Topic: Regole per spamassassin

[fix]

Ciao ragazzi,
lo spam mi stà uccidendo
Ho la necessità di personalizzare le regole di spamassasin.
A questo link credo di aver trovato qualcosa. http://wiki.contribs.org/Email#Custom_Rule_Scores
Vorrei stabilire una regola, che verifichi il contenuto dell'oggetto della e-mail e che gli attribuisca un punteggio.
Ditemi che è possibile.
Buon lavoro a tutti
 

[Stefano]

Ciao

le regole sull'oggetto non valgono nulla, fidati.

come è configurato il tuo spamassassin? usi le Blacklist?

per piacere, posta:

Code: [Select]

config show qpsmtpd
config show spamassassin

nel caso volessi proseguire, google ha almeno uno zilione di link a tua disposizione.. qualcosa tipo "spamassassin custom rule" dovrebbe già darti sei link

Ciao
Stefano

[fix]

Ciao Stefano,
sapevo che saresti stato il primo...come al solito
Ti posto cioò che hai chiesto, ma prima ti volevo dire una cosa.
Preso dalla disperazione per lo SPAM eccessivo, ho fatto passare il mailserver attraverso "Endian Firewall", attivando l'opzione per lo spam.
Endian contrassegna lo spam con +++SPAM+++ e lo fa benino.
Solo che le e-mail arrivano ugualmente agli utenti, ovviamente con l'oggetto modificato.
In SME io invece ho la cartella "Junkmail" nella quale mi confluisce tutto lo SPAM. Ricordi..."spamboss" al quale arriva tutto lo spam
Ora non ti incazz.........Mi son detto.. se io dico a spamassassin di considerare spam tutto ciò che nel "Subjet" è contrassegnato da Endian Firewall con +++SPAM+++,
anche queste e-mail mi finiscono nella cartella junkmail.

Sei già incazz, vero?


Forse è megli che posto ciò che hai chiesto....

Code: [Select]

config show qpsmtpd
qpsmtpd=service
    Bcc=disabled
    BccMode=cc
    BccUser=maillog
    DNSBL=disabled
    LogLevel=6
    MaxScannerSize=25000000
    RBLList=bl.spamcop.net:combined.njabl.org:dnsbl.ahbl.org:dnsbl-1.uceprotect.net:dnsbl-2.uceprotect.net:list.dsbl.org:multihop.dsbl.org:psbl.surriel.com:zen.spamhaus.org
    RHSBL=disabled
    RequireResolvableFromHost=no
    SBLList=bogusmx.rfc-ignorant.org:multi.surbl.org:black.uribl.com:rhsbl.sorbs.net:bulk.rhs.mailpolice.com:fraud.rhs.mailpolice.com:porn.rhs.mailpolice.com:adult.rhs.mailpolice.com:ex.dnsbl.org
    access=public
    qplogsumm=disabled
    status=enabled

poi.....

Code: [Select]

config show spamassassin
spamassassin=service
    BayesAutoLearnThresholdNonspam=0.10
    BayesAutoLearnThresholdSpam=4.00
    DNSAvailable=yes
    MessageRetentionTime=90
    OkLanguages=all
    OkLocales=all
    RejectLevel=12
    ReportSafe=0
    Sensitivity=custom
    SkipRBLChecks=0
    SortSpam=enabled
    Subject=[SPAM]
    SubjectTag=enabled
    TagLevel=5
    UseBayes=1
    status=enabled

Ciao ragazzi....e grazie come al solito.

 

[Stefano]

fammi capire: fai 2 controlli antispam?

Ciao

Stefano

[fix]

Si, ne ho attivati due, ma solo perchè ero disperato.
Ho il Segretario Generale alle costole
Ciao ciao

[Stefano]

ciao

proverei a fare, intanto, qualcosa tipo

Code: [Select]

config setprop qpsmtpd DNSBL enabled
config setprop qpsmtpd RHSBL enabled
signal-event email-update

e vedrei se le cose cambiano

OCCHIO: prima di attivare RHSBL assicurati di aver effettuato tutti gli aggiornamenti.. vedi topic http://forums.contribs.org/index.php?topic=42254.0

poi prova a vedere se le cose migliorano..

Quanto poi al doppio controllo antispam io lo ritengo inutile e potenzialmente pericolosa.. a questo punto sceglierei a chi affidare il servizio, se a SME oppure a Endian..

Ciao
Stefano

[Incognito]

Ciao Stefano,
sapevo che saresti stato il primo...come al solito
Ti posto cioò che hai chiesto, ma prima ti volevo dire una cosa.
Preso dalla disperazione per lo SPAM eccessivo, ho fatto passare il mailserver attraverso "Endian Firewall", attivando l'opzione per lo spam.
Endian contrassegna lo spam con +++SPAM+++ e lo fa benino.
Solo che le e-mail arrivano ugualmente agli utenti, ovviamente con l'oggetto modificato.
In SME io invece ho la cartella "Junkmail" nella quale mi confluisce tutto lo SPAM. Ricordi..."spamboss" al quale arriva tutto lo spam
Ora non ti incazz.........Mi son detto.. se io dico a spamassassin di considerare spam tutto ciò che nel "Subjet" è contrassegnato da Endian Firewall con +++SPAM+++,
anche queste e-mail mi finiscono nella cartella junkmail.

Sei già incazz, vero?


Forse è megli che posto ciò che hai chiesto....

Code: [Select]

config show qpsmtpd
qpsmtpd=service
    Bcc=disabled
    BccMode=cc
    BccUser=maillog
    DNSBL=disabled
    LogLevel=6
    MaxScannerSize=25000000
    RBLList=bl.spamcop.net:combined.njabl.org:dnsbl.ahbl.org:dnsbl-1.uceprotect.net:dnsbl-2.uceprotect.net:list.dsbl.org:multihop.dsbl.org:psbl.surriel.com:zen.spamhaus.org
    RHSBL=disabled
    RequireResolvableFromHost=no
    SBLList=bogusmx.rfc-ignorant.org:multi.surbl.org:black.uribl.com:rhsbl.sorbs.net:bulk.rhs.mailpolice.com:fraud.rhs.mailpolice.com:porn.rhs.mailpolice.com:adult.rhs.mailpolice.com:ex.dnsbl.org
    access=public
    qplogsumm=disabled
    status=enabled

poi.....

Code: [Select]

config show spamassassin
spamassassin=service
    BayesAutoLearnThresholdNonspam=0.10
    BayesAutoLearnThresholdSpam=4.00
    DNSAvailable=yes
    MessageRetentionTime=90
    OkLanguages=all
    OkLocales=all
    RejectLevel=12
    ReportSafe=0
    Sensitivity=custom
    SkipRBLChecks=0
    SortSpam=enabled
    Subject=[SPAM]
    SubjectTag=enabled
    TagLevel=5
    UseBayes=1
    status=enabled

Ciao ragazzi....e grazie come al solito.

 

Visto che il filtraggio lo fa già Endian Firewall segui il discorso del topic salvare gli allegati di SME
http://forums.contribs.org/index.php?topic=41872.0

solo che la tua regola in procmail sarà:

:0:
* ^X-Spam: YES
/dev/null

Se viene inpostato il flag di spam da Endian altrimenti fai una ricerca nell'oggetto:

:0:
* ^Subject: .*++++++SPAM++++++*
/dev/null

(i + sono doppi perchè nelle espressioni regolari il + è un carattere speciale)

e non hai necessità di script.

Entrambe le regole eliminano direttamente le mail, la prima usa un flag che viene impostato quando viene riconosciuta una mail come spam, non sarà possibile recuperarle quindi occhio.
Se Endian usa il flag di spam, usa pure la prima regola.

[nicolatiana]

Ciao Fix

se dovessi proprio essere disperato da una occhiata a Esva (www.global-domination.org). E' una virtual machine preconfezionata per Vmware basata su Centos 5.2 che combina dentro Mailscanner, Clamav, Spamassassin, Razor ecc + Greylisting tutta gestita via Web (Console della gestione msg + Webmin).

E' pensato per domini di posta (= il provider ti gira completamente tutta la posta destinata a *@tuodominio.it quindi no fetchmail su caselle Aruba o Alice, tanto per intendersi) e usa postfix o direttamente o come elemento di transport verso un altro server di posta, ad esempio il server qmail di SME.

La sto usando con ottimi risultati in ambienti dove sono presenti Groupwise e  Merak ed ha parecchie possibilità di gestione/classificazione dei messaggi oltre a numerosi tool di reporting che ti danno al volo una idea di quel che succede.

E' gratuito ma come SME merita davvero una donazione da chi lo implementa.

Saluti

Nicola

[Stefano]

da una occhiata a Esva (www.global-domination.org).
Nicola

molto interessante sta cosetta.. segnata nei bookmark, vedi mai

grazie e ciao
Stefano

[fix]

Ciao a tutti, so che non vi sono mancato, ma rieccomi.
Ho fatto qualche prova...mi sono fatto aiutare da un collega di  un'altro Comune che conosce bene Gentoo.
Consci del fatto che Sme è SMe e non "Solo Linux"  e che non si stava "smanettando" su parametri che avrebbero potuto determinare la distruzione del Server di Posta, abbiamo attuato quanto segue.

- è stato  abilitato

Code: [Select]

DNSBL  e RHSBL
- è stato mantenuto attivo il controllo dello SPAM con Endian Firewall (contrassegna lo SPAM con +++SPAM+++)

- è stato creato il seguente percorso

Code: [Select]

/etc/e-smith/templates-custom/etc/mail/spamassassin/local.cf
- al suo interno è stato creato un file chiamato

Code: [Select]

80_LOCAL_FIREWALL.cf
che contiene il seguente codice

Code: [Select]

header LOCAL_SPAMFIREWALL Subject =~ /\+\+\+SPAM\+\+\+/
score  LOCAL_SPAMFIREWALL 10.0

che in pratica credo voglia dire "trova nel campo "Oggetto" delle e-mail il testo +++SPAM+++
ed attribuiscigli 10 punti

Quindi, tutte le e-mail contrassegnate come SPAM da Endian, anche per SME sono SPAM in quanto la soglia che ho impostato su SME per lo SPAM è 5.0

Il doppio controllo funziona bene, forse non mi licenziano!

Poi, non contento poichè volevo abbassare il valore di

Code: [Select]

HELO_LOCALHOST che mi pare di default sia intorno a 4.5  e poichè ho deciso di non attribure alcun punteggio agli "Oggetti" delle e-mail scritti tutti in maiuscolo,
sempre all'interno del percorso suddetto ho creato un file

Code: [Select]

local.cf
che contiene

Code: [Select]

score HELO_LOCALHOST 2.00
score SUBJ_ALL_CAPS 0.00
Oh, ragazzi funziona tutto a meraviglia.
Che c..lo

P.S. Per Stefano, verifica cosa ho scritto e se sono cazz.....e vacci pure piatto.
Nessuna "pietas"
Bye ragazzi

[Stefano]

ciao

solo per curiosità (ho un dubbio), posti qui il file
/etc/mail/spamassassin/local.cf?

ciao e grazie
Stefano

[fix]

Ciao,
ecco il contenuto del file

Code: [Select]

dns_available yes
internal_networks 192.168.2.253
lock_method flock

ok_locales all
bayes_path /var/spool/spamd/.spamassassin/bayes
bayes_file_mode 750
auto_whitelist_path /var/spool/spamd/.spamassassin/auto-whitelist
auto_whitelist_file_mode 750
report_safe 0
required_score 5
rewrite_header Subject [SPAM]
skip_rbl_checks 0
clear_trusted_networks
trusted_networks 192.168.2.253
use_auto_whitelist 0
use_bayes 1
whitelist_from x.y@comune.xxxxxxxxx.it.
 
 
header LOCAL_SPAMFIREWALL Subject =~ /\+\+\+SPAM\+\+\+/
score  LOCAL_SPAMFIREWALL 10.0
score HELO_LOCALHOST 2.00
score SUBJ_ALL_CAPS 0.00
(il nominativo delle "whitelist_from" oviamente è differnte nel file)

Fammi sapere...ciao e grazie come al solito

[Stefano]

ciao

il mio dubbio è risultato infondato.. tutto ok..

Resto sempre dell'idea che un doppio controllo sia inutile e potenzialmente pericoloso, ma si tratta di una mia personalissima (ed opinabilissima) opinione

ciao

Stefano

[Incognito]

ciao

il mio dubbio è risultato infondato.. tutto ok..

Resto sempre dell'idea che un doppio controllo sia inutile e potenzialmente pericoloso, ma si tratta di una mia personalissima (ed opinabilissima) opinione

ciao

Stefano

Inutile sicuro, potenzialmente pericoloso mi lascia qualche dubbio dato che non elimina direttamente lo spam.
Personalmente avrei puntato più sul flag di spam che sull'oggetto.

[Stefano]

Inutile sicuro, potenzialmente pericoloso mi lascia qualche dubbio dato che non elimina direttamente lo spam.

spiego il potenzialmente:
- ha i filtri bayesiani attivi e quindi essi verranno "inquinati".. col risultato che la capacità di riconoscimento calerà
- mette i messaggi in junkmail.. ed ha impostato MessageRetentionTime=90.. a mio modesto parere, se è sommerso di spam, quella cartella non la filerà nessuno e se ci sono falsi positivi sono destinati a sparire..

naturalmente ciò può essere definito come paranoia ma con i tempi che corrono, perdere una mail può essere un problema

i miei 2€c

ciao
Stefano

[fix]

Grazie ragazzi delle vostre opinioni.
Preciso solo una cosa.
La cartella "Junkmail", raccoglie tutto lo spam di tutte le caselle di posta del Comune.
E' una cartella IMAP che leggo solo io dal mio pc
Ogni giorno la controllo e verifico se vi sia finita dentro qualche e-mail che nn è proprio SPAM.
Nel caso, la rigiro all'utente cui è destinata.
Poi cancello tutto ciò che è veramente posta indesiderata.
Non entro nel merito del funzionamento dei "filtri bayesiani", che solo a nominarli mi viene un crampo alla lingua.
Sono sempre e comunque molto gradite le "opinioni personali" e soprattutto quelle "opinabili" altrimenti, anzichè nel forum scriveremmo i "Vangeli"!
Ciao a tutti e grazie della collaborazione.
E qui lo devo....un ringraziamento speciale per Stefano

P.S. Se io verificassi le e-mai che contrassegna Endian come SPAM e "capissi" perchè sfuggono a SME, potrei impostare su SME le regole per fargli riconoscere anche quei messaggi come SPAM e togliere il controllo di Endian.

O no?

[Stefano]

La cartella "Junkmail", raccoglie tutto lo spam di tutte le caselle di posta del Comune.
E' una cartella IMAP che leggo solo io dal mio pc
Ogni giorno la controllo e verifico se vi sia finita dentro qualche e-mail che nn è proprio SPAM.

non entro nel merito, ma mi pare una attività time-consuming non da poco

Non entro nel merito del funzionamento dei "filtri bayesiani", che solo a nominarli mi viene un crampo alla lingua.

senza entrare troppo nel dettaglio, la logica bayesiana che sta dietro a spamassassin, tramite un iniziale training, è in grado di "auto-apprendere" dai messaggi di posta che analizza e di migliorare la capacità di riconoscimento dello spam secondo un principio che non è esprimibile con formule e/o regole.
di norma, appena installato il server e tramite sa-learn, si danno in pasto a spamassassin mail "buone" e mail "cattive" in quantità sufficiente affinche esso possa stabilire delle regole (tutto basato su statistiche, probabilità ed altre cosette matematiche).. da quel punto in poi, avendo "use_bayes" a 1, il server autoapprende e si regola di conseguenza. per qualsiasi altro chiarimento direi che google è a tua completa ed incondizionata disposizione

P.S. Se io verificassi le e-mai che contrassegna Endian come SPAM e "capissi" perchè sfuggono a SME, potrei impostare su SME le regole per fargli riconoscere anche quei messaggi come SPAM e togliere il controllo di Endian.

beh, prima di tutto:
- endian è direttamente su wan e quindi risponde lui sulla 25: da qui l'uso massiccio delle BL e quindi la possibilità di blocco delle mail già a livello di transazione SMTP
- se su endian c'è spamassassin, potresti guardare il suo file di configurazione e confrontarlo con quello di sme.

confronta poi eventuali regole create "ad hoc" su endian o l'utilizzo di ruleset esterni e, naturalmente, la versione di spamassassin..
verifica inoltre se su endian è attivo il graylisting

per attivarlo su SME, questo è un post interessante.. ci sono anche delle statistiche.

se non sai cos'è il graylisting, clicca qui

se replicassi la stessa conf su SME direi che il comportamento dovrebbe essere lo stesso..

ciao e buon lavoro..

Stefano