X
SpamAssassin
0001名無しさん@お腹いっぱい。
垢版 |
2005/08/23(火) 13:55:32
apache.orgの傘下になって、ますます勢いづくスパムメールの暗殺者
SpamAssassin
これでSPAM業者を失業に追い込もう.......
とまでには、まだまだ遠い道のりだよ(w
学習しろ!!学習しろ!!学習しろ!!
sa-learn --spam --mbox /home/hiroyuki/mail/spam

ハムをスパムと間違えないで、一生のお願いだから。

スパム業者の荒らしはスルーってことで。
おまいら、まったりとお願いします。

本家 ttp://spamassassin.apache.org/
2005-06-06: SpamAssassin 3.0.4 released!

キーワード
local.cf
user_prefs
spamassassin
ベイズ推定
ベイジアンフィルタ
ホワイトリスト
AWL
bayes_journal
auto-whitelist
0399名無しさん@お腹いっぱい。
垢版 |
2010/10/30(土) 18:25:51
>>398
どうもです。user_prefsを最新のものにしても変わらず…。
警告をよく見たら、自分で設定した trusted_networks も同じ表示があった。

warn: netset: cannot include 192.168.0.0/24 as it has already been included

動作的には問題ないようにも見えるけど、よく分からん。
0400名無しさん@お腹いっぱい。
垢版 |
2010/10/31(日) 12:37:24
そりゃ、そのメッセージ通り
「192.168.0.0/24 は包含できない、それは既に包含済みだから」
動作も問題ないのは当然
0402名無しさん@お腹いっぱい。
垢版 |
2010/12/14(火) 15:24:31
TLECが消滅ってなんで?
これ消えると、spamassassin布教的には痛いっす。

ttp://www.spamassassin.jp/
ここにインスコマニュアル移して欲しかったorz
0406中の人
垢版 |
2010/12/17(金) 20:50:50
>>402-403
(1)旧JLA鯖が壊れた
(2)JLAは解散した
なので、追い出された訳じゃない。
JF,JMも同様に鯖を失い、彼等はSourceForgeに移行した。

TLEC自体は存続している。
TLECは地方ローカルのユーザーズグループなので、
webコンテンツを移行させるという切迫した事情がないので、
現状放置中。

SAインストールマニュアルは当面 web archiveで我慢して。
http://web.archive.org/web/20071009153650/tlec.linux.or.jp/docs/spamassassin.html
そのうち時間ができたら何とかしたいな(希望的観測)
0410名無しさん@お腹いっぱい。
垢版 |
2010/12/20(月) 15:07:52
>>409
一般社団法人 日本リヌックス協会 設立

4:41 PM 投稿先 JLAからのお知らせ 投稿者 JLA事務局

「任意団体 日本リヌックス協会」は 2010年6月30日をもって解散し、
その残余財産および会員を 一般社団法人 日本リヌックス協会
に引き継ぐ ことを総会決議しました。
0411名無しさん@お腹いっぱい。
垢版 |
2011/02/25(金) 01:12:59.60
http://www.flcl.org/~yoh/user_prefs
のルールを使っているのですが、203.138.0.0/16内のアドレス
a. [IPネットワークアドレス]     203.138.0.0/24
b. [ネットワーク名]             INFOSPHERE
f. [組織名]                     InfoSphere (株式会社NTTPCコミュニケーションズ)
から送られてくるメールが

header PRIMETELECOM_CN X-Spam-Relays-Untrusted =~ /^\[ ip=203\.(?:1[3-9]\d|20[0-8])(\?:\.\d{1,3}){2} /
describe PRIMETELECOM_CN [CN]Beijing Primezone Technologies Inc.
score PRIMETELECOM_CN 1.5

のルールに引っ掛かってしまっています。

あと、RCVD_IN_CHINA,RCVD_IN_CHINA_KR,RCVD_IN_TAIWANなるルールにも
引っ掛かっているのですが、これは
ttp://bui.asablo.jp/blog/2010/10/31/5459612
の現象と同じかと思います。

多くの方が利用されているかと思いますので、修正のご検討をお願いいたします。
0412名無しさん@お腹いっぱい。
垢版 |
2011/02/25(金) 09:10:13.94
そのネットワーク空間を cc.wariate.jp 使って引いてみると JP で認識されるね
1.1.138.203.cc.wariate.jp text = "JP"

1.1.138.203.jp.cc.wariate.jp を正引きすると 127.0.0.2
1.1.138.203.cn.cc.wariate.jp を正引きすると Non-existent domain
と、こちらも正しく動作してる
0413なかのひと
垢版 |
2011/02/26(土) 13:54:16.48
>>411
御報告有難うございます
今しがた修正しました
御確認願います
0414名無しさん@お腹いっぱい。
垢版 |
2011/04/13(水) 20:04:37.35
tlec氏、今年の3月頃に大幅に変更したscoreありますか?
その頃からspamのスコアが下がって通り抜けちゃうメールが散見されるんですが
0416名無しさん@お腹いっぱい。
垢版 |
2011/04/14(木) 13:38:56.99
そうかな? 実名出さない方向で考えたんじゃない?

まあたしかに「半ズボン氏」みたいなイメージが無いわけではないけど、、、
0417なかのひと
垢版 |
2011/04/14(木) 20:46:12.23
>>414
今はCVSみたいなリビジョン管理を全くやっていないので、
以前と何処を変更したかについての詳細は正直わかりません。
但し、概ね以下のようなルールで変更してます。
・X-Spam-Relays-Untrusted で始まるIPアドレス範囲は、気が付いたらその都度変更しています。
これには変更日を記録していません。
・上記以外の、正規表現ベースのルールを変更する際には、変更日を記録しています。
例えば↓
# added 2011.03.09 by [yoh]

もしかして、すり抜けてしまったspamはyahoo.comのwebメイルサービスを悪用した奴ではないでしょうか。
# added 2011.03.05 by [yoh]
# for checking US and EU Yahoo! webmail spam.
trusted_networks 115.178.12.0/23 124.108.96.0/20 124.108.112.0/20 183.177.64.0/19 67.195.0.0/16 68.142.192.0/18 76.13.0.0/16 77.238.188.0/22 98.136.0.0/14

これをコメントアウトして、すり抜けてしまったspamを再度SAに通してみて、引っかかるようならビンゴです。
不評であれば削除します。
そうでない場合は、もし宜しければ、すり抜けてしまったspamのサンプルをzipで幾つか頂ければ、解析します。
0418名無しさん@お腹いっぱい。
垢版 |
2011/04/14(木) 22:02:45.83
>>417
なかのひと様、いつもお世話になっております。
以前はCVSだったと思うのですが、今は違うのですね。

以下、個人用ルールとのマージのためにGitでバージョン管理したものがあります。
(はてなアンテナ等で気付いた時だけなので歯抜けになっていると思われますが)
https://github.com/unpush/tlec_user_prefs/commits/master

かなり以前、リビジョン化したものを公開してもよいかメール差し上げた
のですが、もしかして届いてなかったでしょうか…
もし上記公開に不都合があれば停止しますので宜しくお願いします。
0419なかのひと
垢版 |
2011/04/14(木) 23:08:38.15
>>418
>>406辺りに説明しました通りで、
旧JLA鯖がCVSでうpしていた関係で、自ずとリビジョン管理されていた訳でして。
今は単にsshで上書きしているだけです。

>かなり以前、リビジョン化したものを公開してもよいかメール差し上げた
>のですが、もしかして届いてなかったでしょうか…

え゛、届いてないです。(汗

>もし上記公開に不都合があれば停止しますので宜しくお願いします。

いえ、止める理由なぞありません。
つかむしろどんどんやってください(笑)
それと、今はほぼ毎日ペースで更新しています。
0420名無しさん@お腹いっぱい。
垢版 |
2011/04/15(金) 02:10:33.52
>>419
快諾ありがとうございます。
やはり届いてなかったですか…2008年頃だったようです。BAYES_99だったりして(汗

毎日ペースとは知りませんでした。はてなアンテナだと拾いきれてないかもですね。
もし気が向いたら、GitHubなんか使ってみませんか?
0421414
垢版 |
2011/04/15(金) 05:29:44.15
>>417
呼びかけ方が悪かったのはスマンかったです。
spamはいったん削除してしまったので一部ヘッダだけメモで残してある状態。
まだすり抜けが多いようなら今度はまとめてzipでお送りしますのでよろしくお願いします。

ひとまず、自分でヘッダを見て気づいたのは
X-Mailer : tpmbwnaln-50
みたいにX-Mailerが[a-z]+(-|\s)(\d){2} (で正規表現あってるかなあ?)みたいな
ランダム文字列メーラを名乗ってますね。
あと
X-Nat-Received : from [202.181.99.22]:...
と言うのが必ずついてて同じところから爆撃食らってるのかなあ…程度が
素人で分かる限界でした。
0422なかのひと
垢版 |
2011/04/15(金) 06:32:00.16
>>421
X-Nat-Receivedというヘッダは初めて見ます。
手元でgrepしたら、1通だけヒットしました。
今年の1/6に、さくらから送信されている日本語spamです。
しかし、
>X-Mailer : tpmbwnaln-50
こんな、いかにも引っ掛けてくださいと言わんばかりのX-Mailerは付いていませんでした。
避けられてるのかな?
また新たなハニーポットを仕掛けないとダメかな?
次に受信したら是非サンプルをください。お願いします。
0423名無しさん@お腹いっぱい。
垢版 |
2011/04/15(金) 07:25:46.38
>>422
ありがとうございます。

自分でもにらめっこしながら、ううん…と悩んでいたのですが
X-Nat-Received : from [202.181.99.22]:51905 [ident-empty] by smtp-proxy.isp with TPROXY id 1302654519.9882
って入ってて、この202.181.99.22が悪人かと思ったんですがよく見ると
自分の鯖のIPでした。(自分がさくらインターネットです)
さくら内に悪質スパマーがいると言うより、配信先のIPを見てダミーで
突っ込まれてる気配…

お手数かと思いましたが、まだ鯖に残っていたメールをサンプルに添付して
送りましたので、ご確認いただけると助かります。よろしくお願いしますです。
0424なかのひと
垢版 |
2011/04/16(土) 09:41:54.72
>>423
昨日返信しましたが、メイルのやりとりだけじゃ情報が共有できないのでこちらにも書きます。
頂いたサンプルの一つを spamassassin -d <sample.txt>spamassassin -t -D 2>&1|lv しまして、
デバッグ出力を見ました。

> この202.181.99.22が悪人かと思ったんですがよく見ると自分の鯖のIPでした。

デバッグ出力に現れた直近のIPアドレスは、そのIPアドレスではない別のIPアドレスでした。
その、直近のIPアドレスを trusted_networks に指定したら、スコアが改善されました。

メイルサーバを運用されている方は、 trusted_networks を正しく設定してください。
自分のメイルサーバのIPアドレスは必ず trusted_networks に設定してください。
これだけでスコアがかなり改善される筈です。

因みに、件の X-Mailer は
header RNDXMAILER X-Mailer =~ /^[a-z]{4,}[ \.-]\d{2}/
で引っ掛けられると思います。
0425名無しさん@お腹いっぱい。
垢版 |
2011/04/16(土) 21:55:08.80
>>424
メール返信してないですね、すんません。
晒しといた方がよさげなので、こっちで返信します。

X-Nat-Received :はこちらで借りてるレンタル鯖(さくらインターネット)が勝手に
付けてるヘッダみたいなので、何の意味か鯖会社に問い合わせて、ルールに
書き込むか再検討することにしました。

> デバッグ出力に現れた直近のIPアドレスは、そのIPアドレスではない別のIPアドレスでした。
このアドレスは、調べ直したら鯖側でウイルスチェックする際に投げてるウイルスチェック専用鯖のようで、
調べたら複数あるようなのでまとめてtrusted_networksに突っ込むことにしました。
今までこの設定、蔑ろでした…。

> header RNDXMAILER X-Mailer =~ /^[a-z]{4,}[ \.-]\d{2}/
これ、本来のX-Mailerで間違ってヒットしちゃう可能性があって少し不安なので、
控えめのスコアで導入してみました…。
0427名無しさん@お腹いっぱい。
垢版 |
2011/04/17(日) 09:28:37.05
>>426
すいません、見落としていました。
今該当箇所を削除しました。御確認願います。
cc.wariate.jp はこれから試してみます。
0428なかのひと
垢版 |
2011/04/17(日) 10:36:35.52
cc.wariate.jpで書き換えてみました。
一応、kr/cn/twのspamで動作確認しました。御確認願います。
これらはスコアを低くして積極的に利用していないのですが、何か良いアイディアが
ありましたら、御教示頂ければ幸いです。
0429名無しさん@お腹いっぱい。
垢版 |
2011/04/17(日) 20:26:03.15
中の人に要望を出せるんなら、
include private_prefs
を記述する順番を一番最後にしてもらえないだろうか。

自分のprivate_prefsでrequired_scoretか他のscore上書きしたいんだけど、
多分順番で後に読んだ方が優先されるよね?
0431名無しさん@お腹いっぱい。
垢版 |
2011/04/17(日) 21:18:33.66
>>420
> もし気が向いたら、GitHubなんか使ってみませんか?

初めて知りました(恥
tdiaryも使ってるんですね。
どう使うのかよくわからないので暫く時間がかかりますが、前向きに検討します。
もしかしたら複数人のコラボレートもできるかな?
0434429
垢版 |
2011/04/18(月) 21:52:56.10
>>430
確認した。ありがとう、便利になった。
0435名無しさん@お腹いっぱい。
垢版 |
2011/04/24(日) 14:47:48.29
>>428
SpamAssassin単体では積極的に活用し辛いかもしれません。
自分はBAYES_99等と判定したメールの自動削除トリガーにする為、spam発信の
多い国(ロシア等)も自前で追加してProcmailの条件判定に利用しています。
0436名無しさん@お腹いっぱい。
垢版 |
2011/04/25(月) 23:06:54.63
まつださんのuser_prefs(2011/4/20頃のもの)を使わせて頂いています。

最近OCNのham(複数の相手)が、結構な確率でspam判定されおり、
どうにかならないかと調べています。

spam判定されているメールのヘッダを確認すると、該当しているルールは
X-Spam-Status: Yes, score=18.3 required=13.0
tests=BAYES_99,CONTENT_TYPE_PRESENT,DIRECTOCNDYN,DYN_ONEGAI,
DYN_RENRAKU,DYN_UPRSBLRLY,FAKEDWORD_ATMARK,HTML_MESSAGE,
ISO2022JP_BODY,MIMEPDF,MIMEQENC,OCNNEJP,ONEGAI,QENCPTR1,
QENCPTR2,RENRAKU,SPF_PASS,THREAD_INDEX,UNPARSEABLERELAY99,
UNPARSEABLE_RELAY autolearn=spam version=3.3.1
となっています。(あくまで一つのメールの例です)

BAYES_99を先にどうにかしろ、と言われそうですが、それはひとまず置いておいて
UNPARSEABLE_RELAYがなぜ付くのかが分かりません。
spamassassin  -t -x < スプール内の当該メール をすると出てきません。
これはどうしてなのでしょうか・どうにかならないのでしょうか?
何かアドバイスなどありましたら、よろしくご教示お願いいたします。
0437名無しさん@お腹いっぱい。
垢版 |
2011/04/25(月) 23:44:07.19
>>436
なんかDYN_ペケペケなルールに一杯ひっかかってるね
OCNだと引っかかる理由でもあるのかしら

あと中の人、include private_prefsを重複してるよ
0438名無しさん@お腹いっぱい。
垢版 |
2011/04/26(火) 01:27:59.00
追加の疑問です。
>>436でも該当しているDIRECTOCNDYNですが、このメールは
 OCNエンドユーザ→OCNメールサーバ→受信サーバ
という経路でメールが到達しているようです。
この経路でDIRECTとなるであれば、恐らく全てのOCNからのメールはDIRECTですよね。
国内プロバイダは、ほぼOP25Bを実施している言っても良いのではないかと思われる今
OCNの動的アドレスユーザにspammerが多いだろう、というルールは有効なのでしょうか?
0439なかのひと
垢版 |
2011/04/26(火) 04:23:28.26
>>435
そういうお話だと、kr/cn/twだけじゃ足りないですね。
最近はin/ph辺りも増えているので。
APNICを網羅するのがベストでしょうけど、ルールどうやって書くんだろ(汗
一回のDNSBL問い合わせで済ませなきゃならないんですよね。

>>436
> spam判定されているメールのヘッダを確認すると、該当しているルールは
> X-Spam-Status: Yes, score=18.3 required=13.0
> tests=BAYES_99,CONTENT_TYPE_PRESENT,DIRECTOCNDYN,DYN_ONEGAI,

> BAYES_99を先にどうにかしろ、と言われそうですが、それはひとまず置いておいて
> UNPARSEABLE_RELAYがなぜ付くのかが分かりません。

いやそれより先に DIRECTOCNDYN をどうにかしないといけないので、
該当メイルのヘッダだけでもください。お願いします。
できるだけ早急に修正したいと思います。
UNPARSEABLE_RELAYの話はその後で。

>>437
>あと中の人、include private_prefsを重複してるよ

それはない(きぱっ
>>429-430参照。
DLした生user_prefs見てください。
0441なかのひと
垢版 |
2011/04/27(水) 14:17:36.69
DIRECTOCNDYN中にメイルサーバのIPが一つ混じっていましたので、除去しました。
他は未だ調査中です。
0442なかのひと
垢版 |
2011/05/01(日) 12:56:12.43
>>436
メイルしましたが、こちらにも書きます。

頂いた false positive なヘッダのうち、 RCVD_IN_PBL が現れている
二つのヘッダを再度検証し直しました。
いずれも、
ocn の動的 IP -> ocn の SMTP 鯖 -> 独自ドメインの受信 SMTP 鯖
というリレーです。

SAは、ある程度のスコアに達しそうな場合に DNSBL を探索する動作
であるようです。
手近の spam 本文と頂いたヘッダを組み合わせて、ocn の SMTP 鯖の
IP アドレスを trusted_networks に入れた場合と外した場合とで、
デバッグ出力を比較したところ、 ocn 鯖 IP を入れたら RCVD_IN_PBL
が出力され、ない場合には RCVD_IN_PBL が現れませんでした。

つまり、 SA は Untrusted なリレーホストのうち、直近の IP のみ
DNSBL に問い合わせする仕様になっています。
頂いたヘッダに出力された SA のルールを見る限り、trusted_networks
に ocn 鯖 IP を登録していなければ、 RCVD_IN_PBLは現れないと思い
ます。

独自ドメインの受信 SMTP 鯖 が最終的な受信 SMTP サーバであるな
ら、 trusted_networks に ocn の SMTP サーバを登録する必要はない
と思います。
0443名無しさん@お腹いっぱい。
垢版 |
2011/10/27(木) 04:40:37.14
保守age
0444なかのひと
垢版 |
2012/09/23(日) 21:30:09.90
user_prefs を公開している鯖に ssh login できなくなってしまいました。
このため、 user_prefs を更新できない状態が続いています。
鯖オーナ氏に問い合わせていますが、なにぶんあちらもお忙しい方なので
いつ修復されるかわかりません。
こちらも何とか他の手段を講じたいとは思いますが、こちらも多忙&技術力+情報不足のため
すぐに対処できない状態です。

進捗状況が変化したら追ってこちらに報告したいと思います。
0445なかのひと
垢版 |
2012/09/25(火) 01:41:43.38
user_prefs を公開しているサーバに ssh login できなくなっていた問題ですが、24日14時半頃に解決しました。
user_prefs も更新しました。
取り急ぎ御報告まで。
0448なかのひと
垢版 |
2014/06/04(水) 22:11:09.84
>>447
情報ありがとうございます。
先週位にエラーメッセージで気付きました。

> 0.0 URIBL_BLOCKED ADMINISTRATOR NOTICE: The query to URIBL was blocked.
> See http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block

上記エラーメッセージを見たくない場合は、 ~/.spamassassin/private_prefs に

skip_uribl_checks 1

を記入すると解決します。
http://spamassassin.apache.org/full/3.4.x/doc/Mail_SpamAssassin_Plugin_URIDNSBL.html
http://mail-archives.apache.org/mod_mbox/spamassassin-users/201405.mbox/browser
0449名無しさん@お腹いっぱい。
垢版 |
2017/12/29(金) 10:45:52.39
誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

KCNWIH3I1G
0450名無しさん@お腹いっぱい。
垢版 |
2018/02/14(水) 10:29:48.52
☆ 日本の、改憲をしましょう。現在、衆議員と参議院の両院で、
改憲議員が3分の2を超えております。『憲法改正国民投票法』、
でググってみてください。国会の発議はすでに可能です。
平和は勝ち取るものです。お願い致します。☆☆
0451なかのひと
垢版 |
2018/05/09(水) 22:36:31.07
Twitterでお知らせしましたが、こちらでも告知します。
https://twitter.com/Yoh_Matsuda/status/994189419169988608
cron等で拙作 user_prefs チェックされている方はおわかりのことと思いますが、昨日未明から user_prefs を公開している www.flcl.org サーバが落ちています。
現在、管理者様との連絡がつかない状態で、いつ復旧するのか不明です。(続く)
#spamassassin_jp

拙作user_prefs自体はここ数ヶ月更新していません。また、最近の傾向から喫緊に更新が必要になる可能性は低いと思います。
万が一、喫緊の更新が必要になるような場合は、このTwitterアカウントと5chのSpamAssassinスレで告知します。
私に対する緊急の連絡はこのTwitterアカウントが確実です。(続く)

拙作user_prefs御利用の皆様におかれましては、今暫くの御辛抱をお願い申し上げます。
#spamassassin_jp
0452名無しさん@お腹いっぱい。
垢版 |
2018/05/22(火) 02:37:05.56
知り合いから教えてもらったパソコン一台でお金持ちになれるやり方
時間がある方はみてもいいかもしれません
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』

MEIQC
0454なかのひと
垢版 |
2021/07/26(月) 21:11:39.25
https://twitter.com/Yoh_Matsuda/status/1417471449963536392
spamassassin用user_prefs
をgithubにて公開しました。
https://github.com/kittyfreak/spamassassin_user_prefs

githubの使い方がよくわからんので^^;DL方法等は各自でお願いします。(_o_)

取り敢えず、ここ1年位溜まった、Amazon偽装spamを始めとする厄介な奴をフィルタリングすべく、更新中。
https://twitter.com/5chan_nel (5ch newer account)
0455名無しさん@お腹いっぱい。
垢版 |
2024/03/27(水) 19:34:52.42
でも
そういうの書くのヤバいだろもう
古すぎ
高いのでは史上最低の新人王ご覧ください
バンド名みたいに要領よくて3回目で降りたせいでリリーフで負けたのかな
新着レスの表示
レスを投稿する

ニューススポーツなんでも実況