Доступен релиз платформы для фильтрации спама - SpamAssassin 3.4.5. В SpamAssassin реализован комплексный подход в принятии решения о блокировании: сообщение подвергается ряду проверок (контекстный анализ, чёрные и белые списки DNSBL, обучаемые байесовские классификаторы, проверка по сигнатурам, аутентификация отправителя по SPF и DKIM и т.п.). После оценки сообщения разными методами, накапливается определенный весовой коэффициент. Если вычисленный коэффициент превышает определенный порог - сообщение блокируется или помечается как спам. Поддерживаются средства автоматического обновления правил фильтрации. Пакет может использоваться как на клиентских, так и на серверных системах. Код SpamAssassin написан на языке Perl и распространяется под лицензией Apache...Подробнее: https://www.opennet.me/opennews/art.shtml?num=54826
защити меня от спама, Альтаир! xD
Гулг уничтожил почту заказными спамами
> на сервере при установке непроверенных правил блокировки, полученных из сторонних источников.Это что теперь, нельзя свои правила добавлять пока их не одобрит добрый дядя?
Сколько стоит?
Можно.
Я, наверное, отстал от жизни, ибо не очень понимаю, что значит "правила блокировки, полученные из сторонних источников" - SA научили на ходу при каких-то условиях подгружать правила из сторонних источников или речь идёт о том, что нерадивый админ взял невесть откуда правила и добавил в конфиг?
> Можно.
> Я, наверное, отстал от жизни, ибо не очень понимаю, что значит "правила
> блокировки, полученные из сторонних источников"вооот!
> Поддерживаются средства автоматического обновления правил фильтрации.Список откуда можно загружать правила можно дополнять и другими источниками в том чисте и "непроверенные". (да и в общем никто не застрахован что самый нараспроверенный источник в один непрекрасный момент поломают и подложат бяку).. и тогда эта бяка сможет выполнить чтото на вашей машине изх под юзера, от которого работает спамассассин..
Ааа, я, кажется, понял - в конфиге можно указать URL, и SA при старте, или если стукнуть SIGHUP'ом, вытянет оттуда (предположительно) свежую версию неких правил, причём для таких правил есть какие-то ограничения, и уязвимость, о которой идёт речь, состоит в том, что эти ограничения можно обойти.
> нерадивый админ взял невесть откуда правила и добавил в конфиг?это
Есть ещё админы, которым патч Бармина не прилетал...
Зачем он нужен, если существует Rspamd?
Всеволод, перелогиньтесь)
> Зачем он нужен, если существует Rspamd?Оба убогие. Юзал последние лет пять Rspamd на паре серверов, в конце концов выкинул к чертям и написал себе на питоне под свои нужды. Последней каплей стало то что после какого-то обновления стал помечать как спам локальные уведомления из крона. И на это ему надо 150МБ памяти в простое и "lightweight" режиме.
> Последней каплей стало то что после какого-то обновления стал помечать как спам локальные уведомления из крона.Ты так говоришь, будто это что-то плохое
Конечно плохо, можно случайно важные сообщения от системы пропустить. А в друг у тебя там обновление сертификатов отвалилось, например?
Вообще-то большая часть уведомлений от крона именно спамом и является. А важные сообщения, очевидно, не должны отсылаться как спам-мессаги, с периодическим гадежом в ящик бесполезным мусором. Как раз этот спам через неделю все уже и перестают читать. Сдалось тратить время на чтение спама за роботом...
> большая часть уведомлений от крона именно спамом и являетсяЭэээ... а настроить, чтобы крон не слал уведомления, если они не нужны?
>> большая часть уведомлений от крона именно спамом и является
> Ээээ... а настроить, чтобы крон не слал уведомления, если они не нужны?У торчка лапки.
> Вообще-то большая часть уведомлений от крона именно спамом и является.Схрена ли это? Все сообщения, отправленные сендмейлом пользователям этого же хоста не являются спамом в принципе. Тем более письма имеют валидный DKIM.
Зачем же вы пять лет-то так мучались?
Насчет памяти - статическое потребление Rspamd памяти зависит в основном от таких вещей как Hyperscan (быстрые регулярки), public suffix от mozilla (чтобы отличить org.ru от какого-нибудь новомодного "крым.руc" - реальный esld), статических данных language detector и таблицы перекодировки и всяких там emoji от libicu. Ну и вообще, email - это трудно, потому что там груз legacy на много десятилетий.
Я писал Rspamd для решения задач фильтрации спама в больших системах, которым SA просто мешал развиваться своей, гм, скоростью. На мелкие системы я никогда особо не ориентировался по ряду причин. Наверняка и проблемы с вашим кроном решались довольно легко, но раз вы все выкинули к чертям, то легче и вам, и мне - думаю так.
> Наверняка и проблемы с вашим кроном решались довольно легкоНе факт. Я даже как-то создавал тикет на Гитхабе с проблемой что не получается заставить игнорировать локальную почту, но вы закрыли ишую мол тут не сапорт ))
Ну, тут я признаю за собой проблему, что мои манеры общения с community далеки от совершенства. тут, как говорится, "мы работаем над этим".Бывает, что чисто эмоционально закрываешь тикеты с похожими проблемами. Например, в случае крона это проблема того, что письмо, сгенерированное кроном, очень часто похоже на автоматически созданное письмо ботом: не хватает Content-Type, Content-Transfer-Encoding и так далее. Понятно, что по rfc это все необязательно, но так обычно делает очередной x-php-originating-script, поэтому на этот счет делаются правила, возможно, неправильные в некоторых случаях. Сейчас в гитхабе есть discussions, куда я обычно перевожу подобные баг репорты. В таком случае можно собрать мнение других пользователей Rspamd и сделать правильные изменения, а не закрывать тикеты без вменяемого ответа. В SA работа с правилами делается гораздо более серьезная, но SA вырос, по сути, из набора правил на перле, которые написал администратор почты. Я бы очень хотел, чтобы подход к правилам в Rspamd был бы лучше, чем, как минимум, есть сейчас, и у меня есть определенные мысли, как это в итоге сделать.
Но вот текущая проблема с обновлением правил в SA подтвердила мое убеждение, что правила надо распространять очень аккуратно, чтобы не допустить явных RCE через каналы обновления - поэтому я несколько лет назад полностью отключил динамические обновления правил.
Уязвимость: пропускает спам?
Пропускает системные команды если их в спамфильтр впихали, лол.
> позволяющая атакующему выполнить системные команды на сервере
> при установке непроверенных правил блокировкиKiller feature!
А postscreen нативный в Postfix-е уже не подходит?