Spamassassin (Пропускает однотипный спам)

[stlord]

Добрый день.
Имеется связка sendmail+mimedefang+spamassassin 3.2.3.
К spamassassin подключен bayes и razor2.
Порог отсечения спама установлен на 5 баллов.
Спам достаточно хорошо фильтруется, но почему-то пропускается однотипный вида "немного текста + ссылка", заголовки писем - бессистемный набор букв.

Что можно сделать с этим?

[VPF]

Добрый день.
Имеется связка sendmail+mimedefang+spamassassin 3.2.3.
К spamassassin подключен bayes и razor2.
Порог отсечения спама установлен на 5 баллов.
Спам достаточно хорошо фильтруется, но почему-то пропускается однотипный вида "немного текста + ссылка", заголовки писем - бессистемный набор букв.

Что можно сделать с этим?

Потому что спамеры активно изучают все технологии фильтрации и учитывают это в своих технологиях.

Если в письме немного текста + ссылка, то его трудно идентифицировать как спам и, соответственно, необходимо применять другие технологии борьбы, такие как списки RBL и свои списки в таблице access, а также использовать greylist

[stlord]

Потому что спамеры активно изучают все технологии фильтрации и учитывают это в своих технологиях.

Если в письме немного текста + ссылка, то его трудно идентифицировать как спам и, соответственно, необходимо применять другие технологии борьбы, такие как списки RBL и свои списки в таблице access, а также использовать greylist

Ну принадлежность к RBL проверяет сам спамассасин (skip_rbl_check = 0), а вот про greylist - это интереснее.

[VPF]

Потому что спамеры активно изучают все технологии фильтрации и учитывают это в своих технологиях.

Если в письме немного текста + ссылка, то его трудно идентифицировать как спам и, соответственно, необходимо применять другие технологии борьбы, такие как списки RBL и свои списки в таблице access, а также использовать greylist

Ну принадлежность к RBL проверяет сам спамассасин (skip_rbl_check = 0), а вот про greylist - это интереснее.

Greylist имеет существенный недостаток. Если к вам обращаются новые клиенты (и вам они нужны), то большая вероятность, что клиента вы потеряете...

У меня проверка RBL осуществляется в Postfix, но если у вас настроен spamassassin, то необходимо проверить сам перечень RBL.
Львиная доля отвергнутого спама на моём сервере падает на
sbl-xbl.spamhaus.org

[allez]

Уважаемый stlord, вам также помогут man sa-learn и perldoc Mail::SpamAssassin::Conf, раздел "Whitelist and blacklist options". Spamassasin не относится к категории "установил и забыл", его время от времени необходимо обучать отлову пропускаемого спама и отучать от "убиения" нормальных писем.

[stlord]

Уважаемый stlord, вам также помогут man sa-learn и perldoc Mail::SpamAssassin::Conf, раздел "Whitelist and blacklist options". Spamassasin не относится к категории "установил и забыл", его время от времени необходимо обучать отлавливать пропускаемый спам и отучать "убивать" нормальные письма.

Bayes-фильтр обучается автоматически и работает отлично. Не помню, чтобы было убито хоть одно нормальное письмо. Проблема исключительно с указанным типом спама.

[allez]

В таком случае - один perldoc Mail::SpamAssassin::Conf, раздел "Whitelist and blacklist options". Обработайте пропускаемые письма командой spamc -R < <письмо> и посмотрите, какие тесты на них срабатывают. Возможно, придется пересмотреть "весовые категории" отдельных тестов. Что поделать, если автоматика не желает действовать, то приходится самому поработать головой и руками.

Не помню, чтобы было убито хоть одно нормальное письмо.

голосом хулигана из "Напарника" ("Операция "Ы" и другие приключения Шурика"):
Будут!

[stlord]

В таком случае - один perldoc Mail::SpamAssassin::Conf, раздел "Whitelist and blacklist options". Обработайте пропускаемые письма командой spamc -R < <письмо> и посмотрите, какие тесты на них срабатывают. Возможно, придется пересмотреть "весовые категории" отдельных тестов. Что поделать, если автоматика не желает действовать, то приходится самому поработать головой и руками.

Не помню, чтобы было убито хоть одно нормальное письмо.

голосом хулигана из "Напарника" ("Операция "Ы" и другие приключения Шурика"):
Будут!

Спасибо. Почитаем.

[Shi3A]

Spamassassin пропускает спам, непонятно как
У меня в логах экзима вот такие записи

Код: Выделить всё

2009-07-15 06:49:28 1MQuYi-0001wA-02 SA: Debug: SAEximRunCond expand returned: 'true'
2009-07-15 06:49:28 1MQuYi-0001wA-02 SA: Debug: check succeeded, running spamc
2009-07-15 06:49:29 1MQuYi-0001wA-02 SA: Action: flagged as Spam but accepted: score=6.6 required=4.2 (scanned in 1/1 secs | Message-Id: 000d01ca04f7_0ec97f40_6400a8c0@samoyedbrs61). From <samoyedbrs61@neainc.com> (host=190-173-3-47.speedy.com.ar [190.173.3.47]) for anna@домен.ru, director@домен.ru, fnv@домен.ru, gps@домен.ru, helen@домен.ru, info@домен.ru
2009-07-15 06:49:29 1MQuYi-0001wA-02 <= samoyedbrs61@neainc.com H=(190-173-3-47.speedy.com.ar) [190.173.3.47] I=[мойIP]:25 P=esmtp S=4346 id=000d01ca04f7$0ec97f40$6400a8c0@samoyedbrs61 from <samoyedbrs61@neainc.com> for anna@домен.ru director@домен.ru fnv@домен.ru gps@домен.ru helen@домен.ru info@домен.ru
2009-07-15 06:49:29 1MQuYi-0001wA-02 => support (support@домен.ru) <info@домен.ru> R=dovecot_user T=dovecot_delivery
2009-07-15 06:49:29 1MQuYi-0001wA-02 => anna <anna@домен.ru> R=dovecot_user T=dovecot_delivery
2009-07-15 06:49:29 1MQuYi-0001wA-02 => director <director@домен.ru> R=dovecot_user T=dovecot_delivery
2009-07-15 06:49:29 1MQuYi-0001wA-02 => fnv <fnv@домен.ru> R=dovecot_user T=dovecot_delivery
2009-07-15 06:49:29 1MQuYi-0001wA-02 => gps <gps@домен.ru> R=dovecot_user T=dovecot_delivery
2009-07-15 06:49:29 1MQuYi-0001wA-02 ** helen@домен.ru R=dovecot_user T=dovecot_delivery: Child process of dovecot_delivery transport returned 67 (could mean user nonexistent) from command: /usr/lib/dovecot/deliver
2009-07-15 06:49:29 1MQuYj-0001yS-9Z <= <> R=1MQuYi-0001wA-02 U=Debian-exim P=local S=5283 from <> for samoyedbrs61@neainc.com
2009-07-15 06:49:29 1MQuYi-0001wA-02 Completed

2009-07-15 06:54:32 1MQudY-00025l-Cu SA: Debug: SAEximRunCond expand returned: 'true'
2009-07-15 06:54:32 1MQudY-00025l-Cu SA: Debug: check succeeded, running spamc
2009-07-15 06:54:34 1MQudY-00025l-Cu SA: Action: flagged as Spam but accepted: score=6.0 required=4.2 (scanned in 2/2 secs | Message-Id: 01ca0532_956af980_c2f1117b@pelevn84). From <pelevn84@gmail.com> (host=NULL [123.17.241.194]) for info@домен.ru.ru
2009-07-15 06:54:34 1MQudY-00025l-Cu <= pelevn84@gmail.com H=([123.17.241.194]) [123.17.241.194] I=[мойIP]:25 P=esmtp S=1872 id=01ca0532$956af980$c2f1117b@pelevn84 from <pelevn84@gmail.com> for info@домен.ru.ru
2009-07-15 06:54:34 1MQudY-00025l-Cu => info <info@домен.ru.ru> R=dovecot_user T=dovecot_delivery
2009-07-15 06:54:34 1MQudY-00025l-Cu Completed

2009-07-15 06:59:49 1MQuid-0002DZ-VT SA: Debug: SAEximRunCond expand returned: 'true'
2009-07-15 06:59:49 1MQuid-0002DZ-VT SA: Debug: check succeeded, running spamc
2009-07-15 06:59:51 1MQuid-0002DZ-VT SA: Action: flagged as Spam but accepted: score=5.4 required=4.2 (scanned in 2/2 secs | Message-Id: 06743626.20090715110209@bb.kz). From <usurping75@bk.ru> (host=NULL [220.169.58.98]) for postmaster@домен.ru.ru
2009-07-15 06:59:51 1MQuid-0002DZ-VT <= usurping75@bk.ru H=([220.169.58.98]) [220.169.58.98] I=[мойIP]:25 P=esmtp S=171593 id=06743626.20090715110209@bb.kz from <usurping75@bk.ru> for postmaster@домен.ru.ru
2009-07-15 06:59:51 1MQuid-0002DZ-VT ** postmaster@домен.ru.ru: Unrouteable address
2009-07-15 06:59:51 1MQuil-0002Ds-Ni <= <> R=1MQuid-0002DZ-VT U=Debian-exim P=local S=76312 from <> for usurping75@bk.ru
2009-07-15 06:59:51 1MQuid-0002DZ-VT Completed

Хотя ничего такого естественно в белых листах спамассассина нет, да и в конфиге экзима такие хосты тоже не прописаны. Почему он говорит что он их пропустит? Как это побороть?