作者 主題: SpamAssassin 最近的使用心得  (閱讀 7391 次)

0 會員 與 1 訪客 正在閱讀本文。

juarewei

  • 懷疑的國中生
  • **
  • 文章數: 36
    • 檢視個人資料
SpamAssassin 最近的使用心得
« 於: 2006-06-22 16:43 »
最近使用postfix+MailScanner+spamassassin
發現大部分的廣告信件,都可以很成功的過濾掉
但這幾天有發現到,例如:下面此類的英文垃圾信件
都無法過濾為垃圾信件,發廣告信件的ip一直在改變
就算小弟使用iptables檔ip還是沒用,不知道有沒有前輩有遇到此問題
或是有方法可以檔的掉,還請指導一下,感謝!!
From: "Rocky Fields" <tkneller@hopewell.com>
To: aa@abc.com.tw
Sent: Thu, 22 Jun 2006 01:19:05 +0300
Subject: Fwd:

ST0CK ALERT!
THURSDAY, JUNE 22ND, 2006
IFSA Strongman
Symbol: ISMN
Price: $0.45

SHOULD YOU BUY THIS STOCK?
READ ON, YOU ARE ABOUT TO BE INFORMED!!

RECENT NEWS HEADLINES:

1)IFSA Strongman Increases Broadcast Coverage and Absorbs a Competitive Strongman Federation in Single Landmark - IFSA's Programming to Reach 400 Million
Households Covering 90% of Global Market.

2)IFSA Strongman Launches Product Licensing Program - Enters Exclusive Licensing & Merchandising Agreement with XMC Sports & Entertainment.

3)Number of IFSA Strongman Registered Athletes Reaches Record High of 1,849 - Year-over-Year Increase of 58% Further Solidifies IFSA's Industry Leading
Position.

GO NOW AND READ ALL THE NEWS ON THIS STOCK!!

DO YOUR DUE DILIGENCE!! YOU BE THE JUDGE!
CHECK IT OUT TOMORROW MORNING!!
QG5

genio

  • 懷疑的國中生
  • **
  • 文章數: 64
    • 檢視個人資料
SpamAssassin 最近的使用心得
« 回覆 #1 於: 2006-06-22 22:30 »
設定mail內文關鍵字的score

在spam.assassin.prefs.conf 新增三行如下

body     ONLINE_ISMN            /ISMN/i
describe ONLINE_ISMN            Nasty spam stock
score    ONLINE_ISMN            100.0

重新啟動MailScanner,使設定生效

juarewei

  • 懷疑的國中生
  • **
  • 文章數: 36
    • 檢視個人資料
SpamAssassin 最近的使用心得
« 回覆 #2 於: 2006-06-23 02:08 »
引述: "genio"
設定mail內文關鍵字的score

在spam.assassin.prefs.conf 新增三行如下

body     ONLINE_ISMN            /ISMN/i
describe ONLINE_ISMN            Nasty spam stock
score    ONLINE_ISMN            100.0

重新啟動MailScanner,使設定生效

謝謝,可是這個方法小弟使用過
只有內文有ISMN才有用
那如果每天都到的信是類似,可是都不太一樣
那.....不就要每天設定,那這樣沒幾天spam.assassin.prefs.conf
不就一長串了 :cry:

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
SpamAssassin 最近的使用心得
« 回覆 #3 於: 2006-06-23 02:21 »
我覺得關鍵在:
STOCK ALERT!
Symbol
Price
NEWS
Global Market
等等.

看起來像是證券公司的廣告, 只有價位, 股票代號, 還有中間的漲幅等資料常變,
前面的 STOCK ALERT! , Symbol , Price 幾乎是不變的.
還有最後的"明天見分曉"等字也不會變.
冷笑話: 我的 IP 是 127.0.0.1

juarewei

  • 懷疑的國中生
  • **
  • 文章數: 36
    • 檢視個人資料
SpamAssassin 最近的使用心得
« 回覆 #4 於: 2006-06-23 03:03 »
剛剛發現如果在openwebmail裡面的設定
將下列的幾行勾起來,每封都會自動被抓到垃圾桶
可以說非常準確,但是只能用openwebmail登入才有效
一般公司的同事都是使用outlook收信,那這樣就不知道
要加入什麼規則到spam.assassin.prefs.conf裡面,才可以像
openwebmail判斷的這麼準確
過濾地址格式不正確的信件:    
過濾偽造來源端的信件:   (過濾: 2)  
過濾偽造寄件人地址的信件:   (過濾: 7)  
過濾偽造 EXE 附件型態的信件:  

juarewei

  • 懷疑的國中生
  • **
  • 文章數: 36
    • 檢視個人資料
SpamAssassin 最近的使用心得
« 回覆 #5 於: 2006-06-24 13:33 »
引述: "genio"
設定mail內文關鍵字的score

在spam.assassin.prefs.conf 新增三行如下

body     ONLINE_ISMN            /ISMN/i
describe ONLINE_ISMN            Nasty spam stock
score    ONLINE_ISMN            100.0

重新啟動MailScanner,使設定生效

不好意思,再請教一下
小弟照上面這樣設定好後
隔天發現一樣的信件,還是寄進來了
這樣是不是代表沒檔到呢?
小弟也有service MailScanner restart了

genio

  • 懷疑的國中生
  • **
  • 文章數: 64
    • 檢視個人資料
SpamAssassin 最近的使用心得
« 回覆 #6 於: 2006-06-24 22:01 »
自定規則是否生效, 可以由mail header看出, 範例如下, ONLINE_FCYI, THE_BAT都是我的自定規則,

X-yoursite-MailScanner-SpamCheck: spam,
   SpamAssassin (score=29.178, required 5, autolearn=spam,
   BAYES_99 6.89, ONLINE_FCYI 10.00, RCVD_IN_BL_SPAMCOP_NET 1.22,
   RCVD_IN_XBL 3.08, THE_BAT 8.00)

請參考如何自定spamassassin規則的網頁

http://www.intuitive.com/spam-assassin-rule-help.html

juarewei

  • 懷疑的國中生
  • **
  • 文章數: 36
    • 檢視個人資料
SpamAssassin 最近的使用心得
« 回覆 #7 於: 2006-06-25 01:15 »
奇怪了,小弟明明在spam.assassin.prefs.conf裡面設定這樣
body ONLINE_Replicated /Replicated/i
describe ONLINE_Replicated Nasty spam stock
score ONLINE_Replicated 100.0

#less /var/spool/mail/aa
則看到這樣:
不是應該要加上100分的?怎麼卻變成-1.44,實在是讓小弟無法理解

X-abc-MailScanner-SpamCheck: not spam, SpamAssassin (not cached, score=-1.44,required 4, ALL_TRUSTED -1.44)
X-abc-MailScanner-From: tkowalczyk@precisiondesign.com
X-Spam-Status: No
Status: R

Get the Finest Watch Replicas!

We only sell premium watches. There's no battery in these replicas just like the
 real ones since they charge themselves as you move. The second hand moves JUST
like the real ones, too. These original watches sell in stores for thousands of
dollars. We sell them for much less.

- Replicated to the Smallest Detail
- 98% Perfectly Accurate Markings
- Signature Green Sticker w/ Serial Number on Watch Back
- Magnified Quickset Date
- Includes all Proper Markings

Visit us: www.vasteminute.com

juarewei

  • 懷疑的國中生
  • **
  • 文章數: 36
    • 檢視個人資料
SpamAssassin 最近的使用心得
« 回覆 #8 於: 2006-06-26 17:06 »
今天執行了 spamassassin --lint
發現其中有一段是寫這樣
不知道有沒有前輩,知道是代表什麼意思?
 Bareword found where operator expected at /etc/mail/spamassassin/local.cf, rule ONLINE_casino, line 17, near "20_drugs"
[17653] warn:  (Missing operator before drugs?)
[17653] warn: Bareword found where operator expected at /etc/mail/spamassassin/local.cf, rule ONLINE_casino, line 19, near ""
[17653] warn:  if (/\bCialis\b/i) {
[17653] warn:  $self->got_pattern_hit(q{__DRUGS_ERECTILE_C}, "BODY"
[17653] warn:  (Might be a runaway multi-line "" string starting on line 17)
[17653] warn:  (Missing operator before BODY?)
[17653] warn: Bareword found where operator expected at /etc/mail/spamassassin/local.cf, rule ONLINE_casino, line 21, near "");
[17653] warn:
[17653] warn:  dbg("rules"
[17653] warn:  (Might be a runaway multi-line "" string starting on line 19)
[17653] warn:  (Missing operator before rules?)
[17653] warn: rules: failed to compile body tests, skipping:
[17653] warn:  (syntax error at /etc/mail/spamassassin/local.cf, rule ONLINE_casino, line 17, near "usr"
[17653] warn: Unmatched right curly bracket at /usr/share/spamassassin/20_phrases.cf, rule GUARANTEED_100_PERCENT, line 1605, at end of line
[17653] warn: syntax error at /usr/share/spamassassin/20_phrases.cf, rule GUARANTEED_100_PERCENT, line 1605, near ";
[17653] warn: }"

genio

  • 懷疑的國中生
  • **
  • 文章數: 64
    • 檢視個人資料
SpamAssassin 最近的使用心得
« 回覆 #9 於: 2006-06-28 00:32 »
引述: "juarewei"
今天執行了 spamassassin --lint

[17653] warn:  (syntax error at /etc/mail/spamassassin/local.cf, rule ONLINE_casino, line 17, near "usr"

[17653] warn: syntax error at /usr/share/spamassassin/20_phrases.cf, rule GUARANTEED_100_PERCENT, line 1605, near ";
[17653] warn: }"


/etc/mail/spamassassin/local.cf, rule ONLINE_casino 有語法錯誤

/usr/share/spamassassin/20_phrases.cf, rule GUARANTEED_100_PERCENT
有語法錯誤

你在修改的時候, 可能不小心動到了什麼?

juarewei

  • 懷疑的國中生
  • **
  • 文章數: 36
    • 檢視個人資料
SpamAssassin 最近的使用心得
« 回覆 #10 於: 2006-06-29 16:22 »
引述: "genio"
引述: "juarewei"
今天執行了 spamassassin --lint

[17653] warn:  (syntax error at /etc/mail/spamassassin/local.cf, rule ONLINE_casino, line 17, near "usr"

[17653] warn: syntax error at /usr/share/spamassassin/20_phrases.cf, rule GUARANTEED_100_PERCENT, line 1605, near ";
[17653] warn: }"


/etc/mail/spamassassin/local.cf, rule ONLINE_casino 有語法錯誤

/usr/share/spamassassin/20_phrases.cf, rule GUARANTEED_100_PERCENT
有語法錯誤

你在修改的時候, 可能不小心動到了什麼?

謝謝,已經可以了
好像是不可以用複製的,改成每個字都用手打
就OK了 :lol: