URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 85741
[ Назад ]

Исходное сообщение
"Spamassassin. Как заставить его работать?"

Отправлено silent79 , 26-Июн-09 11:30 
Доброго времени суток.
У меня работает почтовый сервер EXIM в связке со SPAMASSASSINом.
Как мне научить этот спам фильтр, чтобы он начал отсеивать спам.
Дело в следующем, скормил я ему уже около 2000 писем спама, но результата ноль. Т.е. смотрю в теле письма строчки
...
X-Spam-Score: 25 (++)
X-Spam-Scanned: Yes
X-Spam-Scanner: SpamAssassin running on ...
...

Т.е. видно, что он работает. Базы bayes_toks около 5 мегов, bayes_seen около 200 кб

/etc/mail/spamassassin/local.cf
# доверенные сети
trusted_networks 192.168.1.
trusted_networks 10.0.0.
trusted_networks 127.

auto_learn 1
use_bayes 1
bayes_path /etc/mail/spamassassin/bayes
bayes_file_mode 0666
bayes_learn_to_journal 1
bayes_min_ham_num 1
bayes_min_spam_num 1
score SUBJ_FULL_OF_8BITS 0.00
score HTML_COMMENT_8BITS 0.01
score HEADER_8BITS 0.00
score TO_NO_USER 0.01
score FORGED_MUA_OUTLOOK 0.5
score X_AUTH_WARNING 0.01
score SUBJ_HAS_UNIQ_ID 9.99
score HTTP_USERNAME_USED 9.99
score FORGED_YAHOO_RCVD 9.99
score FORGED_JUNO_RCVD 16
score UNWANTED_LANGUAGE_BODY 1.02
score MLM 5.55
score RCVD_NUMERIC_HELO 4.95
ok_languages en ru
ok_locales en ru
subject_tag MESSAGE_MARKED_AS_SPAM
auto_whitelist_path        /etc/mail/spamassassin/auto-whitelist
auto_whitelist_file_mode   0666
auto_learn_threshold_nonspam    -2
auto_learn_threshold_spam       9
blacklist_from *@888.com
blacklist_from *@msn.com
blacklist_from *@cat.es
blacklist_from *@pmail.gen.nz
blacklist_from *@femenino.com
blacklist_from *@infonium.com
blacklist_from *@outblaze.com

whitelist_from *@yandex.ru
whitelist_from *@rambler.ru
whitelist_from *@mail.ru

В конфиге экзима пока снял блокировку по рейтингу спама. Просматривая тело письма я вижу, что в одинаковых письмах этот рейтинг практически не меняется.

Буду благодарен всем советам...


Содержание

Сообщения в этом обсуждении
"Spamassassin. Как заставить его работать?"
Отправлено nadirx2 , 27-Июн-09 20:15 
>[оверквотинг удален]
>
>whitelist_from *@yandex.ru
>whitelist_from *@rambler.ru
>whitelist_from *@mail.ru
>
>В конфиге экзима пока снял блокировку по рейтингу спама. Просматривая тело письма
>я вижу, что в одинаковых письмах этот рейтинг практически не меняется.
>
>
>Буду благодарен всем советам...

Вот пример моего рабочий конфига, работает отлично. резает 2000 спам в час. =)

trusted_networks 192.168/24 11.22.33.44/24
rewrite_header Subject ****SPAM(_SCORE_)****
report_safe 0
required_score 7.0
use_dcc 0
use_bayes 1
bayes_auto_learn 1
bayes_ignore_header X-Bogosity
bayes_ignore_header X-Spam-Flag
bayes_ignore_header X-Spam-Status
ok_locales ru en az ch
report_charset windows-1251
#score NAME_OF_TEST 1.0
#score HTML_FONTCOLOR_RED 1.5
#score SUBJ_FULL_OF_8BITS 0
#score HABEAS_SWE 0
#bayes_auto_learn_spam 9.0
#bayes_auto_learn_nonspam 0.1
#auto_learn 1
score PORN_URL_SEX 4
#score MIME_HTML_ONLY 1.0
score HTML_MESSAGE 1.0
score FROM_ILLEGAL_CHARS 0
score SUBJ_ILLEGAL_CHARS 0
score HEAD_ILLEGAL_CHARS 0
score FORGED_IMS_TAGS 1
score BAYES_00 0.0001 0.0001 -2.312 -2.599
score BAYES_05 0.0001 0.0001 -1.110 -1.110
score BAYES_20 0.0001 0.0001 -0.740 -0.740
score BAYES_40 0.0001 0.0001 -0.185 -0.185
score BAYES_50 0.0001 0.0001 0.001 0.001
score BAYES_60 0.0001 0.0001 2.0 2.0
score BAYES_80 0.0001 0.0001 3.0 3.0
score BAYES_95 0.0001 0.0001 3.5 3.5
score BAYES_99 0.0001 0.0001 5.0 5.0
score ALL_TRUSTED -3.360 -3.440 -3.665 -3.800

auto_whitelist_path /usr/local/etc/mail/spamassassin/auto_whitelist


whitelist_from localhost


А для обучении спамассасина:
sa-learn --spam --dir папка_со_спамом

Я кормил спамасасин где-то 1000 спамом.


"Spamassassin. Как заставить его работать?"
Отправлено бусик , 27-Июн-09 23:40 
>[оверквотинг удален]
>
>whitelist_from *@yandex.ru
>whitelist_from *@rambler.ru
>whitelist_from *@mail.ru
>
>В конфиге экзима пока снял блокировку по рейтингу спама. Просматривая тело письма
>я вижу, что в одинаковых письмах этот рейтинг практически не меняется.
>
>
>Буду благодарен всем советам...

Установите для начала sa-exim - значительно расширяет возможности спамассасина.
Второе - покажите все заголовки пришедшего спамового письма.


"Spamassassin. Как заставить его работать?"
Отправлено silent79 , 29-Июн-09 12:25 
>Установите для начала sa-exim - значительно расширяет возможности спамассасина.
>Второе - покажите все заголовки пришедшего спамового письма.

sa-exim вроде установлен. В папке /etc/exim/ есть файлы sa-exim.conf и sa-exim_short.conf

тело пришедшего спама
Return-path: <shinobu98shigeo@deleteddomains.com>
Envelope-to: ........
Delivery-date: Mon, 29 Jun 2009 10:07:21 +0400
Received: from [117.200.165.186] (helo=localhost)
        by gupti.ru with esmtp (Exim 4.62)
        (envelope-from <shinobu98shigeo@deleteddomains.com>)
        id 1MLA1G-00079n-75
        for .........; Mon, 29 Jun 2009 10:07:21 +0400
Message-ID: <d07701c9f87e$cab95997$ce458ec7@deleteddomains.com>
From: =?windows-1251?B?1ODk5eXi?= <shinobu98shigeo@deleteddomains.com>
To: .........
Subject: =?windows-1251?B?zejn6ujlIPHy4OLq6CDv7iDg8OXt5OU=?=
Date: Mon, 29 Jun 2009 11:35:35 +0530
MIME-Version: 1.0
Content-Type: multipart/related;
        type="multipart/alternative";
        boundary="----=_NextPart_000_0023_11_01C9F88E.30F350EB"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3350
X-Spam-Score: 49 (++++)
X-Spam-Scanned: Yes
X-Spam-Scanner: SpamAssassin running on mx.........ru
X-IMAPbase: 1231936708 1087
Status: O
X-UID: 1087
Content-Length: 11017
X-Keywords:                                                                                                    

------=_NextPart_000_0023_11_01C9F88E.30F350EB
Content-Type: multipart/alternative;
        boundary="----=_NextPart_001_0024_11_01C9F88E.30F350EB"


"Spamassassin. Как заставить его работать?"
Отправлено nadirx2 , 29-Июн-09 12:31 
>[оверквотинг удален]
>X-Spam-Scanner: SpamAssassin running on mx.........ru
>X-IMAPbase: 1231936708 1087
>Status: O
>X-UID: 1087
>Content-Length: 11017
>X-Keywords:
>
>------=_NextPart_000_0023_11_01C9F88E.30F350EB
>Content-Type: multipart/alternative;
>        boundary="----=_NextPart_001_0024_11_01C9F88E.30F350EB"

как видимо у тебя там рейтинг: X-Spam-Score: 49 (++++)

добавь эту строку в local.cf
...
required_score 7.0
...

и не добавь свои домены в whitelist =)


"Spamassassin. Как заставить его работать?"
Отправлено silent79 , 29-Июн-09 13:33 
у меня параметр required_score и был установлен в значение 7.0


"Spamassassin. Как заставить его работать?"
Отправлено nadirx2 , 29-Июн-09 16:42 
>у меня параметр required_score и был установлен в значение 7.0

и это не помогает вам?


"Spamassassin. Как заставить его работать?"
Отправлено silent79 , 29-Июн-09 17:41 
>>у меня параметр required_score и был установлен в значение 7.0
>
>и это не помогает вам?

В конфиге экзима пока снял блокировку по рейтингу спама. Просматривая тело письма я вижу, что в одинаковых письмах этот рейтинг практически не меняется. (писал в первом сообщении).
Если бы рейтинг спам-писем был бы, скажем выше 200 очков, то я бы его стал блокировать и все тут. Но сумма очков всегда разная на одинаковых письмах...



"Spamassassin. Как заставить его работать?"
Отправлено nadirx2 , 29-Июн-09 19:26 
>>>у меня параметр required_score и был установлен в значение 7.0
>>
>>и это не помогает вам?
>
>В конфиге экзима пока снял блокировку по рейтингу спама. Просматривая тело письма
>я вижу, что в одинаковых письмах этот рейтинг практически не меняется.
>(писал в первом сообщении).
>Если бы рейтинг спам-писем был бы, скажем выше 200 очков, то я
>бы его стал блокировать и все тут. Но сумма очков всегда
>разная на одинаковых письмах...

хм...
сделайте sa-learn -D --sync >> log и смотрите у вас там все модулы работает ли нормално.


"Spamassassin. Как заставить его работать?"
Отправлено silent79 , 07-Июл-09 11:33 
Посмотрел /var/log/maillog и увидел следующее

Jul  7 11:29:32 gupti spamd[6150]: connection from localhost.localdomain [127.0.0.1] at port 60192
Jul  7 11:29:32 gupti spamd[6150]: info: setuid to nobody succeeded
Jul  7 11:29:32 gupti spamd[6150]: Cannot open bayes databases /etc/mail/spamassassin/bayes_* R/O: tie failed: Отказано в доступе
Jul  7 11:29:32 gupti spamd[6150]: checking message (unknown) for nobody:99.
Jul  7 11:29:32 gupti spamd[6150]: Cannot open bayes databases /etc/mail/spamassassin/bayes_* R/O: tie failed: Отказано в доступе
Jul  7 11:29:32 gupti spamd[6150]: Cannot open bayes databases /etc/mail/spamassassin/bayes_* R/O: tie failed: Отказано в доступе
Jul  7 11:29:35 gupti spamd[6150]: identified spam (1.1/1.0) for nobody:99 in 3.5 seconds, 977 bytes.
Jul  7 11:29:35 gupti spamd[6150]: result: Y  1 - NO_DNS_FOR_FROM scantime=3.5,size=977,mid=(unknown),autolearn=no

Я когда обучал спамассассин, то входил под ROOT, соответственно у меня права доступа на эти файлы (bayes) были только для него, но я установил права - чтение для всех. Это я делал еще неделю назад, в логах вроде подобных сообщений не было больше, но сегодня посмотрел, а там тоже самое. Я так понимаю, что собранная мной база не используется. Так? Как заставить его работать? :(


"Spamassassin. Как заставить его работать?"
Отправлено nadirx2 , 07-Июл-09 12:02 
>[оверквотинг удален]
>3.5 seconds, 977 bytes.
>Jul  7 11:29:35 gupti spamd[6150]: result: Y  1 - NO_DNS_FOR_FROM
>scantime=3.5,size=977,mid=(unknown),autolearn=no
>
>Я когда обучал спамассассин, то входил под ROOT, соответственно у меня права
>доступа на эти файлы (bayes) были только для него, но я
>установил права - чтение для всех. Это я делал еще неделю
>назад, в логах вроде подобных сообщений не было больше, но сегодня
>посмотрел, а там тоже самое. Я так понимаю, что собранная мной
>база не используется. Так? Как заставить его работать? :(

удали все bayes файлы из директории /etc/mail/spamassassin/ потом сделай рестарт.


"Spamassassin. Как заставить его работать?"
Отправлено silent79 , 07-Июл-09 14:20 
>удали все bayes файлы из директории /etc/mail/spamassassin/ потом сделай рестарт.

Удалил. Но как мне тогда подсунуть ему 2000 писем для обучения? У меня в /var/spool/cron/root есть расписание на обучение каждые 10 мин из такой-то папки. После запуска этого расписания у меня опять появились файлы bayes_* и опять с правами доступа для root.



"Spamassassin. Как заставить его работать?"
Отправлено nadirx2 , 07-Июл-09 15:19 
>>удали все bayes файлы из директории /etc/mail/spamassassin/ потом сделай рестарт.
>
>Удалил. Но как мне тогда подсунуть ему 2000 писем для обучения? У
>меня в /var/spool/cron/root есть расписание на обучение каждые 10 мин из
>такой-то папки. После запуска этого расписания у меня опять появились файлы
>bayes_* и опять с правами доступа для root.

да базы автоматически создаются при отсуствии.
интересно, все таки файлы bayes должни работат правами доступа для root (0600)

эсли хочеш попробуй установить заново спамассасина.


"Spamassassin. Как заставить его работать?"
Отправлено silent79 , 12-Июл-09 11:12 
:( ничего не помогает.
в логах больше нет подобных ошибок. Я перенес базы в другое место...
В теле письма вижу следующие сообщения типа:
0.5 FROM_ENDS_IN_NUMS      From: ends in numbers
1.1 SUBJ_HAS_UNIQ_ID       Subject contains a unique ID
0.4 DNS_FROM_RFC_ABUSE     RBL: Envelope sender in abuse.rfc-ignorant.org

Слева присвоеные очки письму, но эти очки прописаны у меня в /ect/mail/spamassassin/local.cf, т.е. сколько я там скажу - столько у меня у получится. А как же тогда собранная бд спама, она вообще не используется что ли? Если я из local.cf убираю эти строки (н.п. score FROM_ENDS_IN_NUMS 0.5), то тогда в теле письма я наблюдаю следующее:
...
0.0 FROM_ENDS_IN_NUMS      From: ends in numbers
...

Что я не так делаю?


"Spamassassin. Как заставить его работать?"
Отправлено nadirx2 , 12-Июл-09 11:24 
>[оверквотинг удален]
>Слева присвоеные очки письму, но эти очки прописаны у меня в /ect/mail/spamassassin/local.cf,
>т.е. сколько я там скажу - столько у меня у получится.
>А как же тогда собранная бд спама, она вообще не используется
>что ли? Если я из local.cf убираю эти строки (н.п. score
>FROM_ENDS_IN_NUMS 0.5), то тогда в теле письма я наблюдаю следующее:
>...
>0.0 FROM_ENDS_IN_NUMS      From: ends in numbers
>...
>
>Что я не так делаю?

покажи нам полный аутпут: sa-learn -D --sync >> log