PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Regel für Spamassassin



abalorio
03.01.08, 20:33
Hi, ich hab folgendes Problem. Es kommen ständig eMails durch (Postfix, SpamAssassin - neuesten Versionen auf Suse Linux 10.x) mit folgender WebAdresse (mal HTML und mal TEXT):


http://geocities.com/elliott.hamilton
oder
http://geocities.com/images/
oder
http://www.geocities.com/


Daraufhin hatte ich folgende Regel erstellt die leider nicht funktioniert. Habt Ihr eine Idee?


body geoC /http\:\/\/re[0-9]\.mm-a[0-9]\.geocities\.com\\/[0-9]+/i
score geoC 10.0

Danke für jede Hilfe!!

Blade
05.01.08, 13:56
Hast Du den Bayes-Filter installiert und aktiv am Laufen? Dem würde ich die Mails zum lernen geben und künftig werden sie geblockt.

abalorio
13.01.08, 21:44
Ich habe ein extra Postfach wo alle User Ihren Spam hinsenden. Per "sa-learn --spam /home/spam-user/spam" wird dieser Spam gelernt. Leider kommen trotzdem immer noch viel zu viele Spam-eMails durch. Woran kann das liegen?

Beispielmails die immer wieder durch kommen:




eMail-1:

Return-Path: <ChristyDubois@time.com>
X-Spam-Checker-Version: SpamAssassin 3.1.8 (2007-02-13) on ns10.domain.de
X-Spam-Level:
X-Spam-Status: No, score=-2.6 required=3.0 tests=BAYES_00,NO_RECEIVED,
NO_RELAYS autolearn=ham version=3.1.8
X-Original-To: user@domain1.de
Delivered-To: user@domain.de
From: "Dubois, Christy" <Christy.Dubois@goodman.com>
To: <user@domain2.de>
Date: Mon, 14 Jan 2008 11:32:58 -0800
Subject: Does it satisfy her?
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
Message-Id: <20080114033056.096B4100A514@ns10.domain.de>
X-Virus-Scanned: amavisd-new at domain.de

Larger penls for you!

http://google.co.kr//search?hl=en&q=inurl:rneskimo.com%2BVPXL%2BMade%2BEasy&btnI=longitudinal

eMail-2:

From - Sun Jan 13 21:39:45 2008
X-Account-Key: account2
X-UIDL: UID581-1195115493
X-Mozilla-Status: 1001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <rebarskydiamondsm@barskydiamonds.com>
X-Spam-Checker-Version: SpamAssassin 3.1.8 (2007-02-13) on ns10.domain.de
X-Spam-Level: **
X-Spam-Status: No, score=2.3 required=3.0 tests=BAYES_00,HTML_40_50,
HTML_MESSAGE,HTML_TITLE_EMPTY,INVALID_DATE,NO_RECE IVED,NO_RELAYS,
RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E4_51_100 autolearn=no version=3.1.8
X-Original-To: user@domain.de
Delivered-To: user@domain.de
Date: , 12 Jan 2008 19:17:19 +0000
From: "Alysia Nieves" <rebarskydiamondsm@barskydiamonds.com>
X-Mailer: The Bat! (v2.00.0) Personal
Reply-To: rebarskydiamondsm@barskydiamonds.com
X-Priority: 3 (Normal)
Message-ID: <692642938.19431016077167@barskydiamonds.com>
To: user@domain1.de
Subject: Alles auf der Welt kostet Geld, diese Software kostet wenig
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------299991C7053BBB"
X-Virus-Scanned: amavisd-new at domain.de

------------299991C7053BBB
Content-Type: text/plain; charset=Windows-1252
Content-Transfer-Encoding: 7bit

Konnen die Produkte der Software gleichzeitig billig aber original und vollig sein? Ja, und Sie bekommen momentan die Programmen auf allen europaischen Sprachen uberlassen, die fur Windows und Macintosh vorherbestimmt sind. Einfach bezahlen und auslasten. Die Aufstellung des Programms ist jetzt kein Problem fur Ihnen. Die professionelle Konsultation des Anwenderdienstes hilft dabei. Garantiert sind die schnelle Antwort und die Moglichkeit der Ruckzahlung. Sie kaufen, die Software funktionieren, ausgezeichnet
http://geocities.com/ida.rich/
------------299991C7053BBB
Content-Type: text/html; charset=Windows-1252
Content-Transfer-Encoding: 7bit

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML><HEAD><TITLE></TITLE>
</HEAD>
<BODY>

<html>
<body bgcolor="#FFFFFF" link="red">
<p><font face="Verdana" size="2" color="green"><b>Konnen die Produkte der Software gleichzeitig billig aber original und vollig sein? Ja, und Sie bekommen momentan die Programmen auf allen europaischen Sprachen uberlassen, die fur Windows und Macintosh vorherbestimmt sind. Einfach bezahlen und auslasten. </b></font></p>

<p><font face="Verdana" size="2">Die Aufstellung des Programms ist jetzt kein Problem fur Ihnen. Die professionelle Konsultation des Anwenderdienstes hilft dabei. Garantiert sind die schnelle Antwort und die Moglichkeit der Ruckzahlung. </font></p>
<p><font face="Verdana" size="2"><a href="http://geocities.com/ida.rich/">Sie kaufen, die Software funktionieren, ausgezeichnet</a><br><a href="http://geocities.com/ida.rich/"><b>http://geocities.com/ida.rich/</b></a></font></p>
</body>
</html>

</BODY></HTML>
------------299991C7053BBB--




Wie kann ich diese eMails sinnvoll verhindern? DANKE!!

403
14.01.08, 23:43
Naja,

X-Mailer: The Bat! (v2.00.0) Personal
X-Spam-Level: **
charset=Windows-1252

auswerten. (The Bat! wird gern von Spammern genutzt)

Wenn der Spam hartnaeckig bleibt, dann blacklist, aber auch nur temporaer.

Gruss 403

Blade
15.01.08, 17:49
So wie es nach Deinem geposteten Header aussieht läuft der Bayes-Filter bei Dir, hat aber die Mail mit tests=BAYES_00 als ok bzw. kein Spam bewertet. Dein autolearn-Eintrag steht auf = 1 (aktiv) daher ... autolearn=ham ... Wenn das nun eine SPAM-Mail war ist der Filter ein wenig mehr durcheinander geworden als er schon ist.

Ich baue meine neuen Bayes-Filter immer so auf:
1. Start spamassassin mit neuem Bayes-Filter
2. autolearn = 0 ... nicht aktiv
3. Ich lege zwei Postfächer an, ham-box und spam-box an die die User konsequent alle guten (ham) und alle unerwünschten (spam) Mails schicken.
4. Erst nach gelernten 200 hams und gelernten 200 spams fängt der Filter an zu arbeiten
5. Weiterhin Konsequente Kontrolle aller durch spamassassin ausgefilterten Mails. Bei Fehlinterpretation die Mail mit der Funktion --forget austragen und korrekt als spam oder mail neu lernen.
6. Wenn alles sauber läuft, autolearn = 1 (aktiv)
7. Weiterhin alle spams an spam-box mailen

Ich denke Dein angelernetr Filter ist falsch trainiert, darin liegt das Problem begründet.

abalorio
15.01.08, 19:59
Danke, hab jetzt erstmal "bayes_auto_learn 0" eingestellt und mach das erstmal manuell. Ich hab bereits Postfächer für ham- und spam-Mails eingerichtet. Ist es ein Problem, dass dort ggf. auch Userdaten drinstehen? Der Absender ist ja dann eine korrekte interne Adresse!!

Blade
15.01.08, 20:33
bei ham lasse ich die drin stehen bei spam lösche ich sie raus. Mein Tipp leg eine neue Datenbank an, die alte hat zu viele falsche Einträge gelernt.

abalorio
21.01.08, 13:33
Okay, der Spam ist deutlich weniger geworden aber was irgendwie nicht aufhört sind eMails mit einem Link zu

geocities.com


Gibt es eine Regel die Zeichen vorher und nachher ignoriert, so dass ich nur

body GEO /geocities.com/i
score 100

definieren kann? Mein Problem ist, dass der Link mal so ist:


http://geocities.com/donniemcgee752
und
http://2323423.geocities.com/freudich
und
http://www.geocities.com/viagr752


Dass muss man doch unterbinden können. Gruß und Danke für jede Hilfe

abalorio
21.01.08, 15:36
Okay, hab es gefunden. Eigentlich ganz leicht, wenn man die Syntax kennt. Für alle die es auch benötigen können:


body GEOCITIES /\geocities\.com\//i
score GEOCITIES 10.0

pibi
21.01.08, 17:25
Okay, hab es gefunden. Eigentlich ganz leicht, wenn man die Syntax kennt. Für alle die es auch benötigen können:


body GEOCITIES /\geocities\.com\//i
score GEOCITIES 10.0Das waere mir persoenlich viel zu allgemein. Und mit einem viel zu hohen Score. Fehlalarme sind hier vorprogrammiert. Nimm lieber noch ein bis zwei andere Tests dazu. Und bringe Deinen Bayes-Filter in Ordnung, wie auch schon beschrieben wurde.

Wenn ich Deine Mail Nr.1 bei mir durch den Spamassassin jage, bringt sie uebrigens einen Score von 8.ungerade.

Fuer Deine Mail Nr.2 habe ich eine spezielle Erkennung:

3.3 FU_UKGEOCITIES URI: URL with [a-z]{2}.geocities.com
Dieser ist enthalten in "72_active.cf" aus neuesten Originalpaket.

Gruss Pit.

abalorio
24.01.08, 09:01
Wo bekomme ich die aktuellen Originalpakete her und gibt es ggf. eine Möglichkeit per Cronjob diese Listen immer auf den neuesten Stand zu halten? Wie macht Ihr das?

minni
24.01.08, 11:00
http://howtoforge.com/adding-and-updating-spamassassin-rulesets-with-rulesdujour

sysop
24.01.08, 12:42
wenn deine performance es zulässt razor oder pyzor könnten hilfreich sein.

abalorio
05.02.08, 09:41
http://howtoforge.com/adding-and-updating-spamassassin-rulesets-with-rulesdujour


Hi minni, erstmal danke für diesen Hinweis! Hört sich ja so echt klasse an. Ich hab es mir gerade angeschaut und eingerichtet. Die *.cf-Dateien die er mir allerdings unter /etc/mail/spamassassin erstellt sind von 2005. Wird daran überhaupt noch gearbeitet? Oder leg ich mir hier alte Daten aufs System?