info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
regex-milter pytanie
5 views
Skip to first unread message
LFC
Apr 29, 2020, 6:00:02 AM4/29/20
to
W układzie sendmail, spamassassin, clamav, regexmilter.
Ostatnio mnoży się spam z linkiem do loterii w temacie mający tylko cyfrę.
Spamassassin kosi to dziadostwo, ale ponieważ słany jest na aliasy to
każda taka wiadomość występuje w spamie tyle razy ile jest adresów w
aliasie.
Zajmuje to niepotrzebnie zasoby maszyny więc chciałbym to ciąć
regex-milterem, który po prostu odmówi dostępu, ale to, co działa w
spamassassinie nie działa w regexie.
konkretnie stworzyłem topic w assasinie:
header MAIL_SPAM_4 Subject =~ /^\d+$/
describe spam cyfry zamiast tematu
score 4.2
I to działa chociaż większośc z tych maili i tak jest wyłapywana również
z innych powodów
Ten sam zapis przeniesiony do regexa nie działa, tzn. widzę te poczty w
logu regexa z ACCEPTEM ale juz oznakowane jako SPAM. Wolałbym, żeby
regex wyciął klienta na etapie negocjacji przed spamassassinem i
procmailem, bo to zasadniczo zmniejszyłoby zaangażowanie sprzętu i ilość
maili do usunięcia.
Macie jakieś inny sposób, rozwiązanie?
LFC
Ostatnio mnoży się spam z linkiem do loterii w temacie mający tylko cyfrę.
Spamassassin kosi to dziadostwo, ale ponieważ słany jest na aliasy to
każda taka wiadomość występuje w spamie tyle razy ile jest adresów w
aliasie.
Zajmuje to niepotrzebnie zasoby maszyny więc chciałbym to ciąć
regex-milterem, który po prostu odmówi dostępu, ale to, co działa w
spamassassinie nie działa w regexie.
konkretnie stworzyłem topic w assasinie:
header MAIL_SPAM_4 Subject =~ /^\d+$/
describe spam cyfry zamiast tematu
score 4.2
I to działa chociaż większośc z tych maili i tak jest wyłapywana również
z innych powodów
Ten sam zapis przeniesiony do regexa nie działa, tzn. widzę te poczty w
logu regexa z ACCEPTEM ale juz oznakowane jako SPAM. Wolałbym, żeby
regex wyciął klienta na etapie negocjacji przed spamassassinem i
procmailem, bo to zasadniczo zmniejszyłoby zaangażowanie sprzętu i ilość
maili do usunięcia.
Macie jakieś inny sposób, rozwiązanie?
LFC
Piotr Lechowicz
Apr 29, 2020, 7:51:30 AM4/29/20
to
W dniu 2020-04-29 o 11:45, LFC pisze:
Jeżeli w temacie jest tylko jedna cyfra, to powinna zadziałać taka:
header /^Subject$/ /^\d$/
Z \d+ też powinna zadziałać, ale będzie łapać dodatkowo dwu- i więcej-cyfrowe liczby.
Nie za ostra ta brzytwa?
Możesz mieć sporo FP - trafiają się "mądrzy inaczej" userzy, którzy często walą w temacie samo "111" lub "123".
> tzn. widzę te poczty w logu regexa z ACCEPTEM ale juz oznakowane jako SPAM. Wolałbym, żeby regex wyciął klienta na etapie negocjacji przed spamassassinem i procmailem, bo to zasadniczo zmniejszyłoby
> zaangażowanie sprzętu i ilość maili do usunięcia.
Sprawdź kolejność wywoływania filtrów w sendmail.mc.
> W układzie sendmail, spamassassin, clamav, regexmilter.
> Ostatnio mnoży się spam z linkiem do loterii w temacie mający tylko cyfrę.
> Spamassassin kosi to dziadostwo, ale ponieważ słany jest na aliasy to każda taka wiadomość występuje w spamie tyle razy ile jest adresów w aliasie.
> Zajmuje to niepotrzebnie zasoby maszyny więc chciałbym to ciąć regex-milterem, który po prostu odmówi dostępu, ale to, co działa w spamassassinie nie działa w regexie.
> konkretnie stworzyłem topic w assasinie:
>
> header MAIL_SPAM_4 Subject =~ /^\d+$/
> describe spam cyfry zamiast tematu
> score 4.2
>
> I to działa chociaż większośc z tych maili i tak jest wyłapywana również z innych powodów
>
> Ten sam zapis przeniesiony do regexa nie działa
Nie pokazałeś reguły z milter-regex.
> Ostatnio mnoży się spam z linkiem do loterii w temacie mający tylko cyfrę.
> Spamassassin kosi to dziadostwo, ale ponieważ słany jest na aliasy to każda taka wiadomość występuje w spamie tyle razy ile jest adresów w aliasie.
> Zajmuje to niepotrzebnie zasoby maszyny więc chciałbym to ciąć regex-milterem, który po prostu odmówi dostępu, ale to, co działa w spamassassinie nie działa w regexie.
> konkretnie stworzyłem topic w assasinie:
>
> header MAIL_SPAM_4 Subject =~ /^\d+$/
> describe spam cyfry zamiast tematu
> score 4.2
>
> I to działa chociaż większośc z tych maili i tak jest wyłapywana również z innych powodów
>
> Ten sam zapis przeniesiony do regexa nie działa
Jeżeli w temacie jest tylko jedna cyfra, to powinna zadziałać taka:
header /^Subject$/ /^\d$/
Z \d+ też powinna zadziałać, ale będzie łapać dodatkowo dwu- i więcej-cyfrowe liczby.
Nie za ostra ta brzytwa?
Możesz mieć sporo FP - trafiają się "mądrzy inaczej" userzy, którzy często walą w temacie samo "111" lub "123".
> tzn. widzę te poczty w logu regexa z ACCEPTEM ale juz oznakowane jako SPAM. Wolałbym, żeby regex wyciął klienta na etapie negocjacji przed spamassassinem i procmailem, bo to zasadniczo zmniejszyłoby
> zaangażowanie sprzętu i ilość maili do usunięcia.
LFC
Apr 29, 2020, 2:40:02 PM4/29/20
to
W dniu 2020-04-29 o 13:50, Piotr Lechowicz pisze:
Jest tak, jak w konfigu przytoczonym w moim poprzednim wątku.
Kolejność definiowania filtrów ma znaczenie?
Bo pierwszy jest spamassassin, drugi clamav, a ostatni regex
LFC
Kolejność definiowania filtrów ma znaczenie?
Bo pierwszy jest spamassassin, drugi clamav, a ostatni regex
LFC
LFC
Apr 30, 2020, 5:00:03 AM4/30/20
to
YOU WIN 7.479 $ USA |
|||||||||
| And 5 more FREE tickets |
|||||||||
| Hurry up to pick up your winnings on our site! |
LFC
May 2, 2020, 3:00:02 PM5/2/20
to
W dniu 2020-04-29 o 13:50, Piotr Lechowicz pisze:
>
Poczytałem trochę i faktycznie kolejność filtrów ma znaczenie, chociaż
>
nie w każdej sytuacji. Poprawiłem konfig sendmaila, pozmieniałem w nim
timeouty, zgodnie z sugestiami i dodałem milter greylista.
Pierwszy jest regex, potem spamassassin, clamav i na końcu, jak
zalecają, greylist.
Przez cały dzień 3 poczty, w tym 2 spamassassin posłał w spam.
Bajka. Oby tak dalej.
LFC
Andrzej A. Filip
May 2, 2020, 3:05:43 PM5/2/20
to
LFC <lon...@mpwikzdw.com.pl> pisze:
Spamassassin i clamav potrzebują treści/całego maila.
Greylisting (zwykły) udupia lub sobie odpusza zanim zacznie się transfer
treści maila.
W sumie się dziwie że nie ma jeszcze trybu spamassassina do działania na
tym co jest dostępne przed komendą DATA protokołu SMTP.
--
Andrzej A. Filip
Greylisting (zwykły) udupia lub sobie odpusza zanim zacznie się transfer
treści maila.
W sumie się dziwie że nie ma jeszcze trybu spamassassina do działania na
tym co jest dostępne przed komendą DATA protokołu SMTP.
--
Andrzej A. Filip
LFC
May 2, 2020, 4:40:02 PM5/2/20
to
W dniu 2020-05-02 o 21:05, Andrzej A. Filip pisze:
>
> Spamassassin i clamav potrzebują treści/całego maila.
> Greylisting (zwykły) udupia lub sobie odpusza zanim zacznie się transfer
> treści maila.
>
I owszem, ale w opisie nt konfiguracji greylista z sendmailem w
komentarzu napisali, że jeżeli jest spam i clamav, greylist ma być
ostatni "otherwise things not necessarily work".
No to posłuchałem
LFC
>
> Spamassassin i clamav potrzebują treści/całego maila.
> Greylisting (zwykły) udupia lub sobie odpusza zanim zacznie się transfer
> treści maila.
>
komentarzu napisali, że jeżeli jest spam i clamav, greylist ma być
ostatni "otherwise things not necessarily work".
No to posłuchałem
LFC
Andrzej A. Filip
May 2, 2020, 5:01:25 PM5/2/20
to
LFC <lon...@mpwikzdw.com.pl> pisze:
Na chłopski rozum powinny działać tak czy siak ale jak tak napisali to
ktoś, kiedyś raczej się na coś naciął.
--
Andrzej A. Filip
ktoś, kiedyś raczej się na coś naciął.
--
Andrzej A. Filip
LFC
May 4, 2020, 5:00:02 AM5/4/20
to
W dniu 02.05.2020 o 23:01, Andrzej A. Filip pisze:
>>
>> I owszem, ale w opisie nt konfiguracji greylista z sendmailem w
>> komentarzu napisali, że jeżeli jest spam i clamav, greylist ma być
>> ostatni "otherwise things not necessarily work".
>> No to posłuchałem
>
> Na chłopski rozum powinny działać tak czy siak ale jak tak napisali to
> ktoś, kiedyś raczej się na coś naciął.
>
Czy można dodać grmilterowi zewnętrzny adres email, którego ma nie
greylistować?
Nie widzę w konfigu takiej opcji i nigdzie jawnie tego nie pisze.
Podane sa tylko broken networks, ale to sa IP sieci.
Jak zwykle nigdy do końca nie jest OK, bo wazny nadawca z domeny
mostostal.waw.pl nie przechodzi w greylistingu.
Widzę, ze oni ślą za pośrednictwem serwerów outlook.com, ale IP sa
różne, od sasa do lasa
Dorzuciłem zapis white users gdzie dałem emaile z naszej domeny, które
mają odbierac od nich pocztę, ale nie jestem pewien, czy to będzie dobrze.
>>
>> I owszem, ale w opisie nt konfiguracji greylista z sendmailem w
>> komentarzu napisali, że jeżeli jest spam i clamav, greylist ma być
>> ostatni "otherwise things not necessarily work".
>> No to posłuchałem
>
> Na chłopski rozum powinny działać tak czy siak ale jak tak napisali to
> ktoś, kiedyś raczej się na coś naciął.
>
greylistować?
Nie widzę w konfigu takiej opcji i nigdzie jawnie tego nie pisze.
Podane sa tylko broken networks, ale to sa IP sieci.
Jak zwykle nigdy do końca nie jest OK, bo wazny nadawca z domeny
mostostal.waw.pl nie przechodzi w greylistingu.
Widzę, ze oni ślą za pośrednictwem serwerów outlook.com, ale IP sa
różne, od sasa do lasa
Dorzuciłem zapis white users gdzie dałem emaile z naszej domeny, które
mają odbierac od nich pocztę, ale nie jestem pewien, czy to będzie dobrze.
LFC
May 4, 2020, 6:00:02 AM5/4/20
to
W dniu 02.05.2020 o 23:01, Andrzej A. Filip pisze:
>
>
> Na chłopski rozum powinny działać tak czy siak ale jak tak napisali to
> ktoś, kiedyś raczej się na coś naciął.
>
I jeszcze jedno - które IP z linii RECEIVED dać do broken networks z
> ktoś, kiedyś raczej się na coś naciął.
>
tych w źródle wiadomości?
Widzę tam m.in hosty ipv6, ale wyłaczyłęm obsługę ipv6
Received: from EUR04-HE1-obe.outbound.protection.outlook.com
(mail-eopbgr70122.outbound.protection.outlook.com [40.107.7.122])
by host.domena.com.pl (8.14.4/8.14.4) with ESMTP id xBJD2Xxw014261
for <inwes...@domena.com.pl>; Thu, 19 Dec 2019 14:02:34 +0100
...
Received: from AM6PR10MB2456.EURPRD10.PROD.OUTLOOK.COM (20.177.113.154) by
AM6PR10MB3112.EURPRD10.PROD.OUTLOOK.COM (20.179.3.31) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.2559.15; Thu, 19 Dec 2019 13:02:31 +0000
Received: from AM6PR10MB2456.EURPRD10.PROD.OUTLOOK.COM
([fe80::8029:91e4:4b31:7eb5]) by AM6PR10MB2456.EURPRD10.PROD.OUTLOOK.COM
([fe80::8029:91e4:4b31:7eb5%6]) with mapi id 15.20.2538.019; Thu, 19
Dec 2019
13:02:30 +0000
LFC
0 new messages