Доброго времени суток.
У меня работает почтовый сервер EXIM в связке со SPAMASSASSINом.
Как мне научить этот спам фильтр, чтобы он начал отсеивать спам.
Дело в следующем, скормил я ему уже около 2000 писем спама, но результата ноль. Т.е. смотрю в теле письма строчки
...
X-Spam-Score: 25 (++)
X-Spam-Scanned: Yes
X-Spam-Scanner: SpamAssassin running on ...
...Т.е. видно, что он работает. Базы bayes_toks около 5 мегов, bayes_seen около 200 кб
/etc/mail/spamassassin/local.cf
# доверенные сети
trusted_networks 192.168.1.
trusted_networks 10.0.0.
trusted_networks 127.auto_learn 1
use_bayes 1
bayes_path /etc/mail/spamassassin/bayes
bayes_file_mode 0666
bayes_learn_to_journal 1
bayes_min_ham_num 1
bayes_min_spam_num 1
score SUBJ_FULL_OF_8BITS 0.00
score HTML_COMMENT_8BITS 0.01
score HEADER_8BITS 0.00
score TO_NO_USER 0.01
score FORGED_MUA_OUTLOOK 0.5
score X_AUTH_WARNING 0.01
score SUBJ_HAS_UNIQ_ID 9.99
score HTTP_USERNAME_USED 9.99
score FORGED_YAHOO_RCVD 9.99
score FORGED_JUNO_RCVD 16
score UNWANTED_LANGUAGE_BODY 1.02
score MLM 5.55
score RCVD_NUMERIC_HELO 4.95
ok_languages en ru
ok_locales en ru
subject_tag MESSAGE_MARKED_AS_SPAM
auto_whitelist_path /etc/mail/spamassassin/auto-whitelist
auto_whitelist_file_mode 0666
auto_learn_threshold_nonspam -2
auto_learn_threshold_spam 9
blacklist_from *@888.com
blacklist_from *@msn.com
blacklist_from *@cat.es
blacklist_from *@pmail.gen.nz
blacklist_from *@femenino.com
blacklist_from *@infonium.com
blacklist_from *@outblaze.comwhitelist_from *@yandex.ru
whitelist_from *@rambler.ru
whitelist_from *@mail.ruВ конфиге экзима пока снял блокировку по рейтингу спама. Просматривая тело письма я вижу, что в одинаковых письмах этот рейтинг практически не меняется.
Буду благодарен всем советам...
>[оверквотинг удален]
>
>whitelist_from *@yandex.ru
>whitelist_from *@rambler.ru
>whitelist_from *@mail.ru
>
>В конфиге экзима пока снял блокировку по рейтингу спама. Просматривая тело письма
>я вижу, что в одинаковых письмах этот рейтинг практически не меняется.
>
>
>Буду благодарен всем советам...Вот пример моего рабочий конфига, работает отлично. резает 2000 спам в час. =)
trusted_networks 192.168/24 11.22.33.44/24
rewrite_header Subject ****SPAM(_SCORE_)****
report_safe 0
required_score 7.0
use_dcc 0
use_bayes 1
bayes_auto_learn 1
bayes_ignore_header X-Bogosity
bayes_ignore_header X-Spam-Flag
bayes_ignore_header X-Spam-Status
ok_locales ru en az ch
report_charset windows-1251
#score NAME_OF_TEST 1.0
#score HTML_FONTCOLOR_RED 1.5
#score SUBJ_FULL_OF_8BITS 0
#score HABEAS_SWE 0
#bayes_auto_learn_spam 9.0
#bayes_auto_learn_nonspam 0.1
#auto_learn 1
score PORN_URL_SEX 4
#score MIME_HTML_ONLY 1.0
score HTML_MESSAGE 1.0
score FROM_ILLEGAL_CHARS 0
score SUBJ_ILLEGAL_CHARS 0
score HEAD_ILLEGAL_CHARS 0
score FORGED_IMS_TAGS 1
score BAYES_00 0.0001 0.0001 -2.312 -2.599
score BAYES_05 0.0001 0.0001 -1.110 -1.110
score BAYES_20 0.0001 0.0001 -0.740 -0.740
score BAYES_40 0.0001 0.0001 -0.185 -0.185
score BAYES_50 0.0001 0.0001 0.001 0.001
score BAYES_60 0.0001 0.0001 2.0 2.0
score BAYES_80 0.0001 0.0001 3.0 3.0
score BAYES_95 0.0001 0.0001 3.5 3.5
score BAYES_99 0.0001 0.0001 5.0 5.0
score ALL_TRUSTED -3.360 -3.440 -3.665 -3.800auto_whitelist_path /usr/local/etc/mail/spamassassin/auto_whitelist
whitelist_from localhost
А для обучении спамассасина:
sa-learn --spam --dir папка_со_спамомЯ кормил спамасасин где-то 1000 спамом.
>[оверквотинг удален]
>
>whitelist_from *@yandex.ru
>whitelist_from *@rambler.ru
>whitelist_from *@mail.ru
>
>В конфиге экзима пока снял блокировку по рейтингу спама. Просматривая тело письма
>я вижу, что в одинаковых письмах этот рейтинг практически не меняется.
>
>
>Буду благодарен всем советам...Установите для начала sa-exim - значительно расширяет возможности спамассасина.
Второе - покажите все заголовки пришедшего спамового письма.
>Установите для начала sa-exim - значительно расширяет возможности спамассасина.
>Второе - покажите все заголовки пришедшего спамового письма.sa-exim вроде установлен. В папке /etc/exim/ есть файлы sa-exim.conf и sa-exim_short.conf
тело пришедшего спама
Return-path: <shinobu98shigeo@deleteddomains.com>
Envelope-to: ........
Delivery-date: Mon, 29 Jun 2009 10:07:21 +0400
Received: from [117.200.165.186] (helo=localhost)
by gupti.ru with esmtp (Exim 4.62)
(envelope-from <shinobu98shigeo@deleteddomains.com>)
id 1MLA1G-00079n-75
for .........; Mon, 29 Jun 2009 10:07:21 +0400
Message-ID: <d07701c9f87e$cab95997$ce458ec7@deleteddomains.com>
From: =?windows-1251?B?1ODk5eXi?= <shinobu98shigeo@deleteddomains.com>
To: .........
Subject: =?windows-1251?B?zejn6ujlIPHy4OLq6CDv7iDg8OXt5OU=?=
Date: Mon, 29 Jun 2009 11:35:35 +0530
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0023_11_01C9F88E.30F350EB"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3350
X-Spam-Score: 49 (++++)
X-Spam-Scanned: Yes
X-Spam-Scanner: SpamAssassin running on mx.........ru
X-IMAPbase: 1231936708 1087
Status: O
X-UID: 1087
Content-Length: 11017
X-Keywords:------=_NextPart_000_0023_11_01C9F88E.30F350EB
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0024_11_01C9F88E.30F350EB"
>[оверквотинг удален]
>X-Spam-Scanner: SpamAssassin running on mx.........ru
>X-IMAPbase: 1231936708 1087
>Status: O
>X-UID: 1087
>Content-Length: 11017
>X-Keywords:
>
>------=_NextPart_000_0023_11_01C9F88E.30F350EB
>Content-Type: multipart/alternative;
> boundary="----=_NextPart_001_0024_11_01C9F88E.30F350EB"как видимо у тебя там рейтинг: X-Spam-Score: 49 (++++)
добавь эту строку в local.cf
...
required_score 7.0
...и не добавь свои домены в whitelist =)
у меня параметр required_score и был установлен в значение 7.0
>у меня параметр required_score и был установлен в значение 7.0и это не помогает вам?
>>у меня параметр required_score и был установлен в значение 7.0
>
>и это не помогает вам?В конфиге экзима пока снял блокировку по рейтингу спама. Просматривая тело письма я вижу, что в одинаковых письмах этот рейтинг практически не меняется. (писал в первом сообщении).
Если бы рейтинг спам-писем был бы, скажем выше 200 очков, то я бы его стал блокировать и все тут. Но сумма очков всегда разная на одинаковых письмах...
>>>у меня параметр required_score и был установлен в значение 7.0
>>
>>и это не помогает вам?
>
>В конфиге экзима пока снял блокировку по рейтингу спама. Просматривая тело письма
>я вижу, что в одинаковых письмах этот рейтинг практически не меняется.
>(писал в первом сообщении).
>Если бы рейтинг спам-писем был бы, скажем выше 200 очков, то я
>бы его стал блокировать и все тут. Но сумма очков всегда
>разная на одинаковых письмах...хм...
сделайте sa-learn -D --sync >> log и смотрите у вас там все модулы работает ли нормално.
Посмотрел /var/log/maillog и увидел следующееJul 7 11:29:32 gupti spamd[6150]: connection from localhost.localdomain [127.0.0.1] at port 60192
Jul 7 11:29:32 gupti spamd[6150]: info: setuid to nobody succeeded
Jul 7 11:29:32 gupti spamd[6150]: Cannot open bayes databases /etc/mail/spamassassin/bayes_* R/O: tie failed: Отказано в доступе
Jul 7 11:29:32 gupti spamd[6150]: checking message (unknown) for nobody:99.
Jul 7 11:29:32 gupti spamd[6150]: Cannot open bayes databases /etc/mail/spamassassin/bayes_* R/O: tie failed: Отказано в доступе
Jul 7 11:29:32 gupti spamd[6150]: Cannot open bayes databases /etc/mail/spamassassin/bayes_* R/O: tie failed: Отказано в доступе
Jul 7 11:29:35 gupti spamd[6150]: identified spam (1.1/1.0) for nobody:99 in 3.5 seconds, 977 bytes.
Jul 7 11:29:35 gupti spamd[6150]: result: Y 1 - NO_DNS_FOR_FROM scantime=3.5,size=977,mid=(unknown),autolearn=noЯ когда обучал спамассассин, то входил под ROOT, соответственно у меня права доступа на эти файлы (bayes) были только для него, но я установил права - чтение для всех. Это я делал еще неделю назад, в логах вроде подобных сообщений не было больше, но сегодня посмотрел, а там тоже самое. Я так понимаю, что собранная мной база не используется. Так? Как заставить его работать? :(
>[оверквотинг удален]
>3.5 seconds, 977 bytes.
>Jul 7 11:29:35 gupti spamd[6150]: result: Y 1 - NO_DNS_FOR_FROM
>scantime=3.5,size=977,mid=(unknown),autolearn=no
>
>Я когда обучал спамассассин, то входил под ROOT, соответственно у меня права
>доступа на эти файлы (bayes) были только для него, но я
>установил права - чтение для всех. Это я делал еще неделю
>назад, в логах вроде подобных сообщений не было больше, но сегодня
>посмотрел, а там тоже самое. Я так понимаю, что собранная мной
>база не используется. Так? Как заставить его работать? :(удали все bayes файлы из директории /etc/mail/spamassassin/ потом сделай рестарт.
>удали все bayes файлы из директории /etc/mail/spamassassin/ потом сделай рестарт.Удалил. Но как мне тогда подсунуть ему 2000 писем для обучения? У меня в /var/spool/cron/root есть расписание на обучение каждые 10 мин из такой-то папки. После запуска этого расписания у меня опять появились файлы bayes_* и опять с правами доступа для root.
>>удали все bayes файлы из директории /etc/mail/spamassassin/ потом сделай рестарт.
>
>Удалил. Но как мне тогда подсунуть ему 2000 писем для обучения? У
>меня в /var/spool/cron/root есть расписание на обучение каждые 10 мин из
>такой-то папки. После запуска этого расписания у меня опять появились файлы
>bayes_* и опять с правами доступа для root.да базы автоматически создаются при отсуствии.
интересно, все таки файлы bayes должни работат правами доступа для root (0600)эсли хочеш попробуй установить заново спамассасина.
:( ничего не помогает.
в логах больше нет подобных ошибок. Я перенес базы в другое место...
В теле письма вижу следующие сообщения типа:
0.5 FROM_ENDS_IN_NUMS From: ends in numbers
1.1 SUBJ_HAS_UNIQ_ID Subject contains a unique ID
0.4 DNS_FROM_RFC_ABUSE RBL: Envelope sender in abuse.rfc-ignorant.orgСлева присвоеные очки письму, но эти очки прописаны у меня в /ect/mail/spamassassin/local.cf, т.е. сколько я там скажу - столько у меня у получится. А как же тогда собранная бд спама, она вообще не используется что ли? Если я из local.cf убираю эти строки (н.п. score FROM_ENDS_IN_NUMS 0.5), то тогда в теле письма я наблюдаю следующее:
...
0.0 FROM_ENDS_IN_NUMS From: ends in numbers
...Что я не так делаю?
>[оверквотинг удален]
>Слева присвоеные очки письму, но эти очки прописаны у меня в /ect/mail/spamassassin/local.cf,
>т.е. сколько я там скажу - столько у меня у получится.
>А как же тогда собранная бд спама, она вообще не используется
>что ли? Если я из local.cf убираю эти строки (н.п. score
>FROM_ENDS_IN_NUMS 0.5), то тогда в теле письма я наблюдаю следующее:
>...
>0.0 FROM_ENDS_IN_NUMS From: ends in numbers
>...
>
>Что я не так делаю?покажи нам полный аутпут: sa-learn -D --sync >> log