SpamAssassin
■ このスレッドは過去ログ倉庫に格納されています
apache.orgの傘下になって、ますます勢いづくスパムメールの暗殺者
SpamAssassin
これでSPAM業者を失業に追い込もう.......
とまでには、まだまだ遠い道のりだよ(w
学習しろ!!学習しろ!!学習しろ!!
sa-learn --spam --mbox /home/hiroyuki/mail/spam
ハムをスパムと間違えないで、一生のお願いだから。
スパム業者の荒らしはスルーってことで。
おまいら、まったりとお願いします。
本家 ttp://spamassassin.apache.org/
2005-06-06: SpamAssassin 3.0.4 released!
キーワード
local.cf
user_prefs
spamassassin
ベイズ推定
ベイジアンフィルタ
ホワイトリスト
AWL
bayes_journal
auto-whitelist
>>242
spamassassin.jpに相談したほうがいい 3.1.8だと問題なくmake test通るけど、3.1.9と3.2.2でmake testでエラー出るんだけど何か変わった? 最近来るスパムメールって、特定のパターンにひっかからない
奴が多い。サブジェクト普通だし差出人もいろんな国から
色んなアドレス使って来る。(パターン化しないようにしてる?)
メール本文は○○.pdfが添付されてるだけだったり、 ○○.html とかが多い。
みんなどうやってはじいてるの?
たとえば差出人や見出しはこんな感じ
Subject: oh man your nutz
From: <rkirchho@first-lan.de>
Sender: User kwaneix <kwaneix@tkhfvj>
こんなのは動的アドレスから来てるから Postfix の方で弾いちゃってるよ >>246
まだpdf spam来てる?
オレんとこは8/21を最後に来てないんだが。
>>247
その情報だけじゃわかんない。
少なくとも送信元のReceived:が欲しい。
>>248
動的アドレスって、どうやって判断するんだ?
逆引きのないIPや、一見動的っぽく見えるFQDNとか、
バリエーションは世界中に無数に存在するのに?
IPとFQDNだけでspamって判断できるのか?
ISPのメアドじゃ出来ない方法か。
なるほど、確かにspammerはそんな極少数派の対策などする訳がないな。
PostfixにSpamAssassinとClamAVを導入しようと思っているのですが、
amavisd-newを使うやり方と、SpamPDとClamSMTPを使うやり方とがあるっぽいんですが、
どっちがオススメでしょうか? >>254
俺はSpamPDとClamSMTPでやってます。 qmail-scanner+SpamAssassin の組み合わせを使っているんですが
最近、英文Spamが大量にスルーされるのは、俺だけのところですかね? >>254
SpamPD+ClamSMTPで使ってるけど、安定して運用できてるよ。 >>255,257
レスありがとう、SpamPDとClamSMTPで挑戦中です。
ですが、よく考えたら自鯖にSMTPで来るメールよりも、ISPからfetchmailで持ってくる
メールのほうが多数だったみたいで(あまり意識してなかった。。。)
こんな場合はやっぱ普通にfetchmail->procmail->spamc/clamdscan ですかね。
この場合はSMTP->procmailのルートの時に二重にスパムチェックしそうなので、
procmailrc分けてみようか、、、とか考えてます。 >>258
postfix の filter 使ったら?
ClamSMTP を使いたい無いサイトは filter前に登録してチェックさせないようにしているよ。 とりあえずspamPDとClamSMTPで出来たっぽいですヽ(゚∀゚)ノ
>>259
spamPDを使った場合、fetchmailで持ってくる分については別口でやらないと
いけないなぁ、という感じなんですが、postfixのfilterでやれます? そうか、fetchmailで smtphost localhost ってやればいいんですね。。(゚Д゚;)
スレ汚し失礼しました spamPDで質問なんですが、sa-learnするときはやはりspampdを動かしてるユーザで
やるのが正解でしょうか?
debian etchのaptでspamPDを入れたら、spampdユーザが作られて実行されるんですが、
spampdユーザにはhomeが無い、、、
で、なんとなくrootでsa-learnしてたんですが、なんか違うかな〜と思いまして。。。 >>262です
>>238 ってことですかね、、、スイマセン spamdをroot権限以外で起動したいのですが、どうすればよいのでしょうか? >>264
-u オプションと -g オプションでユーザとグループを指定できる。
とりあえず、spamd -h、perldoc spamd 見るべし。
>>262
sudo -H -u spampd sa-learn ... とかでよくね?
($HOMEを変更しないと ~root/.spamassassin/ を見に行くので -H 必須) 日本語パッチあてたら日本語スパムでもBAYES_99出るようになったー!
けどやっぱまだBAYES_50止まりが大半、、、
tlecのuser_prefsのおかげでBAYES_99いかなくてもけっこう弾けてるけど、
スパム判定されて本文が添付になってしまったメールをlearnさせても正常に
(添付のオリジナルメッセージだけを対象に)学習してくれるモノでしょうか? 探したんだけどピッタリなスレが見あたらなかったんでここで質問させてちょ
bsfilter と spamcopを組み合わせて使う方法ってどこかに書かれてないかな?
MTA直でspamcop呼び出すと必要なメールまで根こそぎ蹴られてしまいそうなので
なんとかフィルタとして微調整しながら使いたいんだけど
ベイジアンフィルタだけではもう限界だわorz 苦労して組み合わせて使う仕組み構築するくらいなら、素直にSpamAssassin使えよ。
bsfilter関連でいろいろと組み上げた細工もあるしさ、それも含めてルーチン
ワークができあがってるし、できるもんならそのまま引き継いで使いたいさね
ちょいと程度の苦労で済むなら・・w
どうにもアレなようならSpamAssasinに切り替えようかとは思ってるんだが
SpamAssassin 3.2.4使ってるんですが、この手のフィルタ避けのせいか、
SPAMがすり抜けてしまいます。
>封.筒発.送して毎.月39.万.円.稼ぐ
>
>ビジ.ネスマニュ.アルに沿って初.心者でも活.動が可.能となりました。
>
>活.動時.間は自分で選択!
sa-learnしたんですが、キーワードが間の「.」で分割されているせいか、
学習出来ていないようです。
うまく排除する方法は無いもんでしょうか?
>>271
へー、日本語スパムでもベイジアン対策してるの出てきたんだな。 そんなのきてるんだ。
中国・韓国・フィリピンなどの発信元を拒否してるためか、
手元にはまだ届いてない。 気長に学習させるか、他のヒューリスティックなスコアリングに
頼るかのどちらかしかないものなぁ >271
そんだけ個性があれば個別のルールでスコア付けとけば良くね? 溜まったspam判定されたメールのチェック、どうしてる?
MH形式で保存してあるんでフィルタ書いてサマリの形にしてlessでざーーーーーっと眺めるような
形にしてる(1日200〜400通くらい来るから、ちんたらやっとられん)んだけど、困るのが日本語のメール。
base64とか出てくるし、もう、このクソがと。
今は読めないメールは個別にMUAで開いたりnkf通して中身確認してるんだけど、なんかスマートな
方法ないかな?
未チェックのまま捨てる事ができればいいんだけどorz >>277
俺はMUAでFromだけザーと流し見して捨ててるなぁ
BAYES_99をけっこう高めに設定してるんでいちおう見てるけど、
日に200件を超えるんで、ほんとは見ずに捨てたいところ。 spam判定された物は別アドレスに転送、
条件付きフィルタでヘッダ部分を判別して自動削除してる。 >>278-279
やっぱ別アドレス用意しといて転送、後は/var/mail/hogehoge を直接いぢるくなり
MTA使うなり・・ってのが一番融通も効いてよさそだねえ
出先で処理しなくちゃならんケースもあって、そういうのって常にMTAが使える訳でもなくてさ
telnetしか使えないとかPDAしか使えないとか
ああ、頭いてえ >>277
サーバ側にSquirrelMail立ってて受信フォルダとは別のフォルダに
移動させておいて、暇なときにFrom/Subjectをざーっと見て全チェック→削除。
spamとして弾かれるときにテンプレにされてオリジナルメールは添付ファイルになっちゃうけど
これやめさせられない?オリジナルのままヘッダに情報追加する形、もしくは追加情報いらんから
オリジナルのままにさせときたいんだけど
でないと学習させんのがメガマンドクセー>< >>283
> これやめさせられない?
できるけど。 ,..-─‐-..、
/.: : : : : : : .ヽ
R: : : :. : pq: :i} この知りたがり屋!
|:.i} : : : :_{: :.レ′
ノr┴-<」: :j|
/:r仁ニ= ノ:.ノ|! _
/:/ = /: :/ }! |〕) ペシ ペシ
{;ハ__,イ: :f | /´ ☆
/ }rヘ ├--r─y/
/ r'‐-| ├-┴〆 _, 、_ '⌒ ☆
仁二ニ_‐-イ | | ∩`Д´)
| l i 厂  ̄ニニ¬ ノ ⊂ノ
,ゝ、 \ \ __厂`ヽ (__ ̄) )
/ /\_i⌒ト、_ ノrr- } し'し′
└-' ̄. | |_二二._」」__ノ
local.cf を更新した時って、spamassassinのプロセス再起動が必要でしょうか?
>>288 勿論。 >>267 perldoc sa-learn の OPTIONS の --ham 又は --spam を見ろ。 htmlメール中に張られている、画像リンクを対処する場合、
user_prefs にどういう風に記述すればいいのでしょう??? >>290
> 画像リンクを対処する
ってどういうことか説明しないと。 tlec.linux.or.jpから落としてリネームしてそれだけって人
大丈夫なのかな・・・・
一度、デバッグしたほうがいいと思うんですが
大量のエラーがでますから tlec.linux.or.jp いつも更新乙です Content-Type: を宣言していないheaderを持つメールにスコア与えるには
どんなレシピ設定をしてやれば良いのでしょうか? >>294
warn: config: failed to parse, now a plugin, skipping, in "/usr/local/etc/tlec_linux_or_jp/user_prefs": ok_languages ja en 今日の昼ぐらいから急にSpamAssassinがSIGPIPEで死ぬようになって難儀している。
procmailで食わせているんだけど、毎回死ぬわけでもなく、時々。
インストールしてあるものを何か入れ替えたわけでもないし、ディスクが足りてない
わけでもない。何故だろう……。 俺のセブンセンシズによればハードディスクが壊れかかっている。 そうか、ディスクか。
……でもログとSMARTの情報を見たけど別段おかしくはなさそうだ。 メモリーが壊れかかっているのを感じるぞ。
うおー、燃え上がれ俺のコスモ!memtest86拳 >>305
するどい。調べてみたところ、razor-users MLでの報告を発見。
それによるとどうやら c303.cloudmark.com というサーバだけが、なぜかときどき
空のgreetingを返してくれて解析に失敗して死ぬらしい。
servers.catalogue.lst からc303を外して様子をみてみる。どうもありがとう。 お世話になってます。ところでちゃんとしたルールを自作して役に立ちたいのですが、
ルール作成のマニュアルはどこを参照したらよろしいでしょうか?
本家のDOCを斜め読みしたのですが、いまいち解りにくく。
ttp://wiki.apache.org/spamassassin/RuleDescriptionTemplate
ttp://spamassassin.apache.org/tests_3_2_x.html
ttp://svn.apache.org/repos/asf/spamassassin/tags/spamassassin_release_3_2_5/rules/
s-jis → jis → 正規表現
このツールなら見かけたけど。
豚切りスマソ
uriとかrawbodyって何。
fullはメイル全体を正規表現によるマッチングの対象とします。
したがって、"^"はメイル全体の先頭、"$"はメイル全体の末尾を意味します。
添付ファイルのヘッダを引っ掛けたいなら、 mimeheader の使用をお勧めします。
>>307 >>309 精進頼む
対象説明
header ヘッダ
(MIME復号化済み)
body ボディのテキストパートのみ
(MIME復号化済み、HTMLタグ等の除去あり)
nbody ボディのテキストパートのみ(MIME復号化済み、
HTMLタグ等の除去あり、UTF-8に変換済み)
uri ボディに記述されたURI
rawbody ボディのテキストパートのみ(MIME復号化済み)
full 生メッセージ全体(MIME復号化なし)
ttp://www.emaillab.org/spamassassin/docs/plugin-OSC20061028.pdf
ttp://stock.sharpdecimal com
このスペースが無いuriに困りましたw 誰かSpamAssassinのマニュアルとかドキュメントのあるURLを教えてくれないか?! >>312 ttp://spamassassin.apache.org/
>>313
dクス でもできれば、もう少しこう・・・温かみのある場所を頼む! Docs ってあるだろ
そこ見ろよ
温かみって具体的になんなんだよ
>>315 まあそう責めるなよ
docsが不親切なのは事実だし、普及の妨げ要因なわけだし。
>>312 何が解らないんだよ? >>315
そこにあるドキュメントだと、どーも理解が難しくてつらかったんだよ!
>>316
単純にspamassassinで、どういう設定したらこーなるよ〜ってのを調べたかったんだ
docsのMail::SpamAssassin::Conf を見ればある程度わかってきたから
あとはぐぐってがんばってみるよ >>317 結局クグルしかw
ググっても解らん事はここで質問すると、
後続ユーザーの為にもなるから良いんじゃね? ttp://tlec.linux.or.jp/docs/user_prefs
こういう、実践的なコードを読みながらマニュアルとつけあわせした方が
近道じゃないか? >>319 そのマニュアルが解りにくいって何度言ったら(ry
user_prefsは、>>310のリンク先の文章程度のが無いと理解できないのでは?
鯖管はともかく、事務系の一般ユーザーが正規表現なんかは無理。
spamassassinでググると、日本SpamAssassinユーザ会がトップw
壁が高すぐwwwwwww
そもそも一般ユーザも使えるというだけで
一般ユーザの積極的な利用に配慮しているとは言い難いから
多少やさしく書いたところで>>320の言うような対象者は読まんだろ
素人フレンドリーにしたいなら
設定を作成する前処理系でも作ればいいと思うぞ そこまで大袈裟な話では無いのでは。
user_prefsを子ユーザーが書き込むGUIはいくつか有るし。
俺様ルールが書けるだけでとりあえずは十分でしょ。
今はこのマニュアルすら、まともなのは無い訳で。
向上心のないただの脳なしのくせにどうしてえらそうなんだ? 天才なおまいらがマニュアル分かりやすく訳してから晒してくれ 情報が少ないのは求められてない証拠
それではいかんと思うなら自分で行動を起こせ
オレは困ってないから興味ないわ >>327 ハイハイさみしいのね。
情報が少ないのは、ユーザーが少ないからw
本家DOCが、ここまで糞なのも珍しい。
一般ユーザはすり抜け分をMUAの学習型フィルタで簡単に対処できるよな
なのにややこしいルールを書きたい一般ユーザがどれだけいるんだ? >>329 イタイヤツ?
>簡単に対処できるよな 簡単に対処できるよな 簡単に対処できるよな
できない場合がある。
>なのにややこしいルールを書きたい一般ユーザがどれだけいるんだ?
ややこしいルールは書きたくないだろ普通。
簡単なルールを書きたいユーザーは多い。
ただユーザーそのものが少ないがw
ユーザーが増えない理由位は想像できるよな? Outlook/Thunderbird/Shurikenなどにはビルトインのフィルタがあるし
Outlook Express、Beckey!、秀丸などでもフィルタを追加できる
ユーザはルールを記述するよりもGUIの方が喜ぶと思うぞ
で、そういった手元のフィルタを有効に出来ない場合がどれだけある?
簡単なルールを書きたいユーザが多いのはお前の周囲だけだったりしないのか
ユーザ数に執着するところも理解できない
うまく使えるやつは使うしお前みたいなのは使わなきゃいいだけなのにな >Outlook Express、Beckey!、秀丸などでもフィルタを追加できる
これは大変だろ?
そもそも、他人と情報を共有するのが難しい。
>お前の周囲だけだったりしないのか
お前、人と直接話す機会少ないだろ?友達も少ないとか......
rf[:@ZwE|6b@Zw7\4t>wwww
>ユーザ数に執着するところも理解できない
執着しているのは、むしろお前なのでは?
ところでお前は何がしたいんだ?お前が作ったDOCでも有るまいて?
ただのかまってちゃんなら消えろ。 その言葉をそっくりお返しするぜ
草を生やしたがるやつにはろくなのがいねえわ 俺は前衛だって上から目線だからひとりぼっちなんだよ。
まあシコシコと一人上手やってろ。
このままじゃ、いずれ消滅するソフトだし。
>>327-328
どちらも違う。
本家MLを見るとわかるが、ユーザ数は少なくはない。
結構活発に投稿されている。
そして、同じような内容の質問が度々見受けられる。
なのに、文書は更新されない。
これは開発メンバーにやる気がないと考えるのが妥当じゃないか。
>>337
よく知ってる/使い込んでる連中にもやる気がない、が抜けてる 訳すもなにも見たまんまじゃないの?
trusted_networks: スパム送信したり3rd party relayするような悪い子じゃないと仮定する。
善意の第三者なので悪い子から送りつけられちゃったスパムをリレーしてくるかも知れないけど
自分でスパムの送出源になったりヘッダを改竄したりはしない。
internal_networks: そのアドレス内にあるサーバは自組織内のメールサーバ(つまり
そこが送り出すメールは全て自組織発)か自組織のMX。
メールサーバ自身もそれを使ってメールを送る人も、誰も悪いことしないいい子ちゃん。
自分が使ってるISPのメールサーバは、その子自身に悪意がないことはまあ仮定できる。
でも自分と同様にそれを使ってメールを出すISPのユーザの中にスパマーもいるかも知れない。
だからtrusted_networksには指定してもいいけどinternal_networksに指定するのは甘過ぎる。
これでわかるように、internal_networksはtrusted_networksより厳しいので、
常にtrusted_networksの部分集合になるはず。
んで、trusted_networksが指定されてinternal_networksが指定されない場合、
internal_networksはtrusted_networksの値を使う。
……と書いてあるがほんとかね。その仕様はマズいんじゃないの。
より甘いもののデフォルト値としてより厳しいものを使うというなら安全だけど
より厳しいもののデフォルト値としてより甘いものを使うのって安全じゃないよねえ。 >>340
ありがとう、助かったよ
いきなり PBL/DUL check とか FP とかいう意味不明な略語が出てきて全くわからなかった
よければこれらの略語の意味を教えてくれないか
安全か否かの話なんだが
trusted_networks と internal_networks は仮想ヘッダの作成に使われる
trusted_networks は X-Spam-Relays-Untrusted / X-Spam-Relays-Trusted の判断に
internal_networks は X-Spam-Relays-External / X-Spam-Relays-Internal の判断に
仮想ヘッダはデバッグ出力で見ることができる
これらは全く別の判断で、相互に影響し合うものじゃないから
片方の設定値がない場合はもう片方の設定を引っ張ってくる、という仕様じゃないかな
そのあたりは本題と関係ないと思ってすっとばしたんで知らん。というのもなんなので……
PBLはopen relayとかの悪い子メールサーバのリストじゃなかったっけ?
うっすらとした記憶によればDULはたぶんDial Up List。FPは知らない。
> これらは全く別の判断で、相互に影響し合うものじゃないから
あなたのいう「判断」は仮想ヘッダを生成するかどうかの判断だよね?
それらの仮想ヘッダの役割はいってみればtrusted_networks/internal_networks
(によるそのメールの仕分け)を後段に渡すだけなので、生成が独立なのは当たり前じゃないかな。 ■ このスレッドは過去ログ倉庫に格納されています
