Назад | Перейти на главную страницу

Спам - индивидуальный пользователь

У меня небольшая проблема с почтовым ящиком пользователей, потому что много спама проходит только для него.

Мы используем Amavis / Postfix и SA в настройке нашей почты. Конфиг настраивается так:

Config:
$sa_tag_level_deflt  = 2.0;  
$sa_tag2_level_deflt = 6.2;  
$sa_kill_level_deflt = 8.0;  
$sa_dsn_cutoff_level = 10;   
$sa_crediblefrom_dsn_cutoff_level = 18;
#$sa_quarantine_cutoff_level = 25; 
$penpals_bonus_score = 8;    
$penpals_threshold_high = 
$bounce_killer_score = 100;

Вот пример правильного подбора спама:

X-Spam-Status: Yes, score=9.172 tagged_above=-2 required=6.2
    tests=[BAYES_50=0.8, DOS_RCVD_IP_TWICE_B=0.001,
    FORGED_OUTLOOK_TAGS=0.052, FROM_12LTRDOM=2, FROM_OFFERS=2.699,
    HTML_MESSAGE=0.001, MIME_HTML_MOSTLY=0.428, MPART_ALT_DIFF=0.79,
    RDNS_NONE=0.793, SPF_HELO_SOFTFAIL=0.732, SPF_SOFTFAIL=0.665,
    TO_NO_BRKTS_MSFT=0.199, TO_NO_BRKTS_NORDNS=0.001, T_REMOTE_IMAGE=0.01,

много рекордов, как вы можете видеть, подняв его над уровнем убийства (8). Вот очень типичный пример спама, который не удается поймать:

X-Spam-Status: No, score=1.484 tagged_above=-2 required=6.2
    tests=[BAYES_00=-1.9, HTML_MESSAGE=0.001, MPART_ALT_DIFF_COUNT=1.112,
    RCVD_IN_BRBL_LASTEXT=1.449, RDNS_NONE=0.793, SPF_PASS=-0.001,
    T_URIBL_SEM_FRESH=0.01, T_URIBL_SEM_FRESH_10=0.01,
    T_URIBL_SEM_FRESH_15=0.01] autolearn=no

Общей темой для большинства из них является низкий балл BAYES_00. Некоторые кажутся действительно очевидными 

Return-Path: <dahlia@www123429.com>
X-Spam-Flag: NO
X-Spam-Score: 2.488
X-Spam-Level: **
X-Spam-Status: No, score=2.488 tagged_above=-2 required=6.2
   tests=[BAYES_00=-1.9, HTML_IMAGE_ONLY_32=0.001, HTML_MESSAGE=0.001,
   MIME_HTML_ONLY=0.723, MORE_SEX=1.413, RCVD_IN_BRBL_LASTEXT=1.449,
   RDNS_NONE=0.793, SPF_HELO_PASS=-0.001, SPF_PASS=-0.001,
   T_REMOTE_IMAGE=0.01] autolearn=no
From: "L o n g & H a r d" <dahlia@www123429.com>
MIME-Version: 1.0
Subject:     How Men Like You Are Boosting Testosterone
Message-ID: <GdeSiGuPRRZRwqRPfuK8Coieid3d24SeCz12i4o48mi4duRfPPqfqfPRwfuVVZZw@www123429.com>

Я не уверен, почему это происходит с одним пользователем, а с другим - нет? Кажется, это единственный вариант здесь обучить SA с базой данных спама / радиолюбителей. Есть ли у кого-нибудь опыт в этом. Если да, то какое решение вы предлагаете?

Каждый пользователь получает разную дозу спама.

Поскольку вы используете Spamassassin, вам может потребоваться добавить несколько дополнительных репозиториев правил, которые часто обновляются, чтобы улавливать больше спама (например, как описано здесь: http://khopis.com/wiki/Anti-spam). Ваш уровень срабатывания спама также немного завышен, большинство людей обычно используют 5.0.

Конечно, обучение Spamassassin на недавнем корпусе Ham and Spam также может не повредить, на самом деле это то, что вам следует сделать вначале.

Вы также можете добавить еще один байесовский фильтр спама, такой как Bogofilter, DSPAM или CRM114, и заставить его работать вместе со Spamassassin.

Но не позволяйте пользователям обучать фильтр, большинство пользователей обучают фильтр неправильным образом.

Получить 95% отфильтрованного спама легко, а добиться 99,5% и выше действительно сложно. Никогда этого не забывай.

Поскольку у вас установлен Postfix, использование postfwd и серых списков может быть еще одной идеей для дальнейшего уменьшения спама на переднем плане или использования вместо него postscreen.

Конечно, если вы любите приключения, вы также можете взглянуть на заголовки писем DKIM, SPF и DMARC, если они там есть. Но обычно это избавляет только от поддельных писем, и если письмо проходит эти тесты, оно не обязательно должно быть чистым.