[procmail] Removing mail FROM
Kawaguti Ginga
このネタで,fj.news.system ってことは無いんじゃないですかね.
なので,仕切り直します.
<YAS.03Se...@kirk.is.tsukuba.ac.jp>の記事において
y...@is.tsukuba.ac.jpさんは書きました。
> Microsoft なんとかからの変なメールが大量に来ていますが、
> bsfilter (in Ruby) で、ほぼ 100% 弾けています。
>
> http://www.h2.dion.ne.jp/~nabeken/bsfilter/
>
> ただ、未だに MK の pick に噛ませて使っているので、メールが大
> 量にあると、対話的に使うと遅いんですよね。(←早く普通に
> .procmail から起動するようにすればいいんだけど。)
最近 bogofilter に意味もなく乗り換えてみるテスト中.
http://www.ginganet.org/ginga/memo/200309bogofilter.txt
> それはそれとして、procmail も使っているので、そちらで引っか
> けようとして、ルールを書いたら、なんか引っ掛からないなあと思っ
> たら、From: が From: でなくて、FROM: と全部大文字でした。MH
> の pick -from だと引っ掛かるのになあと思って、ちょっとはまり
> ました。
>
> とりあえず、今の procmail のフィルタはこんな感じです。
略
> もう少し凝ったものはないですか。本文使えばいいのかもしれませ
> んが。
本文を見るためには MIME 解析をかまさないといけないんですよね.
やってしまえばいいのかも知れませんが,procmail でも maildrop でも
その部分は一旦外部プログラムとの連携が入るので,ちょっと
面倒ですよね.
spamassassin でも使われている razor は原理的には
spam 登録済の checksum をみたりするので,ウィルス本体の
バイナリで引っ掛けるには具合いが良さそうです.
(MIME の中まで分解してみてくれるかどうかは知りません)
今のところ "今回は" の対処ですが,今後は
"swen なんてアマちゃんだったよなぁ"
という状況になっていくとすると,改めて対処方針を
考えないといけないかな.
--
∧∧
Zzz.. (- - )⌒⌒⊇~ 川口 銀河
############## gi...@athena.club.ne.jp
IIJIMA Hiromitsu
> このネタで,fj.news.system ってことは無いんじゃないですかね.
> なので,仕切り直します.
>
> > それはそれとして、procmail も使っているので、そちらで引っか
> > けようとして、ルールを書いたら、なんか引っ掛からないなあと思っ
> > たら、From: が From: でなくて、FROM: と全部大文字でした。MH
> > の pick -from だと引っ掛かるのになあと思って、ちょっとはまり
> > ました。
> >
> > とりあえず、今の procmail のフィルタはこんな感じです。
> 略
> > もう少し凝ったものはないですか。本文使えばいいのかもしれませ
> > んが。
私は本文も見てます。ここの真ん中へんの「ウイルス類」のところの
「fake-ms-patch」と「fake-audio」がそうです。
http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/spam.html
fake-audio のほうは、MAILER-DAEMON からの発信を装って、audio/x-wav の
添付ファイルを BGM として鳴らす HTML メールを送ってきて、しかし添付ファ
イルの拡張子は .exe だという…これをきちんとハネて、しかもまともなメール
(このメールを引用して内容を議論するもの)をハネないためには MIME 解析が
必要なので、Procmail 単体では無理です。
========================================================================
飯嶋 浩光 / でるもんた・いいじま http://www.ht.sakura.ne.jp/~delmonta/
IIJIMA Hiromitsu, aka Delmonta mailto:delm...@ht.sakura.ne.jp
NAKAMURA Kazushi
In article <bkgc0c$o30$1...@inb.m.ecl.ntt.co.jp>
gi...@athena.club.ne.jp writes:
>このネタで,fj.news.system ってことは無いんじゃないですかね.
>なので,仕切り直します.
了解。
In article <YAS.03Se...@kirk.is.tsukuba.ac.jp>
y...@is.tsukuba.ac.jp writes:
>とりあえず、今の procmail のフィルタはこんな感じです。
>
>:0
>* ^FROM:.*(Microsoft|Delivery|Security)
>* TO:
>* SUBJECT:
>swen/.
>
>:0
>* ^FROM:.*MS.*(Security|Network)
>* ^TO:
>* ^SUBJECT:
>swen/.
>
>もう少し凝ったものはないですか。本文使えばいいのかもしれませ
>んが。
全部、大文字なのを弾くということで、とりあえず以下のルールで
弾いています。ミソは":0 D:"とD付きな点。しかしサイズが大きいから、
受け取った時点で負けな気がする。ISDN64k回線が塞がりまくり。
:0 D:
* ^SUBJECT:
/dev/null
:0 D:
* ^FROM:
/dev/null
:0 D:
* ^TO:
/dev/null
--
中村和志@神戸 <mailto:k...@kobe1995.net>
NAKAMURA Kazushi@KOBE <http://kobe1995.net/>
- Break the hate chain. No more kill!
Yasushi Shinjo
なんか皆さんとメールの桁(数とバイト数)が違うなあと思ったら、
大学の入口のウイルス除去プログラムで跳ていて、かつ、その「跳
ました」という連絡を procmail の既存のルールで跳ていたという
ことでした。今、ログをみると、この24時間で 3000 くらい。
最初に SUBJECT: Security なんとかのメールが届いたのは、5月10
日ごろみたい。それには、GIBE.B ということになっていました。
SWEN.A は、、、9月18日。一昨日か。
In article <0309201612...@ns.kobe1995.net>
k...@kobe1995.net (NAKAMURA Kazushi) writes:
> 全部、大文字なのを弾くということで、とりあえず以下のルールで
> 弾いています。ミソは":0 D:"とD付きな点。しかしサイズが大きいから、
> 受け取った時点で負けな気がする。ISDN64k回線が塞がりまくり。
なるほど。^From: と ^FROM: は D なしだと同じ扱いのはずなんだ
けど、効いていなかったのは気のせいかなあ。
In article <m2u1782...@qed.decode.waseda.ac.jp>
TATSUMI Takeo <tat...@qef.h.kobe-u.ac.jp> writes:
> 神戸大学の辰己です。
> とりあえず、こんなので防いでみました。
> (わざと JISX 0208 にしてあるので、お使いの際は ASCIIに直して下さい。)
何か魔除けかなにかですか。とりあえず hankaku-region しておき
ます。
------------------------------------------------------------
:0 B
* ^this is the latest version of security update.*
virus/.
:0 B
*
^ASvqxgE66scBnurGAdL1zQEx6sYBguzAATvqxgFSaWNoOurGAQAAAAAAAAAAUEUAAEwBBABwy2E/$
virus/.
------------------------------------------------------------
外から飛んでくる ALART が煩いんだよなあ。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\
IIJIMA Hiromitsu
>
> 何か魔除けかなにかですか。とりあえず hankaku-region しておき
> ます。
ネットニュースの記事を読むときにも人によってはフィルタが作動して辰巳さん
の記事が読めなくなるのでは、という配慮だと思います。
> ------------------------------------------------------------
> :0 B
> * ^this is the latest version of security update.*
> virus/.
:0 Bh としないとダメです。あっという間に quota が溢れ返ります。
> 外から飛んでくる ALART が煩いんだよなあ。
私はそういうのは spam/quarantined という場所に振り分けるようにしています。
私の .procmailrc は
http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/spam.html
参照。
Yasushi Shinjo
In article <3F6D00A8...@ht.sakura.ne.jp>
IIJIMA Hiromitsu <delm...@ht.sakura.ne.jp> writes:
> > > (わざと JISX 0208 にしてあるので、お使いの際は ASCIIに直して下さい。)
> ネットニュースの記事を読むときにも人によってはフィルタが作動して辰巳さん
> の記事が読めなくなるのでは、という配慮だと思います。
なるほど。そんな機能があるニュースリーダにはどんなものがあり
ますか? Followup-To: fj.news.reader
> :0 Bh としないとダメです。あっという間に quota が溢れ返ります。
h は、うちの man には default と書いてあるけれど、Bh で、ヘッ
ダだけ保存という意味ですか。
http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/.procmailrc
------------------------------------------------------------
# MS からのセキュリティパッチだと称してウイルスを送ってくる。
# 改行位置の違う変種が出たので、なるべく短い文面でヒットさせるように変更。
# めっきり数が増えて、一時は減ったが03年9月にまた増えた。
# サイズがでかいので、ヘッダのみ保存。
:0 Bh
* ^this is the latest version of security update, the
* ^"[a-z]+ [0-9]+, Cumulative Patch" update which
* ^(all )?known security vulnerabilities affecting
spam/fake-ms-patch
------------------------------------------------------------
> > 外から飛んでくる ALART が煩いんだよなあ。
> 私はそういうのは spam/quarantined という場所に振り分けるようにしています。
> 私の .procmailrc は
> http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/spam.html
------------------------------------------------------------
:0 H
* ^From perl-win32.*-ad...@listserv.activestate.com
* ^X-Perlmx-Virus-Detected
spam/quarantined
:0 B
* ^This message has been processed by .+ using Brightmail
spam/quarantined
------------------------------------------------------------
反撃は効かないと思いますよ。偽物かもしれないし。
TATSUMI Takeo
y...@is.tsukuba.ac.jp (Yasushi Shinjo) writes:
> 新城@筑波大学情報です。こんにちは。
>>>> (わざと JISX 0208 にしてあるので、お使いの際は ASCIIに直して下さい。)
>> ネットニュースの記事を読むときにも人によってはフィルタが作動して辰
>> 巳さんの記事が読めなくなるのでは、という配慮だと思います。
> なるほど。そんな機能があるニュースリーダにはどんなものがありますか?
> Followup-To: fj.news.reader
news2mail とか?
昨日よりはペースが落ちましたね。「Rejectしたよ」って報告がうるさいけど。
IIJIMA Hiromitsu
> > :0 Bh としないとダメです。あっという間に quota が溢れ返ります。
>
> h は、うちの man には default と書いてあるけれど、Bh で、ヘッ
> ダだけ保存という意味ですか。
いえ。デフォルトは BHbh なんです。B はボディとマッチングをする、H はヘッ
ダとマッチングをする、b はボディを保存する、h はヘッダを保存する。
で、b なしで h だけを書くと、ヘッダのみ保存になります。
B なしで H をつけるとボディはマッチング対象にしない、ってのはよくやります
よね。
TATSUMI Takeo
IIJIMA Hiromitsu <delm...@ht.sakura.ne.jp> writes:
> > > :0 Bh としないとダメです。あっという間に quota が溢れ返ります。
> いえ。デフォルトは BHbh なんです。B はボディとマッチングをする、H はヘッ
> ダとマッチングをする、b はボディを保存する、h はヘッダを保存する。
どうもお手をわずらわせてすみません。 h をつける件は、わざとそうしてあ
ります。というのも今は(自分は)保存モードに入っていて、しかも
/dev/ad0s1h 18728326 2486428 14743632 14% /home
なので、たぶん、大丈夫だと思っています…。
研究対象としては、いつまで続くか見ていたいものです。
Fujii Hironori
Kawaguti Ginga wrote:
> <YAS.03Se...@kirk.is.tsukuba.ac.jp>の記事において
> y...@is.tsukuba.ac.jpさんは書きました。
> > Microsoft なんとかからの変なメールが大量に来ていますが、
> > bsfilter (in Ruby) で、ほぼ 100% 弾けています。
> >
> > http://www.h2.dion.ne.jp/~nabeken/bsfilter/
> >
> > ただ、未だに MK の pick に噛ませて使っているので、メールが大
> > 量にあると、対話的に使うと遅いんですよね。(←早く普通に
> > .procmail から起動するようにすればいいんだけど。)
捨てる訳にいかないメールアドレスなので、
なべけんさんの bsfilter を試してみました。
検出率には満足できそうですが、結構遅いのが気になりますね。
朝、パソコンの電源入れてメールを取りにいくと、しばらく CPU が回ってます。
でも、SpamAssassin よりかは早いようですが。
> 最近 bogofilter に意味もなく乗り換えてみるテスト中.
> http://www.ginganet.org/ginga/memo/200309bogofilter.txt
この方法では日本語を食わすと単語のデータベースが肥大化しませんか?
kakasi とかでわかち書きする方法があるようです。
Bogofilter - スパムとのたたかい
http://uva.jp/dh/mt/archives/000509.html
bogofilter + kakasi
http://www.ono.org/software/bogofilter/
以下のページを読んで、CRM114 というのが気になるのですが、
日本語の情報が見当たらないです。
どなたか使っている人いますか?
あまりの変態的言語に試す前に挫折してしまいました。
http://www.shiro.dreamhost.com/scheme/trans/better-j.html
CRM114はまっとうなテキスト分類装置だが、
spamを取り除いているという意識さえ無しに
spamをほぼ完璧に取り除くことができるほど、
非常に効果的なものだ。
CRM114 - the Controllable Regex Mutilator
http://crm114.sourceforge.net/
---
藤井宏憲
Fujii Hironori
Fujii Hironori wrote:
> なべけんさんの bsfilter を試してみました。
> 検出率には満足できそうですが、結構遅いのが気になりますね。
下の2つを実行してて、処理速度に違いがあることに気づきました。
$ bsfilter ~/Mail/inbox/*
$ bsfilter ~/Mail/junk/*
bsfilter がどのように処理しているのかは知りませんが、
どうやら、 swen のような大きな添付ファイルを持つものは
高速化の余地があるようです。たとえば、
$ egrep -v '^[a-zA-z0-9/+]{76}$' | bsfilter
でもこれだと、 text/plain や text/html まで取れてしまうのでいやですが。
---
藤井宏憲