてはじいてる。
おいらはSA使ってないからよくわからんけど
(ってかSA使うスキルないからこのスレ指くわえて見てるだけのヘタレだけど)
SAはデフォルトだと画像系防げないの?

* ^Content-Type: image/gif;
0180名無しさん@お腹いっぱい。
垢版 |
2006/12/12(火) 11:37:23
>>179
ヘッダを見ると
Received: from 会社のメールサーバのFQDN
Received: from xxx.xxx.xxx.xxx (foo@sample.com@xxx.xxx.xxx.xxx)
Received: from unknown (HELO ?192.168.1.33?) (foo@sample.com@xxx.xxx.xxx.xxx)
注: xxx.xxx.xxx.xxxはプロバイダのIPアドレス
で、最後にヲレ専用のメールサーバに着いていた。

どうやら、送信側の自宅のMUA -> 会社のメールサーバ -> ヲレ専用のメールサーバ
ってな感じで配送されてきたメールの模様。

んで、user_prefsのinternal networksに会社のメールサーバのネットワークを
書いていたんで、xxx.xxx.xxx.xxxにRBLやRCVD_NUMERIC_HELOが適用されたのかな。
0184名無しさん@お腹いっぱい。
垢版 |
2006/12/12(火) 13:30:53
>>183
そ。普通の文章を普通のMUAからNATルータ越しに送ってきたもの。なので、最初のHELOは
ローカルIPが生で入っている模様。

会社のサーバでqmail-scannerでウイルスチェックかけて、ヲレのサーバでもclamdで
ウイルスチェックかけているんで、実際のreceived:はもうちょっと煩雑なものになるんだけど。
0185名無しさん@お腹いっぱい。
垢版 |
2006/12/12(火) 15:00:08
>>184
つまりMTA->MTAじゃなくMUA->MTAってことなんだろ?
ということは自分とこのユーザってことだから、それは当然だわな。

その場合も、MTAからのものと同じようにSpamAssassinのチェックが掛かるということが
177が言ってる問題の本質とみた。
0186名無しさん@お腹いっぱい。
垢版 |
2006/12/12(火) 16:34:04
あ、clamdじゃなくてclamsmtpで、ですな。ウイルスチェック自体はclamdがやっているけど。

>>185
そそ。動的IPアドレスブロックつかって自前のMTAをあげている場合なら
まだしも、MUAからのメールではまることがあったので驚いたのですだ。

あと、別のサーバから転送されてくるspamの判別を効かせるためにinternal networks
を設定するとはまることがあるんだなぁというお話。
0187名無しさん@お腹いっぱい。
垢版 |
2006/12/12(火) 17:32:36
>>177 自分のIPアドレスを 名乗る「MTA」だったりすると、もうspamと判定されちゃう。
これで>>180「MUA」を例示するからややこしい。

そもそも、RBL系を利用しているのだから、判定されやすいのは当然なのに。
それに、MUAが吐き出すHELOはほぼ不正なんだけど。

0189名無しさん@お腹いっぱい。
垢版 |
2006/12/12(火) 18:31:18
俺の環境では、LANのIPアドレスがRCVD_NUMERIC_HELOでスコアされる事はないぞ。

MTA上でspamdとして動いています。
user_prefsはtlec謹呈。
3.1.5 & 3.1.7
0196名無しさん@お腹いっぱい。
垢版 |
2006/12/16(土) 17:48:10
>>195
user_prefs のうち、ユーザ個別の設定項目を
別ファイルにした、というのが private_prefs 。
private_prefs には trusted_networks と
MYMTA という設定項目がある。
これらを設定すると有効になるルールが幾つかある。

http://spamassassin.jp/modules/xhnewbb/viewtopic.php?viewmode=thread&topic_id=9&forum=7&post_id=52
http://spamassassin.jp/modules/xhnewbb/viewtopic.php?viewmode=thread&topic_id=9&forum=7&post_id=47
0197名無しさん@お腹いっぱい。
垢版 |
2007/01/07(日) 20:58:36
spamass-milterでsubjectだけ加工するってのは無いのかょ
0202200
垢版 |
2007/01/09(火) 13:33:17
出会い系の登録してそこからのメールを自動的にスパム学習させると
スパムのトレンドに自動的に追随してくれるかなと思って
出来心でやってしまいました。

でも、今一番難しいのは株を買え!系なんですが。
0204名無しさん@お腹いっぱい。
垢版 |
2007/01/09(火) 21:58:40
うちではほとんどカットしてくれてるけどなあ >画像添付

何かコピペか自動生成かって感じの文章が書いてあるだけのが時々抜けてくる。
0208名無しさん@お腹いっぱい。
垢版 |
2007/02/15(木) 16:55:20
SpamAssassinを使っているのですが
OBSCURED_EMAIL BODY: Message seems to contain rot13ed address

でSPAM扱いされるメールがあるのですよ。
ROT13(アルファベットを十三文字ずらすあれ)でエンコードされたアドレスがある
というのは判るんだが
何を基準にrot13edかそうでないかを判断してるのかが判らんとです。

教えてエロイ人。
0210208
垢版 |
2007/02/15(木) 18:07:57
ってことは
/usr/share/spamassassin/20_body_tests.cf

body EMAIL_ROT13 /\b[a-z(\]-]+\^[a-z-]+\([a-z]{2,3}\b/
ですか。

a-z,(,],- の繰り返しで始まり、

a-z,- の繰り返し、
(
a-z (2 or 3) で終わるってことニカ?
なんか違うような・・・正規表現ですよねこれ
0211名無しさん@お腹いっぱい。
垢版 |
2007/02/15(木) 22:38:48
最近、株式SPAMのキーワードがコロコロ変わって大変です。

こんなのや
S.umbol: UTEV
Current price: $0.012
Recommendation: very aggresive buy!!!

こんなの
Search for: UTEV
Current price: $0.012
Market: bullish.
0214名無しさん@お腹いっぱい。
垢版 |
2007/02/21(水) 11:36:42
/etc/mail/spamassassin/local.cfを、
ttp://tlec.linux.or.jp/docs/の
user_prefsと入れ換えてもOKですか?

ユーザーは50人位です。
0215名無しさん@お腹いっぱい。
垢版 |
2007/02/22(木) 08:03:30
>>214
個人向け、つまりfalse_positiveも自己責任で処理することを
前提に作られているから、正直お勧めしない。
多少取りこぼしてもよいのなら、 required_score 30 以上に
すれば、少しは安全になるかも。
0216名無しさん@お腹いっぱい。
垢版 |
2007/03/23(金) 22:10:57
report_safe 0の
設定を/etc/mail/SA/local.cfに書いているのですが、
なぜか、スパムの判定結果がattachedされてしまいます。

3.17のときは全く問題なかったのですが、3.18にあげてから、
このようになりました。

どなたか教えていただけないでしょうか。
0217名無しさん@お腹いっぱい。
垢版 |
2007/03/25(日) 11:48:06
>>216
SAを実行するユーザにて su して、
spamassassin -d spamfile|spamassassin -t -D 2>&1|lv
する。
spamd を使っている場合は、spamd を止めてから spamd -D 2>&1 とする。
デバッグメッセージに以下のようなメッセージが出てくる筈。

> [3772] dbg: config: read file /etc/spamassassin/local.cf
0218名無しさん@お腹いっぱい。
垢版 |
2007/03/25(日) 12:20:28
>>217
レスありがとうございます。

仰せの通りやってみました。

[4218] dbg: config: using "/etc/mail/spamassassin" for site rules dir
[4218] dbg: config: read file /etc/mail/spamassassin/local.cf

という感じで、ただしく設定したものを読んでいるようです。

0219名無しさん@お腹いっぱい。
垢版 |
2007/03/25(日) 23:59:31
>>218

なら、その後に何か error 或は warning が出てきてないか?
因みに俺の手元では spamc で問題なく実行できた。

local.cf の中身を report_safe 0 だけにしてみる。
それでダメなら、ファイルの改行コードを疑う。
0220名無しさん@お腹いっぱい。
垢版 |
2007/03/27(火) 00:15:56
pyzor ping 通ってる?>皆の衆
0222名無しさん@お腹いっぱい。
垢版 |
2007/03/27(火) 06:56:59
>>219

いろいろありがとうございます。

ふと思いついてHTML::Parserのモジュールを
アップグレードしてみたら、今のところ、うまく
動いているようです。
お騒がせしました。

普段はCPANでアップグレードしていたのですが、
気づかないうちに整合性がとれていなかったのかもしれません。
0223名無しさん@お腹いっぱい。
垢版 |
2007/04/11(水) 23:18:42
I am a nice pretty girl.
0226名無しさん@お腹いっぱい。
垢版 |
2007/04/25(水) 23:18:21
前から気になってたんですが、
spamassassinが、SURBL等に参照するときに、
bodyを全部送っているのでしょうか?
http://と続く部分だけ送っているのでしょうか?

httpプロトコルのように、
RBLサーバとのやりとりが説明されたサイトはありませんか?
みんなが使うから、たぶん効率の良い方法を取っていると思うのですが、
どういう方法にて、やりとりしているのでしょうか?
0230名無しさん@お腹いっぱい。
垢版 |
2007/05/03(木) 10:54:36
* bug 4636: Add support for charset normalization, so rules can be written in UTF-8 to match text in other charsets.

UTF-8対応したんだね。
分かち書きは対応してないのかな?
0231名無しさん@お腹いっぱい。
垢版 |
2007/05/06(日) 00:42:10
postfixでバーチャルドメインな環境ですが、
特定のドメインのユーザ(複数ドメイン指定)だけ、spamassassin先生を呼ぶことはできますか?

hogehoge@aaa.com → spamassassin → メールボックス
sagesage@aaa.com → spamassassin → メールボックス
fugaduga@bbb.com → そのままメールボックスへ
hagehage@ccc.com → spamassassin → メールボックス

それとも、postfixは、すべてのメールをspamassassinに渡してしまうのでしょうか?
0232名無しさん@お腹いっぱい。
垢版 |
2007/05/07(月) 01:37:42
spamc の -u オプションを使えないようにしたい
(spamdの起動ユーザを spamcの起動ユーザのみにしたい)
のですが、ソースをどう修正すればよいでしょうか。

spamc -u hoge としてspamdを起動すれば、
/home/hoge/.spamassassin/user_pref
を意図的に作り出せることが出来てしまいます。
これを避けたいためです。

spamd は perl ですが、
spamc は C言語なんですね、、、
spamd だけの修正(パッチ当て)で何とか対応できないでしょうか。
0233名無しさん@お腹いっぱい。
垢版 |
2007/05/07(月) 09:51:02
>>232
spamcはspamdを呼び出すためのインターフェイスなだけだから
実際にuser_prefを作ってるのはspamdのはずだよ。
でspamdはrootとか特権ユーザで動いてるから、そうやってファイル作ることも出来てるわけ。

spamcとspamdは通信でユーザを渡してると思うので、根本的に対応するには、そのプロトコルから
変更しないと無理だと思われ。
小手先だけの対応なら、spamcのソースから-uオプションの指定をはずしてやればいいんでない?
0234名無しさん@お腹いっぱい。
垢版 |
2007/05/07(月) 09:52:48
>>231
spamassassinはどうやって呼び出してる?
単に.forwardから呼んでるなら、フィルタしたくないユーザの.forwardからはずしてやればいいだけ。
0235名無しさん@お腹いっぱい。
垢版 |
2007/06/22(金) 16:43:49
FreeBSD6.2 + p5-Mail-SpamAssassin-3.2.1で構築中なのですが、
デフォルトでユーザ毎にできる学習ファイル
$HOME/.spamassassin/bayes_seen
などを全ユーザで1つにして共有したいのですが、
どこかにそれ用の設定ありますでしょうか?
0239名無しさん@お腹いっぱい。
垢版 |
2007/06/29(金) 19:25:40
なんかここ1-2週間、spamasassinをすりぬけてくる
日本語のspamが急激に増えたんだけど、なんでだろう?
0241名無しさん@お腹いっぱい。
垢版 |
2007/07/04(水) 01:56:00
>>239
うちは SpamAssassin の前段階の maildropfilter で結構弾いてるっぽい。
よぉく見ると特徴的なヘッダしてるからそれで弾いてる。
0242名無しさん@お腹いっぱい。
垢版 |
2007/08/02(木) 01:39:02
以下のヘッダ(xxx は IP アドレス)が付いている spam が多くて、対策を検討中です。
Received: from unknown (HELO ?xxx.xxx.xxx.xxx?) (xxx.xxx.xxx.xxx)

「RCVD_NUMERIC_HELO」ってルールが標準であるようですが、
上記メールは RCVD_NUMERIC_HELO に引っ掛かっていませんでした。

「RCVD_NUMERIC_HELO」というルールを使うためには、何か特別な設定が必要なのでしょうか?

/etc/mail/spamassassin/local.cf は松田さんのところの user_prefs を
private_prefs 未使用にして置き換えています。
0246名無しさん@お腹いっぱい。
垢版 |
2007/09/02(日) 20:08:03
最近来るスパムメールって、特定のパターンにひっかからない
奴が多い。サブジェクト普通だし差出人もいろんな国から
色んなアドレス使って来る。(パターン化しないようにしてる?)
メール本文は○○.pdfが添付されてるだけだったり、 ○○.html とかが多い。
みんなどうやってはじいてるの?
0247名無しさん@お腹いっぱい。
垢版 |
2007/09/02(日) 20:36:35
たとえば差出人や見出しはこんな感じ

Subject: oh man your nutz
From: <rkirchho@first-lan.de>
Sender: User kwaneix <kwaneix@tkhfvj>

0249名無しさん@お腹いっぱい。
垢版 |
2007/09/03(月) 22:48:04
>>246
まだpdf spam来てる?
オレんとこは8/21を最後に来てないんだが。
>>247
その情報だけじゃわかんない。
少なくとも送信元のReceived:が欲しい。

>>248
動的アドレスって、どうやって判断するんだ?
逆引きのないIPや、一見動的っぽく見えるFQDNとか、
バリエーションは世界中に無数に存在するのに?
IPとFQDNだけでspamって判断できるのか?
0250248
垢版 |
2007/09/03(月) 23:54:12
>>249

ヒント: 送信を遅延
0254名無しさん@お腹いっぱい。
垢版 |
2007/11/17(土) 21:50:43
PostfixにSpamAssassinとClamAVを導入しようと思っているのですが、
amavisd-newを使うやり方と、SpamPDとClamSMTPを使うやり方とがあるっぽいんですが、
どっちがオススメでしょうか?
0256名無しさん@お腹いっぱい。
垢版 |
2007/11/18(日) 12:26:56
qmail-scanner+SpamAssassin の組み合わせを使っているんですが
最近、英文Spamが大量にスルーされるのは、俺だけのところですかね?
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況