酷!學園

技術討論區 => 系統安全討論版 => 主題作者是: twu2 於 2003-05-27 10:48

主題: postfix, spamassassin 廣告信心得
作者: twu22003-05-27 10:48
不知道是不是應該放這區 ... 不過其他區看起來又不太適合.

用  postfix, amavisd-new, spamassassin 快一個月了, 的確擋了不少的廣告信.
有用這些東西的人進來討論一下使用的心得吧. :-)
主題: postfix, spamassassin 廣告信心得
作者: twu22003-05-27 10:52
有些廣告信的發信軟體, 會在 smtp 的 helo/ehlo 使用你本身的 domain name. 這個在 spamassassin 中可以使用類似下面的設定:

# local domain from but ip not match
header __FROM_TEATIME Received =~ /from teatime.com.tw/i
header __FROM_TEATIME_IP Received =~ /\[211\.23\.144\.122\]/
meta FROM_TEATIME_BUT_IP_ERROR (__FROM_TEATIME && !__FROM_TEATIME_IP)
describe FROM_TEATIME_BUT_IP_ERROR From teatime.com.tw but ip not match
score FROM_TEATIME_BUT_IP_ERROR 8

如上面的設定, 如果有收到 from teatime.com.tw 的信件, 但是 ip 又沒有出現 teatime.com.tw 正確的 ip, 就認為是廣告信, 給它一個高分.
主題: postfix, spamassassin 廣告信心得
作者: twu22003-05-27 10:55
另外像是 HINET 的 ip 如果沒有設定 reverse DNS, 通常會有 x-x-x-x.HINET-IP.hinet.net 的格式.
原本是想在 postfix 就擋住, 但是又怕範圍太大, 有些公司如果沒有設定這個, 也會被擋住了, 所以決定留在 spamassassin 中處理, 至少會看到記錄, 也會留下信件的備份.

# HINET-IP.hinet.net
header HINET_RCVD Received =~ /\([0-9\-]*\.HINET-IP\.hinet\.net \[/i
describe HINET_RCVD Received from HINET-IP.hinet.net
score HINET_RCVD 4.0
主題: postfix, spamassassin 廣告信心得
作者: netman2003-05-27 16:16
上面那些 sw 我都沒用過...  ^_^
不過,我之前的老闆在 ttn 中曾花過不少功夫作這方面的處理,
但最近談起,他說已沒去維護了,因為大家都已"麻木"了...

我之前也整天跟 spammer 鬥法,
現在...
多按幾下 del 鍵也就算了...
主題: postfix, spamassassin 廣告信心得
作者: twu22003-05-27 18:25
因為不擋的話, 每天的信幾乎都是廣告信...

用 spamassassin 有個好處是, 除了上述的設定可以自已加之外, 還可以設定兩個信箱, 如 spam, notspam, 只要收到是 spam 沒擋到, 就往 spam 轉送, 如果收到的信被誤認為 spam, 就轉送給 notspam. (當然如果設定為 spam 就不送的話, 就不會有 notspam 這個問題)

系統可以自已由這兩個信箱的內容, 學習新的規則出來.
主題: postfix, spamassassin 廣告信心得
作者: twu22003-05-28 09:56
還有一些發信的軟體會在 From, To, Cc 等欄位, 使用 XXXX@mydomain 之類的 email, XXXX 是一些中文字...

所以我們可以利用下面的方法檢查:

# From addr like <some chinese>@mydomain
header __FROM_8BIT_LOCAL From:addr =~ /[a-zA-Z0-9_-]*[\x80xff][a-zA-Z0-9_-]*\@teatime\.com\.tw/i
header __TO_8BIT_LOCAL To:addr =~ /[a-zA-Z0-9_-]*[\x80-\xff][a-zA-Z0-9_-]*\@teatime\.com\.tw/i
header __CC_8BIT_LOCAL Cc:addr =~ /[a-zA-Z0-9_-]*[\x80-\xff][a-zA-Z0-9_-]*\@teatime\.com\.tw/i
meta LOCAL_8BIT_USER (__FROM_8BIT_LOCAL || __TO_8BIT_LOCAL || __CC_8BIT_LOCAL)
describe LOCAL_8BIT_USER From or To a chinese@mydomain
score LOCAL_8BIT_USER 8.0
主題: postfix, spamassassin 廣告信心得
作者: damon2003-05-28 10:21
新版的mozilla mail我現在用起來好像可以自動判斷一些spam,有些中文主題的spam也能自動攔截到,雖然還是有欄不到的,可是可以自己指定某封信為spam,好像下次就可以自動學習?

這類的問題是道高一尺魔高一丈,警察跟小偷,永遠不可能完全解決的,只能盡量
主題: postfix, spamassassin 廣告信心得
作者: Kevin2003-05-28 23:23
二個禮拜前, 我也是參考twu2 大大的文章, 將這些東西裝起來,
因為SPAM   太嚴重了. 且很多都是帶附件的(exe, com ,pif...), 什麼地方過來的都有, 不祗台灣.
不只塞爆使用者信箱, 連帶頻寬也吃滿了.

但我將這些東西裝起之後, 程式會誤判, 有些信出不去, 或進不來,
或管理維護上, 不知從何下手,
因此, 還是把它停了. 純用 Postfix main.cf 所提供的機制來擋,如
access , header_check.....  等等.

效果還可以, 只是需當User 有收到新的SPAM 時, 我再手動加入.
雖然比較需多費心, 但至少維護上, 比較能掌握.

當然如能了解如何維護 SPAMAssassin , 當然更好.
主題: postfix, spamassassin 廣告信心得
作者: chco2003-06-03 15:34
還可以使用如下的方法連結阻檔廣告信的網址有效的阻檔廣告信
smtpd_client_restrictions =
  permit_mynetworks
  reject_rbl_client relays.ordb.org
  reject_rbl_client sbl.spamhaus.org
  reject_rbl_client proxies.relays.monkeys.com
  reject_rbl_client opm.blitzed.org
 :D
主題: postfix, spamassassin 廣告信心得
作者: KevinLing2003-06-09 00:37
請問一下 twu2 兄上述軟件是架在那個平台上? linux? freebsd?
這台 mail server 是只做 mail filtering? 還是真的就是公司的 email server.
主題: postfix, spamassassin 廣告信心得
作者: twu22003-06-09 09:54
我裝在 linux 上. (debian, redhat 都有裝過)
網路上可以找到比較詳細的說明是裝在 netbsd 上面的 (英文, 在學園找一下就有連結).

不過, 這東西多數是用 perl 寫的, 在unix-like 平台都一樣吧.

我裝的機器都是本身就是 email server.
主題: postfix, spamassassin 廣告信心得
作者: twu22003-08-18 22:52
引述: "twu2"
另外像是 HINET 的 ip 如果沒有設定 reverse DNS, 通常會有 x-x-x-x.HINET-IP.hinet.net 的格式.
原本是想在 postfix 就擋住, 但是又怕範圍太大, 有些公司如果沒有設定這個, 也會被擋住了, 所以決定留在 spamassassin 中處理, 至少會看到記錄, 也會留下信件的備份.

# HINET-IP.hinet.net
header HINET_RCVD Received =~ /\([0-9\-]*\.HINET-IP\.hinet\.net \[/i
describe HINET_RCVD Received from HINET-IP.hinet.net
score HINET_RCVD 4.0


補充一下, 我發現這樣子很容易擋到 hinet 的使用者.
後來有加上一些檢查, 忘了上來說明一下.

把經過 HINET-IP.hinet.net 的信件分數調高.
然後再檢查看看是否經由 hinet 的 smtp server, 如果經過, 就把分數往回調.
如此可以擋下由 hinet 的 ip 發出又不經過  hinet 的 smtp 轉送的廣告信.
也很少會擋到 hinet 的使用者.

至於由 hinet 的 ip 又經過 hinet smtp server 的廣告信, 可能就會進來了. (不多, 一星期可能不到一封)
如果收到, 就轉給 spam@ms1.hinet.net 給 hinet 的人處理吧.

# HINET-IP.hinet.net
header HINET_RCVD Received =~ /\([0-9\-]*\.HINET-IP\.hinet\.net \[/i
describe HINET_RCVD Received from HINET-IP.hinet.net
score HINET_RCVD 6.0

header __HINET_MS_RCVD Received =~ /\(msr[0-9]*\.hinet\.net \[168\.95/i
meta HINET_MS_RCVD (__HINET_MS_RCVD && HINET_RCVD)
describe HINET_MS_RCVD Recived from HINET-IP.hinet.net and msr.hinet.net
score HINET_MS_RCVD -5.0

header __HINET_MS2_RCVD Received =~ /\(vmserv[0-9]*\.hinet\.net \[/i
meta HINET_MS2_RCVD (__HINET_MS2_RCVD && HINET_RCVD)
describe HINET_MS2_RCVD Recived from HINET-IP.hinet.net and vmserv.hinet.net
score HINET_MS2_RCVD -5.0
主題: postfix, spamassassin 廣告信心得
作者: yousee2003-10-30 13:39
今天裝 spamassassin
參考各問先進的文章
幾個設定有問題
提出來大家討論

引述: "twu2"
有些廣告信的發信軟體, 會在 smtp 的 helo/ehlo 使用你本身的 domain name. 這個在 spamassassin 中可以使用類似下面的設定:

# local domain from but ip not match
header __FROM_TEATIME Received =~ /from teatime.com.tw/i
header __FROM_TEATIME_IP Received =~ /\[211\.23\.144\.122\]/
meta FROM_TEATIME_BUT_IP_ERROR (__FROM_TEATIME && !__FROM_TEATIME_IP)
describe FROM_TEATIME_BUT_IP_ERROR From teatime.com.tw but ip not match
score FROM_TEATIME_BUT_IP_ERROR 8

如上面的設定, 如果有收到 from teatime.com.tw 的信件, 但是 ip 又沒有出現 teatime.com.tw 正確的 ip, 就認為是廣告信, 給它一個高分.


其實不用判斷 IP
因為真的 從您 MAIL SERVER 發出的信
是不會有 "from teatime.com.tw " 的
所以只要如下就可以
代碼: [選擇]
# local domain from but ip not match
header __FROM_TEATIME Received =~ /from teatime.com.tw/i
meta FROM_TEATIME_BUT_IP_ERROR (__FROM_TEATIME)
describe FROM_TEATIME_BUT_IP_ERROR From teatime.com.tw but ip not match
score FROM_TEATIME_BUT_IP_ERROR 8

-------------

引述: "twu2"
還有一些發信的軟體會在 From, To, Cc 等欄位, 使用 XXXX@mydomain 之類的 email, XXXX 是一些中文字...

所以我們可以利用下面的方法檢查:

# From addr like <some chinese>@mydomain
header __FROM_8BIT_LOCAL From:addr =~ /[a-zA-Z0-9_-]*[\x80xff][a-zA-Z0-9_-]*\@teatime\.com\.tw/i
header __TO_8BIT_LOCAL To:addr =~ /[a-zA-Z0-9_-]*[\x80-\xff][a-zA-Z0-9_-]*\@teatime\.com\.tw/i
header __CC_8BIT_LOCAL Cc:addr =~ /[a-zA-Z0-9_-]*[\x80-\xff][a-zA-Z0-9_-]*\@teatime\.com\.tw/i
meta LOCAL_8BIT_USER (__FROM_8BIT_LOCAL || __TO_8BIT_LOCAL || __CC_8BIT_LOCAL)
describe LOCAL_8BIT_USER From or To a chinese@mydomain
score LOCAL_8BIT_USER 8.0


有些user 在收件者暱稱會用中文
所以此設定會誤判
建議不要使用
主題: postfix, spamassassin 廣告信心得
作者: twu22003-10-30 17:46
引述: "yousee"

引述: "twu2"
還有一些發信的軟體會在 From, To, Cc 等欄位, 使用 XXXX@mydomain 之類的 email, XXXX 是一些中文字...

所以我們可以利用下面的方法檢查:

# From addr like <some chinese>@mydomain
header __FROM_8BIT_LOCAL From:addr =~ /[a-zA-Z0-9_-]*[\x80xff][a-zA-Z0-9_-]*\@teatime\.com\.tw/i
header __TO_8BIT_LOCAL To:addr =~ /[a-zA-Z0-9_-]*[\x80-\xff][a-zA-Z0-9_-]*\@teatime\.com\.tw/i
header __CC_8BIT_LOCAL Cc:addr =~ /[a-zA-Z0-9_-]*[\x80-\xff][a-zA-Z0-9_-]*\@teatime\.com\.tw/i
meta LOCAL_8BIT_USER (__FROM_8BIT_LOCAL || __TO_8BIT_LOCAL || __CC_8BIT_LOCAL)
describe LOCAL_8BIT_USER From or To a chinese@mydomain
score LOCAL_8BIT_USER 8.0


有些user 在收件者暱稱會用中文
所以此設定會誤判
建議不要使用


這個 addr 檢查並不含名稱的部份, 並不會有你認為的問題.
主題: postfix, spamassassin 廣告信心得
作者: yousee2003-10-31 10:05
引述: "twu2"

這個 addr 檢查並不含名稱的部份, 並不會有你認為的問題.

但我使用後真的發生誤判啊!
主題: postfix, spamassassin 廣告信心得
作者: twu22003-10-31 12:40
引述: "yousee"
引述: "twu2"

這個 addr 檢查並不含名稱的部份, 並不會有你認為的問題.

但我使用後真的發生誤判啊!


你檢查 To: 還是 To:addr ?
我這兒沒碰過有人反應這個誤判的.
主題: postfix, spamassassin 廣告信心得
作者: yousee2003-10-31 13:01
直接copy
只改 \@teatime\.com\.tw 成為自己的domain
誤判的To: 是
"yousee憂鬱的高中生" <yousee@mydomain.com>
其中 "yousee憂鬱的高中生" 是中文, 沒有編成 7bit
主題: postfix, spamassassin 廣告信心得
作者: twu22003-11-03 11:37
引述: "yousee"
直接copy
只改 \@teatime\.com\.tw 成為自己的domain
誤判的To: 是
"yousee憂鬱的高中生" <yousee@mydomain.com>
其中 "yousee憂鬱的高中生" 是中文, 沒有編成 7bit


第一封信:
代碼: [選擇]
Return-Path: <xxx@xxx.com>
Delivered-To: spam-quarantine
X-Envelope-To: <xxx@teatime.com.tw>
X-Quarantine-id: <spam-2490a3d39b0004e4afeb517ef0ddbe2d-20031103-112005-22046-01>
Received: from localhost (unknown [202.164.174.43])
        by mail.teatime.com.tw (Postfix) with SMTP id D520B2E98E
        for <xxx@teatime.com.tw>; Mon,  3 Nov 2003 11:18:54 +0800 (CST)
Date: Mon, 03 Nov 2003 10:34:56 +0800
From: Tommy Wu <xxx@xxx.org.tw>
To: <憂
Subject: 測試
Reply-To: xxx@teatime.com.tw
Sender: xxx@teatime.com.tw
Message-Id: <20031103103420.013D.XXX@xxx.org.tw>
MIME-Version: 1.0
Content-Type: text/plain; charset="BIG5"
Content-Transfer-Encoding: 8bit
X-Mailer: Becky! ver. 2.07.02
X-Spam-Status: Yes, hits=9.5 tag1=-20.0 tag2=6.3 kill=6.3 tests=HEADER_8BITS,
 LOCAL_8BIT_USER, SUBJ_FULL_OF_8BITS
X-Spam-Level: **********

test 1


第一封信的 SA report:
代碼: [選擇]
Content preview:  test 1 [...]

Content analysis details:   (9.50 points, 5 required)
HEADER_8BITS       (0.5 points)  Headers include 3 consecutive 8-bit characters
SUBJ_FULL_OF_8BITS (1.0 points)  Subject is full of 8-bit characters
LOCAL_8BIT_USER    (8.0 points)  From or To a chinese@mydomain

------------------------- BEGIN HEADERS -----------------------------
Received: from localhost (unknown [202.164.174.43])
by mail.teatime.com.tw (Postfix) with SMTP id D520B2E98E
for <xxx@teatime.com.tw>; Mon,  3 Nov 2003 11:18:54 +0800 (CST)
Date: Mon, 03 Nov 2003 10:34:56 +0800
From: Tommy Wu <xxx@xxx.org.tw>
To: <憂
Subject: 測試
Reply-To: xxx@teatime.com.tw
Sender: xxx@teatime.com.tw
Message-Id: <20031103103420.013D.XXX@xxx.org.tw>
MIME-Version: 1.0
Content-Type: text/plain; charset="BIG5"
Content-Transfer-Encoding: 8bit
X-Mailer: Becky! ver. 2.07.02
-------------------------- END HEADERS ------------------------------


第二封信:
代碼: [選擇]
Return-Path: <xxx@xxx.com>
Delivered-To: xxx@teatime.com.tw
Received: from localhost (localhost [127.0.0.1])
by mail.teatime.com.tw (Postfix) with ESMTP id E0D178397A
for <xxx@teatime.com.tw>; Mon,  3 Nov 2003 10:53:59 +0800 (CST)
Received: from mail.teatime.com.tw ([127.0.0.1])
 by localhost (mail.teatime.com.tw [127.0.0.1]) (amavisd-new, port 10024)
 with ESMTP id 21201-05 for <tommy@teatime.com.tw>;
 Mon,  3 Nov 2003 10:53:57 +0800 (CST)
Received: from localhost (unknown [202.164.174.43])
by mail.teatime.com.tw (Postfix) with SMTP id A8FFB2E98E
for <xxx@teatime.com.tw>; Mon,  3 Nov 2003 10:53:11 +0800 (CST)
Date: Mon, 03 Nov 2003 10:34:56 +0800
From: Tommy Wu <xxx@xxx.org.tw>
To: "憂
Subject: 測試
Reply-To: xxx@teatime.com.tw
Sender: xxx@teatime.com.tw
Message-Id: <20031103103420.013D.XXX@xxx.org.tw>
MIME-Version: 1.0
Content-Type: text/plain; charset="BIG5"
Content-Transfer-Encoding: 8bit
X-Mailer: Becky! ver. 2.07.02
X-Virus-Scanned: by amavisd-new-20030314-p1 (Debian) at teatime.com.tw
X-Spam-Status: No, hits=5.5 tagged_above=-20.0 required=6.3 tests=AWL,
 HEADER_8BITS, SUBJ_FULL_OF_8BITS
X-Spam-Level: ******

test 2


第三封信:
代碼: [選擇]
Return-Path: <xxx@xxx.com>
Delivered-To: xxx@teatime.com.tw
Received: from localhost (localhost [127.0.0.1])
by mail.teatime.com.tw (Postfix) with ESMTP id 9B7CB2E98E
for <xxx@teatime.com.tw>; Mon,  3 Nov 2003 10:54:47 +0800 (CST)
Received: from mail.teatime.com.tw ([127.0.0.1])
 by localhost (mail.teatime.com.tw [127.0.0.1]) (amavisd-new, port 10024)
 with ESMTP id 21200-06 for <xxx@teatime.com.tw>;
 Mon,  3 Nov 2003 10:54:46 +0800 (CST)
Received: from localhost (unknown [202.164.174.43])
by mail.teatime.com.tw (Postfix) with SMTP id BB71F8397A
for <xxx@teatime.com.tw>; Mon,  3 Nov 2003 10:54:14 +0800 (CST)
Date: Mon, 03 Nov 2003 10:34:56 +0800
From: Tommy Wu <xxx@xxx.org.tw>
To: <xxx@teatime.com.tw>
Subject: 測試
Reply-To: xxx@teatime.com.tw
Sender: xxx@teatime.com.tw
Message-Id: <20031103103420.013D.XXX@xxx.org.tw>
MIME-Version: 1.0
Content-Type: text/plain; charset="BIG5"
Content-Transfer-Encoding: 8bit
X-Mailer: Becky! ver. 2.07.02
X-Virus-Scanned: by amavisd-new-20030314-p1 (Debian) at teatime.com.tw
X-Spam-Status: No, hits=3.5 tagged_above=-20.0 required=6.3 tests=AWL,
 HEADER_8BITS, SUBJ_FULL_OF_8BITS
X-Spam-Level: ****

test 3


第四封信:
代碼: [選擇]
Return-Path: <xxx@xxx.com>
Delivered-To: spam-quarantine
X-Envelope-To: <xxx@teatime.com.tw>
X-Quarantine-id: <spam-94424c5ce3f8c57a5b26d02f37dc06fc-20031103-112227-22047-02>
Received: from localhost (unknown [202.164.174.43])
        by mail.teatime.com.tw (Postfix) with SMTP id 298B82E98E
        for <xxx@teatime.com.tw>; Mon,  3 Nov 2003 11:22:02 +0800 (CST)
Date: Mon, 03 Nov 2003 10:34:56 +0800
From: Tommy Wu <xxx@tahsda.org.tw>
To: <xxx憂
Subject: 測試
Reply-To: xxx@teatime.com.tw
Sender: xxx@teatime.com.tw
Message-Id: <20031103103420.013D.XXX@xxx.org.tw>
MIME-Version: 1.0
Content-Type: text/plain; charset="BIG5"
Content-Transfer-Encoding: 8bit
X-Mailer: Becky! ver. 2.07.02
X-Spam-Status: Yes, hits=9.5 tag1=-20.0 tag2=6.3 kill=6.3 tests=HEADER_8BITS,
 LOCAL_8BIT_USER, SUBJ_FULL_OF_8BITS
X-Spam-Level: **********

test 4


第四封信的 SA Report:
代碼: [選擇]
Content preview:  test 4 [...]

Content analysis details:   (9.50 points, 5 required)
HEADER_8BITS       (0.5 points)  Headers include 3 consecutive 8-bit characters
SUBJ_FULL_OF_8BITS (1.0 points)  Subject is full of 8-bit characters
LOCAL_8BIT_USER    (8.0 points)  From or To a chinese@mydomain

------------------------- BEGIN HEADERS -----------------------------
Received: from localhost (unknown [202.164.174.43])
by mail.teatime.com.tw (Postfix) with SMTP id 298B82E98E
for <xxx@teatime.com.tw>; Mon,  3 Nov 2003 11:22:02 +0800 (CST)
Date: Mon, 03 Nov 2003 10:34:56 +0800
From: Tommy Wu <xxx@tahsda.org.tw>
To: <xxx憂
Subject: 測試
Reply-To: xxx@teatime.com.tw
Sender: xxx@teatime.com.tw
Message-Id: <20031103103420.013D.XXX@xxx.org.tw>
MIME-Version: 1.0
Content-Type: text/plain; charset="BIG5"
Content-Transfer-Encoding: 8bit
X-Mailer: Becky! ver. 2.07.02
-------------------------- END HEADERS ------------------------------


第五封信:
代碼: [選擇]
Return-Path: <xxx@xxx.com>
Delivered-To: xxx@teatime.com.tw
Received: from localhost (localhost [127.0.0.1])
by mail.teatime.com.tw (Postfix) with ESMTP id 2DE6183980
for <xxx@teatime.com.tw>; Mon,  3 Nov 2003 11:12:32 +0800 (CST)
Received: from mail.teatime.com.tw ([127.0.0.1])
 by localhost (mail.teatime.com.tw [127.0.0.1]) (amavisd-new, port 10024)
 with ESMTP id 21721-02 for <xxx@teatime.com.tw>;
 Mon,  3 Nov 2003 11:12:30 +0800 (CST)
Received: from localhost (unknown [202.164.174.43])
by mail.teatime.com.tw (Postfix) with SMTP id 2FEF18397C
for <xxx@teatime.com.tw>; Mon,  3 Nov 2003 11:11:35 +0800 (CST)
Date: Mon, 03 Nov 2003 10:34:56 +0800
From: Tommy Wu <xxx@xxx.org.tw>
To: "xxx憂
Subject: 測試
Reply-To: xxx@teatime.com.tw
Sender: xxx@teatime.com.tw
Message-Id: <20031103103420.013D.XXX@xxx.org.tw>
MIME-Version: 1.0
Content-Type: text/plain; charset="BIG5"
Content-Transfer-Encoding: 8bit
X-Mailer: Becky! ver. 2.07.02
X-Virus-Scanned: by amavisd-new-20030314-p1 (Debian) at teatime.com.tw
X-Spam-Status: No, hits=2.8 tagged_above=-20.0 required=6.3 tests=AWL,
 HEADER_8BITS, SUBJ_FULL_OF_8BITS
X-Spam-Level: ***

test 5


只有第一封信與第四封信有出現 LOCAL_8BIT_USER, 其他都沒有.
看起來並沒有你說的問題.
主題: postfix, spamassassin 廣告信心得
作者: twu22003-11-03 11:44
引述: "yousee"

其實不用判斷 IP
因為真的 從您 MAIL SERVER 發出的信
是不會有 "from teatime.com.tw " 的
所以只要如下就可以
代碼: [選擇]
# local domain from but ip not match
header __FROM_TEATIME Received =~ /from teatime.com.tw/i
meta FROM_TEATIME_BUT_IP_ERROR (__FROM_TEATIME)
describe FROM_TEATIME_BUT_IP_ERROR From teatime.com.tw but ip not match
score FROM_TEATIME_BUT_IP_ERROR 8



看需求吧.
我們自己有寫一些程式會寄信, 在 helo 時就是送自己的 domain name, 不管 ip 就會擋到這些...
主題: postfix, spamassassin 廣告信心得
作者: yousee2003-11-06 12:46
嗯!
看來真的看需要!
每家不同!
主題: postfix, spamassassin 廣告信心得
作者: yousee2003-11-06 14:51
代碼: [選擇]
# Work around procmail bug: any output on stderr will cause the "F" in "From"
# to be dropped.  This will re-add it.
:0
* ^^rom[ ]
{
  LOG="*** Dropped F off From_ header! Fixing up. "
 
  :0 fhw
  | sed -e '1s/^/F/'
}

ref http://spamassassin.org/dist/procmailrc.example
主題: postfix, spamassassin 廣告信心得
作者: dennis_lo2003-12-24 23:56
引述: "twu2"
另外像是 HINET 的 ip 如果沒有設定 reverse DNS, 通常會有 x-x-x-x.HINET-IP.hinet.net 的格式.
原本是想在 postfix 就擋住, 但是又怕範圍太大, 有些公司如果沒有設定這個, 也會被擋住了, 所以決定留在 spamassassin 中處理, 至少會看到記錄, 也會留下信件的備份.

# HINET-IP.hinet.net
header HINET_RCVD Received =~ /\([0-9\-]*\.HINET-IP\.hinet\.net \[/i
describe HINET_RCVD Received from HINET-IP.hinet.net
score HINET_RCVD 4.0


 twu2 大大,小弟不才,
請問上面的設定是要加在 /etc/mail/spamassassin/local.cf 或是
$home/.spamassassin/user_prefs 呢?謝謝!
主題: postfix, spamassassin 廣告信心得
作者: twu22003-12-25 09:02
引述: "dennis_lo"
請問上面的設定是要加在 /etc/mail/spamassassin/local.cf 或是
$home/.spamassassin/user_prefs 呢?謝謝!


應該都可以.
不過前者是所有的使用者都適用, 後者就那個使用者可以用.
主題: postfix, spamassassin 廣告信心得
作者: dennis_lo2004-02-01 12:55
引述: "twu2"
引述: "dennis_lo"
請問上面的設定是要加在 /etc/mail/spamassassin/local.cf 或是
$home/.spamassassin/user_prefs 呢?謝謝!


應該都可以.
不過前者是所有的使用者都適用, 後者就那個使用者可以用.


再問一個問題,
在$home/.spamassassin/user_prefs 中,有以下敘述

# Whitelist and blacklist addresses are now file-glob-style patterns, so
# "friend@somewhere.com", "*@isp.com", or "*.domain.net" will all work.
# whitelist_from        someone@somewhere.com

但我改設如下,

whitelist_from        *@xxx.com.tw

自己公司內互寄的信件還是會檢查,要如何才能使公司內互寄的郵件不做檢查呢?謝謝!
主題: postfix, spamassassin 廣告信心得
作者: twu22004-02-01 14:33
如果放 local.cf 呢?
主題: postfix, spamassassin 廣告信心得
作者: dennis_lo2004-02-03 14:48
引述: "twu2"
如果放 local.cf 呢?


兩個檔案同時放...還是會檢查ㄝ!
主題: postfix, spamassassin 廣告信心得
作者: rwk2004-03-17 03:13
引述: "dennis_lo"
引述: "twu2"
如果放 local.cf 呢?


兩個檔案同時放...還是會檢查ㄝ!


根據觀察
whitelist_from 是表示在分數方面 -100
確保不會將對方視為廣告信,而不是不會檢查

如果要直接不檢查的話,
應該在前端的 amavisd-new 上設定
主題: postfix, spamassassin 廣告信心得
作者: rwk2004-03-18 13:21
引述: "damon"
新版的mozilla mail我現在用起來好像可以自動判斷一些spam,有些中文主題的spam也能自動攔截到,雖然還是有欄不到的,可是可以自己指定某封信為spam,好像下次就可以自動學習?

這類的問題是道高一尺魔高一丈,警察跟小偷,永遠不可能完全解決的,只能盡量


http://www.mozilla.org/start/1.5/extra/using-junk-control.html

Mozilla’s Junk Mail Controls feature can evaluate your incoming messages
and identify possible junk (or unsolicited) messages. The feature uses the
Bayesian classification method, which requires that you first train Mozilla
by showing it a bunch of mail that is junk, and a bunch of mail that is not.
Then, you let it auto-classify new mail for you. If Mozilla makes any
mistakes, you can correct them.

它使用的是 Bayesian classification method
在 spamassassin 的判定中也有用到這個方法
主題: postfix, spamassassin 廣告信心得
作者: twu22004-06-25 11:31
修改對於 8bit email 的檢查如下:
代碼: [選擇]
# From addr like <some chinese>@teatime.com.tw
header __FROM_8BIT_LOCAL1 From:addr =~ /.*[\x80-\xff][\x21-\xff]+\@teatime\.com\.tw/i
header __FROM_8BIT_LOCAL2 From =~ /<.*[\x80-\xff][\x21-\xff]+\@teatime\.com\.tw>/i
header __TO_8BIT_LOCAL1 To:addr =~ /.*[\x80-\xff][\x21-\xff]+\@teatime\.com\.tw/i
header __TO_8BIT_LOCAL2 To =~ /<.*[\x80-\xff][\x21-\xff]+\@teatime\.com\.tw>/i
header __CC_8BIT_LOCAL1 Cc:addr =~ /.*[\x80-\xff][\x21-\xff]+\@teatime\.com\.tw/i
header __CC_8BIT_LOCAL2 Cc =~ /<.*[\x80-\xff][\x21-\xff]+\@teatime\.com\.tw>/i
meta LOCAL_8BIT_USER (__FROM_8BIT_LOCAL1 || __TO_8BIT_LOCAL1 || __CC_8BIT_LOCAL1 || __FROM_8BIT_LOCAL2 || __TO_8BIT_LOCAL2 || __CC_8BIT_LOCAL2)
describe LOCAL_8BIT_USER From or To a chinese@teatime.com.tw
score LOCAL_8BIT_USER 10.0
主題: postfix, spamassassin 廣告信心得
作者: twu22004-06-25 11:40
下列方法只適用於 postfix 2.1.x 的版本.

檢查發信者的 email 是否正確:
在 access 中設定如下:
代碼: [選擇]
teatime.com.tw reject_unverified_sender

在 main.cf 中設定如下:
代碼: [選擇]
smtpd_sender_restrictions =
        reject_unknown_sender_domain
        permit_mynetworks
        check_sender_access hash:/etc/postfix/access


可以指定 postfix 對於某些 domain 的發信 email 做檢查, 如果沒有該 email 就 reject.
檢查的方式就是嘗試直接連線到該 domain 的主機, 發一封信給該使用者, 若在 rcpt to: 指令後成功的話, 表示該使用者存在.
(PS. 這個方法對某些主機無效, 如 hinet.net, 不管你的收信人對不對, 都會回 ok)

這個檢查也會造成寄信給該 domain 使用者時, 系統回應要等檢查結束才回應, 所以寄信的反應會變慢.
主題: postfix, spamassassin 廣告信心得
作者: winson1012004-06-25 11:47
請教樓上 twu2 前輩:
sendmail 可否作到相同的功能
主題: postfix, spamassassin 廣告信心得
作者: twu22004-06-25 11:53
下列方法只適用於 postfix 2.1.x 的版本.

加上額外的 header, 以便於後續的 spam filter 來辨識信件怎麼送進來的.

修改 main.cf 如下:
代碼: [選擇]
smtpd_client_restrictions =
        check_client_access cidr:/etc/postfix/header-local
        permit_mynetworks
        check_client_access cidr:/etc/postfix/header-auth
        permit_sasl_authenticated
        check_client_access cidr:/etc/postfix/header-remote
        check_client_access pcre:/etc/postfix/client_checks
        reject_rbl_client relays.ordb.org
        reject_rbl_client list.dsbl.org
        reject_rbl_client b1.spamcop.net
        reject_rbl_client rbl.maps.vix.com
        reject_rbl_client dul.maps.vix.com
        reject_rbl_client relays.maps.vix.com
        reject_rhsbl_client dns.rfc-ignorant.org


使用 PREPEND 加上自訂的 header.

header-local:
代碼: [選擇]
0.0.0.0/0 PREPEND X-TeaTime-Auth-LOCAL: LOCAL

header-auth:
代碼: [選擇]
0.0.0.0/0 PREPEND X-TeaTime-Auth-SASL: SASL

header-remote:
代碼: [選擇]
0.0.0.0/0 PREPEND X-TeaTime-Auth-NONE: NONE

這樣子的話, 如果信件是在 mynetwork 的機器送來的, 會只有
X-TeaTime-Auth-LOCAL: LOCAL
這一個 header.

如果信件經由 SASL 之後才收下, 會有
X-TeaTime-Auth-LOCAL: LOCAL
X-TeaTime-Auth-SASL: SASL
兩個 header.

如果信件不是上述兩個情形, 則會有
X-TeaTime-Auth-LOCAL: LOCAL
X-TeaTime-Auth-SASL: SASL
X-TeaTime-Auth-NONE: NONE
三個 header.

我們就可以依據上述三個 header 的存在與否, 來給 spamassassin 分數:
代碼: [選擇]
# auth
header __T_AUTH_LOCAL X-TeaTime-Auth-LOCAL =~ /^LOCAL/
header __T_AUTH_SASL X-TeaTime-Auth-SASL =~ /^SASL/
header __T_AUTH_NONE X-TeaTime-Auth-NONE =~ /^NONE/

meta T_AUTH_NONE (__T_AUTH_NONE)
describe T_AUTH_NONE Received from remote site without authenticated
score T_AUTH_NONE 0.001

meta T_AUTH_SASL (!__T_AUTH_NONE && __T_AUTH_SASL)
describe T_AUTH_SASL Received with authenticated user
score T_AUTH_SASL -4

meta T_AUTH_LOCAL (!__T_AUTH_LOCAL || !__T_AUTH_SASL)
describe T_AUTH_LOCAL Received from local network
score T_AUTH_LOCAL -4


這樣子, 可以讓透過 sasl 或 local 寄入的信件, 不易被認為是 spam.
主題: postfix, spamassassin 廣告信心得
作者: twu22004-06-25 11:56
引述: "winson101"
請教樓上 twu2 前輩:
sendmail 可否作到相同的功能


印象中好像看到有人討論過, 似乎可以做到. 不過我也不清楚.
主題: postfix, spamassassin 廣告信心得
作者: twu22004-06-25 12:07
下列方法只適用於 postfix 2.1.x 的版本.

以往我們只能在 postfix 收下信件之後, 再利用 content_filter 把信件給 amavisd-new 之類的程式來檢查, 也就是信件實際上對發信方來說, 已經被收下來了.

在 postfix 2.1 的版本中, 我們可以利用另外的方法來做這個動作, 讓 postfix 在信件收下來之後, 直接轉給 amavisd-new 來檢查, 然後才決定是否接受該信件或 reject.

修改 main.cf, 把 content_filter = smtp-amavis:[127.0.0.1]:10024 移除.
修改 master.cf, 將原本的 smtp-amavis 的設定移除. 將 smtp 的設定改成:
代碼: [選擇]
smtp      inet  n       -       n       -       32       smtpd
        -o smtpd_proxy_filter=127.0.0.1:10024
        -o smtpd_client_connection_count_limit=16


smtpd_proxy_filter 指定在 DATA 指令結束後, 把信件交給 filter 檢查.
smtpd_client_connect_count_limit 限制同時連線的數量.

這樣的設定, 會造成對方寄信後, 必須等檢查結束才會回應信件發送成功或失敗, 因此, 如果你的系統一天會收很多信件, 可能會造成這部分的 loading 過重, 請自行決定是否使用這種設定.

這樣設定的好處, 在於對於 virus or spam 的信件, 我們不會收下 (amavisd-new 一樣會有備存的檔案留下), 對方會認為這個信件沒有送成功.
主題: postfix, spamassassin 廣告信心得
作者: twu22004-06-28 17:34
前面提到加上 X-Auth 的 header, 建議放在 smtpd_data_restrictions 中, 不要放 smtpd_client_restrictions 中, 以免有多個收寄人時, 會有一堆 X-Auth 的 header 出現.
主題: postfix, spamassassin 廣告信心得
作者: twu22004-07-04 10:56
使用 smtpd_proxy_filter 搭配 amavisd-new 時, 要記得修改 $child_timeout 的設定值, 這個設定值是 amavisd-new 在接收信件時的時間, 因為原本的作法都只是由 local 的 postfix 傳到 amavisd-new, 所以時間應該都不會太久, 但是改用 smtpd_proxy_filter 的作法之後, 就等於是對方寄信進來的時間, 有可能會使用比較長的時間來傳輸.

還有, 如果你的 amavisd-new 在檢查一封信的時間過長的話, 可能會造成用戶端的發信程式在傳送信件後, 等不到回應就逾時. 一般多數程式可能在一分鐘左右. 看看是要調整用戶端的逾時設定, 或是把要給 spamassassin 檢查的檔案大小設定改小, 避免檢查過大的檔案試看看.
主題: postfix, spamassassin 廣告信心得
作者: ktcs2004-07-06 20:33
請問各位學長 :
當我從某個電子郵件位址寄出一次的廣告測試信後 , 往後只要從這個電子郵位址寄出的信都被判定為廣告信 , 請問我要如何才能將它恢復成正常的信件呢?
雖然我可以將 $home/.spamassassin 整個目錄刪除,再重新啟動Amavisd-new,但如此一來之前所作的判定正確的廣告信條件就消失不見了?

我是使用 Postfix, Amavisd-new, SpamAssassin, Razor, DCC

謝謝各位  :P
主題: postfix, spamassassin 廣告信心得
作者: twu22004-07-06 21:24
引述: "ktcs"
當我從某個電子郵件位址寄出一次的廣告測試信後 , 往後只要從這個電子郵位址寄出的信都被判定為廣告信 , 請問我要如何才能將它恢復成正常的信件呢?


這要問你自己吧.
被認為是 spam 的信件, 不是都會寄一封信給系統管理員, 自己看看裡頭符合的條件吧.

除非你設成 blacklist, 否則不至於因為單一的寄信者 email 就被認為是 spam.
主題: postfix, spamassassin 廣告信心得
作者: jiminyang2004-07-07 10:32
我也是用  postfix+amavisd-new+spamassassin
請問一下....
要如何可以看到 sa report ?
或是說要如何設定?
我是想應該是在 amavisd.conf  中設定
但是一直找不到....


我也有在 local.cf 裏面調整了好多次 (把 0 改成 1、把 1 改成 0.....隨意組合....)
都沒成功....  :cry:
代碼: [選擇]
# This is the right place to customize your installation of SpamAssassin.
#
# See 'perldoc Mail::SpamAssassin::Conf' for details of what can be
# tweaked.
#
###########################################################################
#
allow_user_rules        1
ok_locales              zh en
ok_languages            zh en
## customized settings
auto_learn              1
always_add_headers      0
#always_add_report      1
report_safe             1
report_header           1
rewrite_subject         0
#use_terse_report        1
spam_level_stars        1

麻煩指點一下囉...

ps: 我的 os 是 FreeBSD....
主題: postfix, spamassassin 廣告信心得
作者: twu22004-07-07 11:29
amavisd.conf 中有這些設定嗎:
代碼: [選擇]

$forward_method = 'smtp:127.0.0.1:10025';  # where to forward checked mail
$notify_method = $forward_method; # where to submit notifications
$spam_admin = "amavis\@$mydomain";
$mailfrom_notify_admin     = "amavis\@$mydomain";
$mailfrom_notify_recip     = "amavis\@$mydomain";
$mailfrom_notify_spamadmin = "amavis\@$mydomain";


如果有 spam 的信, 應該會有個通知寄到 amavis 這個使用者.
類似
代碼: [選擇]
Unsolicited bulk email from:
   npaspumu@ms5.url.com.tw
Subject: =?BIG5?B?oXmqTKu6p2eherdrrbqny6u6oUGvdaN4q9ypyqfvrfIg?=

According to the 'Received:' trace, the message originated at:
   unknown  (HELO vlm6444) (120.143.166.6)

The message WILL NOT BE delivered to:
<xxx@xxx.com.tw>:
   550 5.7.1 Message content rejected, UBE, id=21813-02

The message has been quarantined as:
   /var/lib/amavis/virusmails/spam-a92d39d8150522aa7ee1e93d249fcd8c-20040707-111951-21813-02.gz

SpamAssassin report:
Spam detection software, running on the system "fw2", has
identified this incoming email as possible spam.  The original message
has been attached to this so you can view it (if it isn't spam) or block
similar future email.  If you have any questions, see
the administrator of that system for details.

Content preview:  
  ·s¼Wºô­¶1 ¤å¤j¤p©g¤l¦³½Ð¤F [...]

Content analysis details:   (12.1 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 0.5 X_PRIORITY_HIGH        Sent with 'X-Priority' set to high
 1.7 HTML_IMAGE_ONLY_06     BODY: HTML: images with 400-600 bytes of words
 0.6 HTML_WEB_BUGS          BODY: Image tag intended to identify you
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 HTML_FONT_BIG          BODY: HTML has a big font
 0.1 MIME_HTML_ONLY         BODY: Message only has text/html MIME parts
 0.2 HTML_50_60             BODY: Message is 50% to 60% HTML
 1.6 FRONTPAGE              BODY: Frontpage used to create the message
 1.1 MIME_BASE64_TEXT       RAW: Message text disguised using base64 encoding
 0.0 T_NO_SMTP_AUTH         Received from remote site without authenticated
 4.3 FORGED_MUA_AOL_FROM    Forged mail pretending to be from AOL (by From)
 1.8 FORGED_AOL_HTML        AOL can't send HTML message only

------------------------- BEGIN HEADERS -----------------------------
Return-Path: <npaspumu@ms5.url.com.tw>
X-TeaTime-Auth: no
Received: from 218.17.230.198 (unknown [219.134.31.69])
by xxx.com.tw (Postfix) with SMTP
for <xxx@xxx.com.tw>; Wed,  7 Jul 2004 11:19:34 +0800 (CST)
Received: from unknown (HELO vlm6444) (120.143.166.6)
by 219.134.31.69 with SMTP; 7 Jul 2004 03:19:50 -0000
X-Originating-IP: [120.143.166.6]
Date: Wed, 7 Jul 2004 11:19:49 +0800
From: "gnqayw" <npaspumu@ms5.url.com.tw>
To: "xxx" <xxx@xxx.com.tw>
Subject: =?BIG5?B?oXmqTKu6p2eherdrrbqny6u6oUGvdaN4q9ypyqfvrfIg?=
X-Mailer: AOL 6.0 for Windows US sub 185
Mime-Version: 1.0
X-Priority: 1
Content-Type: text/html;
charset="BIG5"
Content-Transfer-Encoding: base64
-------------------------- END HEADERS ------------------------------


就可以看到這封信的分析報告.
主題: postfix, spamassassin 廣告信心得
作者: jiminyang2004-07-07 12:21
引述: "twu2"
amavisd.conf 中有這些設定嗎:
代碼: [選擇]

$forward_method = 'smtp:127.0.0.1:10025';  # where to forward checked mail
$notify_method = $forward_method; # where to submit notifications
$spam_admin = "amavis\@$mydomain";
$mailfrom_notify_admin     = "amavis\@$mydomain";
$mailfrom_notify_recip     = "amavis\@$mydomain";
$mailfrom_notify_spamadmin = "amavis\@$mydomain";

如果有 spam 的信, 應該會有個通知寄到 amavis 這個使用者.
就可以看到這封信的分析報告.

有了......  :D  :D  :D  :D  :D
非常感謝.......
原來是這個地方.....之前搞錯方向了.........  :wink:

順便提一下
這個 report 出現與否
與 $sa_kill_level_deflt 這個設定的點數有關
要超過這個點數才會寄出 report
主題: postfix, spamassassin 廣告信心得
作者: jiminyang2004-07-07 14:40
引述: "twu2"
用 spamassassin 有個好處是, 除了上述的設定可以自已加之外, 還可以設定兩個信箱, 如 spam, notspam, 只要收到是 spam 沒擋到, 就往 spam 轉送, 如果收到的信被誤認為 spam, 就轉送給 notspam. (當然如果設定為 spam 就不送的話, 就不會有 notspam 這個問題)

系統可以自已由這兩個信箱的內容, 學習新的規則出來.

再請教個問題
上面這些文字......不大了解其中的意思
「只要收到是 spam 沒擋到, 就往 spam 轉送, 如果收到的信被誤認為 spam, 就轉送給 notspam」
其中「轉送」是誰在轉送的?系統管理員?還是 user?或者是 spamassassin?
(我想應該不是 spamassassin.....  :P  )

另外,要 spamassassin 自己學習
那是要設定什麼呢?local.cf?
是下面這個嗎?
代碼: [選擇]
auto_learn              1

我先前已經在 local.cf 中設定 auto_learn   1
我怎麼知道他有在自動學習?.....

啊....問了好多....  :P
麻煩再指點一下了.....
主題: postfix, spamassassin 廣告信心得
作者: ktcs2004-07-07 15:22
原來是我一開始使用 spamassassin中所附的 sample-spam.txt 作測試
, 而它高達 1006.0 points, 因為 spamassassin 本身的AWL (score averaging system) 作用, 導致往後所寄的信皆被判為廣告信
解決辦法是在 /etc/mail/spamassassin/local.cf 或是在 ~/.spamassassin/user_prefs 中加入 whitelist_from  參數
 (詳細資料請到:http://wiki.apache.org/spamassassin/AutoWhitelist)

 :D  :D  :D
感謝大家的幫忙
主題: postfix, spamassassin 廣告信心得
作者: twu22004-07-07 15:42
引述: "jiminyang"

「只要收到是 spam 沒擋到, 就往 spam 轉送, 如果收到的信被誤認為 spam, 就轉送給 notspam」
其中「轉送」是誰在轉送的?系統管理員?還是 user?或者是 spamassassin?


user 轉送.
這個只有在於你對於 spam 的處理是 D_PASS 時才有作用.

$final_spam_destiny       = D_PASS;

這時對於被認為是 spam 的信件還是會送到使用者的手上, 只是在標題會有 ***SPAM*** 的字串.

如果使用者認為這一封被判定是 spam 的信件, 實際上並不是 spam, 就把這封信轉寄給 notspam 這個使用者.

反之, 如果使用者收到一封沒有被判定為 spam 的信件, 但是實際上就是一封 spam 的時候, 就把信轉寄給 spam 這個使用者.


引述: "jiminyang"

另外,要 spamassassin 自己學習
那是要設定什麼呢?local.cf?
是下面這個嗎?
代碼: [選擇]
auto_learn              1

我先前已經在 local.cf 中設定 auto_learn   1
我怎麼知道他有在自動學習?.....


上面的作法, 並不是自動的學習, 只是把信轉給 spam, notspam 之後, 我們要去執行 sa-learn 指令, 由這兩個信箱的內容來學習新的規則. 主要就是 bayes 分析.
你必須 use_bayes 1 才會讓 spamassassin 使用 bayes 分析.

如:
代碼: [選擇]
#!/bin/sh

if [ -e /var/mail/to.spam ]; then
  /usr/bin/sa-learn --spam \
                -p /var/lib/amavis/.spamassassin/user_prefs \
                --mbox /var/mail/to.spam
  rm /var/mail/to.spam > /dev/null
fi

if [ -e /var/mail/to.notspam ]; then
  /usr/bin/sa-learn --ham \
                -p /var/lib/amavis/.spamassassin/user_prefs \
                --mbox /var/mail/to.notspam
  rm /var/mail/to.notspam > /dev/null
fi

/usr/bin/sa-learn --rebuild -p /var/lib/amavis/.spamassassin/user_prefs


至於什麼是 bayes 分析... 我也不清楚.

請參考下面的文章, 應該對於 amavisd 的運作有詳細的說明.
http://www.flakshack.com/anti-spam/
主題: postfix, spamassassin 廣告信心得
作者: jiminyang2004-07-07 17:21
引述: "twu2"
如果使用者認為這一封被判定是 spam 的信件, 實際上並不是 spam, 就把這封信轉寄給 notspam 這個使用者.

反之, 如果使用者收到一封沒有被判定為 spam 的信件, 但是實際上就是一封 spam 的時候, 就把信轉寄給 spam 這個使用者.


嗯....大概了解你的做法了
你是先用 spamassassin 來擋
一旦收到 user 信箱的 Email .....就由 user 自己判斷是不是 spam
然後轉寄到 spam 或 notspam 的信箱

然後系統利用你的那隻 shell script 排程執行 sa-learn 的動作.....
並清除 sa-learn 過的 email

最後再 rebuild database .......
這真是不錯的作法..... 讚....  :D


不過這樣子會不會造成寄信的 user 被誤認為是廣告信的寄件者啊?

例如:
某位 user 常常把他認為是廣告信的轉寄給 spam 信箱
那 spamassassin 在分析時....會不會把這個 寄件者...認為是廣告商
因為郵件的表頭在他轉寄後, From 就通通變成這位 user 了.......
會有這種副作用嗎?..... :P
當然如果 spamassassin 只分析郵件內文....
那應該就沒有上面的狀況了....
主題: postfix, spamassassin 廣告信心得
作者: twu22004-07-07 17:32
引述: "jiminyang"
你是先用 spamassassin 來擋

不過這樣子會不會造成寄信的 user 被誤認為是廣告信的寄件者啊?


1. 如果用這樣子做, 就不能讓 spamassassin 把信擋下來, 只是用來判斷是否加上 ***SPAM***, 然後讓使用者自行決定要不要看這些信. (因為看了才能再轉寄, 如果把 spam 擋下來, 那就只有學習 spam 的功能, 而沒有學習非 spam 的功能)

2. 前面的文章應該有提到, 原本 antispam 那個網址所說的是要使用 redirect to 的功能把信件轉寄, 這時 sa-learn 收到的信件就會是原本的信件, 不會認為是使用者寄過來的. 但是 redirect to 的功能不是每個 MUA 都有支援, 所以用多數 MUA 都有的 forward as attachment 的方式轉寄, 然後寫個小程式取出裡頭的 attachment, 也就是原本的信件了.
主題: postfix, spamassassin 廣告信心得
作者: jiminyang2004-07-07 18:14
引述: "twu2"
1. 如果用這樣子做, 就不能讓 spamassassin 把信擋下來, 只是用來判斷是否加上 ***SPAM***, 然後讓使用者自行決定要不要看這些信. (因為看了才能再轉寄, 如果把 spam 擋下來, 那就只有學習 spam 的功能, 而沒有學習非 spam 的功能)


啊?可以啊....
我是設定成這樣
$sa_tag_level_deflt  = 0.1;
$sa_tag2_level_deflt = 11.0;
$sa_kill_level_deflt = 22.0;

也就是
11.0~22.0 的會被標示上 ***SPAM***
但是大於 22.0 的就會被擋下來了(隔離在 mail server 中) ,後來會產生 sa report 寄給指定的 spamadmin....

這算是 spamassassin 的兩階段擋法吧.... :P

所以自定的 rule 都要儘量把廣告信的點數提高到 22.0
就會擋下來了.... :P
(當然這個還是有可能會誤擋,怕的話就定成 30....多半就不會擋到正常信件了)

模糊地帶的 11.0~22.0 就要由 user 自己判斷了.....
然後使用你的 spam、 notspam 來學習..... :P

引述: "twu2"
2. 前面的文章應該有提到, 原本 antispam 那個網址所說的是要使用 redirect to 的功能把信件轉寄, 這時 sa-learn 收到的信件就會是原本的信件, 不會認為是使用者寄過來的. 但是 redirect to 的功能不是每個 MUA 都有支援, 所以用多數 MUA 都有的 forward as attachment 的方式轉寄, 然後寫個小程式取出裡頭的 attachment, 也就是原本的信件了.


感謝你的說明.....可能是我沒有專心看這一篇文章吧....
所以沒注意到前面有提過這個主題... :P

嗯....這個我曉得....openwebmail 就有 redirect to 的功能
但一般的 MUA 就沒有了......

如果要寫程式把 attachment 給取出來......
shell script 行嗎?.....嗯.....找機會來試試好了..... :P
還好我是用 postfix 的 maildir.....
好像比 mailbox 來取出附件容易多了.....
總之我再試試囉....thx....
主題: postfix, spamassassin 廣告信心得
作者: twu22004-07-07 20:39
引述: "jiminyang"
如果要寫程式把 attachment 給取出來......
shell script 行嗎?.....嗯.....找機會來試試好了..... :P
還好我是用 postfix 的 maildir.....
好像比 mailbox 來取出附件容易多了.....
總之我再試試囉....thx....


參考這一篇吧.
http://phorum.study-area.org/viewtopic.php?t=16063
主題: postfix, spamassassin 廣告信心得
作者: jiminyang2004-07-08 12:10
引述: "twu2"
引述: "jiminyang"
如果要寫程式把 attachment 給取出來......
shell script 行嗎?.....嗯.....找機會來試試好了..... :P
還好我是用 postfix 的 maildir.....
好像比 mailbox 來取出附件容易多了.....
總之我再試試囉....thx....


參考這一篇吧.
http://phorum.study-area.org/viewtopic.php?t=16063

嗯....試成功了....
非常感謝.... :D

不過提醒一下....
這三個目錄記得要建立
/var/spool/spamfwd/errors
/var/spool/spamfwd/incoming
/var/spool/spamfwd/log

還有目錄及檔案權限
最好都設定為 777 …
cd /var/spool
chmod -R 777 spamfwd

因為我 mail log 中出現了
status=bounced (Command died with status 1: "/var/spool/spamfwd/spam_recv.php to.notspam")
的錯誤

後來找出來是 spam_recv.php 執行權限的問題  :(
因為執行的 user 好像是 nobody....
主題: postfix, spamassassin 廣告信心得
作者: twu22004-11-23 11:42
有些信件會使用類似 "中文@mydomain" 之類的 email, 之前採用的方式都是用來判斷 @ 前面是否有中文, 後來發現偶而會有沒抓到的, 所以決定改用只允許符合條件的正向表列方式處理.

代碼: [選擇]
# test for local user account
header __T_FROM_EMAIL From:addr =~ /\@teatime\.com\.tw$/i
header __T_FROM_EMAIL_OK From:addr =~ /^[a-z0-9_\-]{3,40}\@teatime\.com\.tw$/i
meta T_FROM_EMAIL_ERR (__T_FROM_EMAIL && !__T_FROM_EMAIL_OK)
header __T_TO_EMAIL To:addr =~ /\@teatime\.com\.tw$/i
header __T_TO_EMAIL_OK To:addr =~ /^[a-z0-9_\-]{3,40}\@teatime\.com\.tw$/i
meta T_TO_EMAIL_ERR (__T_TO_EMAIL && !__T_TO_EMAIL_OK)
header __T_CC_EMAIL Cc:addr =~ /\@teatime\.com\.tw$/i
header __T_CC_EMAIL_OK Cc:addr =~ /^[a-z0-9_\-]{3,40}\@teatime\.com\.tw$/i
meta T_CC_EMAIL_ERR (__T_CC_EMAIL && !__T_CC_EMAIL_OK)
meta T_EMAIL_ERR (T_FROM_EMAIL_ERR || T_TO_EMAIL_ERR || T_CC_EMAIL_ERR)
describe From/To/Cc with wrong local email
score T_EMAIL_ERR 30
主題: postfix, spamassassin 廣告信心得
作者: kuolung2004-12-02 08:04
引述: "twu2"


如果使用者認為這一封被判定是 spam 的信件, 實際上並不是 spam, 就把這封信轉寄給 notspam 這個使用者.

反之, 如果使用者收到一封沒有被判定為 spam 的信件, 但是實際上就是一封 spam 的時候, 就把信轉寄給 spam 這個使用者.

上面的作法, 並不是自動的學習, 只是把信轉給 spam, notspam 之後, 我們要去執行 sa-learn 指令, 由這兩個信箱的內容來學習新的規則. 主要就是 bayes 分析.
你必須 use_bayes 1 才會讓 spamassassin 使用 bayes 分析.

如:
代碼: [選擇]
#!/bin/sh

if [ -e /var/mail/to.spam ]; then
  /usr/bin/sa-learn --spam \
                -p /var/lib/amavis/.spamassassin/user_prefs \
                --mbox /var/mail/to.spam
  rm /var/mail/to.spam > /dev/null
fi

if [ -e /var/mail/to.notspam ]; then
  /usr/bin/sa-learn --ham \
                -p /var/lib/amavis/.spamassassin/user_prefs \
                --mbox /var/mail/to.notspam
  rm /var/mail/to.notspam > /dev/null
fi

/usr/bin/sa-learn --rebuild -p /var/lib/amavis/.spamassassin/user_prefs



對不起,因為我的環境 FC2 + MailScanner + SpamAssassin + clamav
所以上面的指令,好像不能用,尤其是找不到  /var/lib/amavis/.spamassassin/user_prefs 這個檔案,

請問在我的環境下,-p 要找的 user_prefs 應該存在那個目錄中

3Q
主題: postfix, spamassassin 廣告信心得
作者: twu22004-12-02 09:23
引述: "kuolung"

對不起,因為我的環境 FC2 + MailScanner + SpamAssassin + clamav
所以上面的指令,好像不能用,尤其是找不到  /var/lib/amavis/.spamassassin/user_prefs 這個檔案,

請問在我的環境下,-p 要找的 user_prefs 應該存在那個目錄中

3Q


我不用 mailscanner, 不清楚他會把 spamassassin 的東西放那兒.
不然, 可以自己 touch 一個空的檔案來用.
主題: postfix, spamassassin 廣告信心得
作者: clmao2005-12-27 16:39
請問
spamassassin
會將信件送至SPAM信箱中
亦會將正常信件送至Do這一信箱中
不知要如何修改?
謝謝
主題: postfix, spamassassin 廣告信心得
作者: juarewei2006-06-16 15:55
引述: "twu2"
有些廣告信的發信軟體, 會在 smtp 的 helo/ehlo 使用你本身的 domain name. 這個在 spamassassin 中可以使用類似下面的設定:

# local domain from but ip not match
header __FROM_TEATIME Received =~ /from teatime.com.tw/i
header __FROM_TEATIME_IP Received =~ /\[211\.23\.144\.122\]/
meta FROM_TEATIME_BUT_IP_ERROR (__FROM_TEATIME && !__FROM_TEATIME_IP)
describe FROM_TEATIME_BUT_IP_ERROR From teatime.com.tw but ip not match
score FROM_TEATIME_BUT_IP_ERROR 8

如上面的設定, 如果有收到 from teatime.com.tw 的信件, 但是 ip 又沒有出現 teatime.com.tw 正確的 ip, 就認為是廣告信, 給它一個高分.

請問一下小弟照著前輩說得這樣設定,也把上面的ip和domain
改成我自己的,可是還是會收到偽裝成自己domain寄來的信件
請問怎麼會這樣呢?
小弟我是設定再/etc/MailScanner/spam.assassin.prefs.conf和/etc/mail/spamassassin/localcf裡面
主題: 如何利用 spamassassin 設定規則判斷無IP否解加重分數呢?
作者: mydarren2007-03-05 11:59
如何利用 spamassassin 設定規則判斷無IP否解加重分數呢?