Spamassassin und MICROSOFT_EXECUTABLE

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
truenoir
Posts: 36
Joined: 2004-02-23 13:24
Location: Berlin

Spamassassin und MICROSOFT_EXECUTABLE

Post by truenoir » 2004-03-10 11:49

Hi Spamassassin-Experten,

ich hab doch gestern wirklich das erste mal einige duzend (!) Würmer-Mails bekommen, in denen die berühmten PIF-Dateien drinn waren.

Mein Spamassassin filtert ja EXE-Dateien sofort aus:

Code: Select all

X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 2.63 (2004-01-11) on 
        pxxxxxx.pureserver.info
X-Spam-Level: ******
X-Spam-Status: Yes, hits=6.1 required=5.0 tests=MICROSOFT_EXECUTABLE 
        autolearn=no version=2.63 :-D 
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------=_404EEB4D.B508F099"
Status: U

This is a multi-part message in MIME format.

------------=_404EEB4D.B508F099
Content-Type: text/plain
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

Software zur Erkennung von "Spam" auf dem Rechner "pxxxxxxxx.pureserver.info" hat diese
[....]
Inhaltsanalyse im Detail:   (6.1 Punkte, 5.0 benötigt)

Pnkt Regelname              Beschreibung
---- ---------------------- --------------------------------------------------
 6.1 MICROSOFT_EXECUTABLE   RAW: Nachricht enthält ausführbares Program für MS-Windows

Die ursprüngliche Nachricht enthielt nicht ausschließlich Klartext
(plain text) und kann eventuell eine Gefahr für einige E-mail-Programme
darstellen falls sie z.B. einen Computervirus enthält.
Möchten Sie die Nachricht dennoch ansehen ist es wahrscheinlich
sicherer sie zuerst in einer Datei zu speichern und diese Datei danach
mit einem Editorprogramm zu öffnen.


------------=_404EEB4D.B508F099
Content-Type: message/rfc822; x-spam-type=original
Content-Description: original message before SpamAssassin
Content-Disposition: attachment
Content-Transfer-Encoding: 8bit

Return-Path: <xxxxx@gmx.net>
[...]
To: spamtest@xxxxxxxxx.de
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="========GMXBoundary124931078913868"
Subject: exe-file
X-Priority: 3 (Normal)
X-Authenticated: #569468
X-Mailer: WWW-Mail 1.6 (Global Message Exchange)
X-Flags: 0001

This is a MIME encapsulated multipart message -
please use a MIME-compliant e-mail program to open it.

Dies ist eine mehrteilige Nachricht im MIME-Format -
bitte verwenden Sie zum Lesen ein MIME-konformes Mailprogramm.

--========GMXBoundary124931078913868
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit



-- 
+++ NEU bei GMX und erstmalig in Deutschland: TÃ?V-geprüfter Virenschutz +++
100% Virenerkennung nach Wildlist. Infos: http://www.gmx.net/virenschutz
--========GMXBoundary124931078913868
Content-Type: application/octet-stream; name="md5sum.exe"
Aber die PIF-Dateien werden komischerweise nicht erkannt, obwohl die doch wohl auch zu des Executables gehören, oder?

Code: Select all

X-Spam-Checker-Version: SpamAssassin 2.63 (2004-01-11) on 
        pxxxxxxx.pureserver.info
X-Spam-Level: 
X-Spam-Status: No, hits=0.0 required=5.0 tests=none autolearn=no version=2.63

This is a MIME encapsulated multipart message -
please use a MIME-compliant e-mail program to open it.

Dies ist eine mehrteilige Nachricht im MIME-Format -
bitte verwenden Sie zum Lesen ein MIME-konformes Mailprogramm.

--========GMXBoundary42211078914513
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit



-- 
+++ NEU bei GMX und erstmalig in Deutschland: TÃ?V-geprüfter Virenschutz +++
100% Virenerkennung nach Wildlist. Infos: http://www.gmx.net/virenschutz
--========GMXBoundary42211078914513
Content-Type: application/octet-stream; name="_default.pif"
Desweiteren steht in der /etc/mail/spamassassin/local.cf auch auto_learn 1 drinn, allerdings steht im Mail-Header dann immer autolearn=no

Woran kann das liegen?

PS: In Sachen Spamassassin hab ich noch nicht so viel Ahnung, bin aber froh, das es überhaupt läuft :-D

dimaki
Posts: 66
Joined: 2002-11-07 14:45

Re: Spamassassin und MICROSOFT_EXECUTABLE

Post by dimaki » 2004-03-10 12:56

Desweiteren steht in der /etc/mail/spamassassin/local.cf auch auto_learn 1 drinn, allerdings steht im Mail-Header dann immer autolearn=no
- Erstens musst Du spamassassin eine bestimmte Anzahl von spam und ham-mails lernen - glaub 200 - bis die autolearn Funktion überhaupt arbeitet.

- Zweitens gibt es einen Threshold-Level für spam und für ham. Erst, wenn die hits da drüber liegen wird es automatisch als spam gelernt. Gleiches gilt für ham. Erst wenn die hits unter der ham-Schwelle liegen wird es als ham gelernt. Standardwerte findest Du unter http://www.spamassassin.org
Das hat nichts zu tun mit dem required wert!

truenoir
Posts: 36
Joined: 2004-02-23 13:24
Location: Berlin

Re: Spamassassin und MICROSOFT_EXECUTABLE

Post by truenoir » 2004-03-10 13:12

dimaki wrote:- Erstens musst Du spamassassin eine bestimmte Anzahl von spam und ham-mails lernen - glaub 200 - bis die autolearn Funktion überhaupt arbeitet.
Und das mach ich dann mit dem sa-learn, richtig?
Na dann werd ich mal ein par solcher Mails sammeln und dem das zu Futtern geben.
Bleibt noch das erste, eigentlich wichtigere Problem mit den PIF-Dateien....

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spamassassin und MICROSOFT_EXECUTABLE

Post by dodolin » 2004-03-10 13:44

- Erstens musst Du spamassassin eine bestimmte Anzahl von spam und ham-mails lernen - glaub 200 - bis die autolearn Funktion überhaupt arbeitet.
Quark mit Soße.
Aber die PIF-Dateien werden komischerweise nicht erkannt, obwohl die doch wohl auch zu des Executables gehören, oder?
MICROSOFT_EXECUTABLE findet _viele_ Dinge nicht, die jeder normale Mensch als "gefährlich" einstufen würde. Merke: SA ist kein Viren-/Wurmfänger, für solche Aufgaben sollte man besser dedizierte Tools verwenden, die dann nach Mime-Typ, Dateiendung etc. filtern oder gleich einen Virenscanner.
Desweiteren steht in der /etc/mail/spamassassin/local.cf auch auto_learn 1 drinn, allerdings steht im Mail-Header dann immer autolearn=no
http://eu.spamassassin.org/doc/Mail_Spa ... %20options
http://wiki.spamassassin.org/w/BayesFaq
http://wiki.spamassassin.org/w/AutolearningNotWorking

truenoir
Posts: 36
Joined: 2004-02-23 13:24
Location: Berlin

Re: Spamassassin und MICROSOFT_EXECUTABLE

Post by truenoir » 2004-03-10 14:59

dodolin wrote:MICROSOFT_EXECUTABLE findet _viele_ Dinge nicht, die jeder normale Mensch als "gefährlich" einstufen würde. Merke: SA ist kein Viren-/Wurmfänger, für solche Aufgaben sollte man besser dedizierte Tools verwenden, die dann nach Mime-Typ, Dateiendung etc. filtern oder gleich einen Virenscanner.
Aber soweit ich das verstanden habe, geht MICROSOFT_EXECUTABLE nur nach den Dateiendungen (so stehts zumindest im Quelltext). Und pif ist dort unter anderem auch mit exe und com aufgeführt. Trotzdem erkennt er die Datei nicht.

Das mit dem Virenscanner hab ich auch schon versucht, aber den bekomme ich mit Sendmail einfach nicht zum laufen. Daher dachte ich auch, das die Markierung der Mails mit "PIF"-Dateien als Spam für mich ausreichend ist :)

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spamassassin und MICROSOFT_EXECUTABLE

Post by dodolin » 2004-03-10 15:49

Aber soweit ich das verstanden habe, geht MICROSOFT_EXECUTABLE nur nach den Dateiendungen (so stehts zumindest im Quelltext). Und pif ist dort unter anderem auch mit exe und com aufgeführt.
Wo steht das?
Also in meinem SA-Source (2.63) findet sich in EvalTests.pm was ganz anderes. Da geht es nicht um Dateiendungen (das wäre ja auch trivial zu fälschen).

truenoir
Posts: 36
Joined: 2004-02-23 13:24
Location: Berlin

Re: Spamassassin und MICROSOFT_EXECUTABLE

Post by truenoir » 2004-03-11 07:21

dodolin wrote:Also in meinem SA-Source (2.63) findet sich in EvalTests.pm was ganz anderes. Da geht es nicht um Dateiendungen (das wäre ja auch trivial zu fälschen).
Wie gesagt hab ich von all dem noch nicht so viel Ahnung, aber in meiner lib/Mail/SpamAssassin/EvalTests.pm steht bei unter anderem folgendes drinn:

Code: Select all

sub _check_mime_header {
  my ($self, $ctype, $cte, $cd, $charset, $name) = @_;

  if ($ctype =~ m@^text/html@i) {
    $self->{mime_body_html_count}++;
  }
  elsif ($ctype =~ m@^(?:text|message)@i) {
    $self->{mime_body_text_count}++;
  }

[... noch viel mehr ...]

  if ($name && $ctype ne "application/octet-stream") {
    # MIME_SUSPECT_NAME triggered here
    $name =~ s/.*.//;
    $ctype =~ s@/(x-|vnd.)@/@;

    if (((($name eq "txt") || ($name =~ /^[px]?html?$/) ||
          ($name eq "xml")) &&
         ($ctype !~
          m@^text/(?:plain|[px]?html?|english|sgml|xml|enriched|richtext)@) &&
         ($ctype !~ m@^message/external-body@)) # RFC-Editor emails...
        || ((($name =~ /^(?:jpe?g|tiff?)$/) || ($name eq "gif") ||
             ($name eq "png"))
            && ($ctype !~ m@^image/@)
            && ($ctype !~ m@^application/mac-binhex@))
        || ($name eq "vcf" && $ctype ne "text/vcard")
        || ($name =~ /^(?:bat|com|exe|pif|scr|swf|vbs)$/
            && $ctype !~ m@^application/@)
        || ($name eq "doc" && $ctype !~ m@^application/.*word$@)
        || ($name eq "ppt" && $ctype !~ m@^application/.*(?:powerpoint|ppt)$@)
        || ($name eq "xls" && $ctype !~ m@^application/.*excel$@)
       )
    {
       $self->{mime_suspect_name} = 1;
    }
  }
Und die Zeile mit bat|com|exe|pif|scr|swf|vbs hat mir suggeriert, das auch die Endungen bewertet werden (allerdings kann ich (noch) kein Perl :) )

dimaki
Posts: 66
Joined: 2002-11-07 14:45

Re: Spamassassin und MICROSOFT_EXECUTABLE

Post by dimaki » 2004-03-11 10:44

- Erstens musst Du spamassassin eine bestimmte Anzahl von spam und ham-mails lernen - glaub 200 - bis die autolearn Funktion überhaupt arbeitet.
Quark mit Soße.
http://eu.spamassassin.org/doc/Mail_Spa ... %20options:

bayes_min_ham_num (Default: 200)
bayes_min_spam_num (Default: 200)

To be accurate, the Bayes system does not activate until a certain number of ham (non-spam) and spam have been learned. The default is 200 of each ham and spam, but you can tune these up or down with these two settings.


;-)

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spamassassin und MICROSOFT_EXECUTABLE

Post by dodolin » 2004-03-11 13:00

http://eu.spamassassin.org/doc/Mail_Spa ... %20options:

bayes_min_ham_num (Default: 200)
bayes_min_spam_num (Default: 200)

To be accurate, the Bayes system does not activate until a certain number of ham (non-spam) and spam have been learned. The default is 200 of each ham and spam, but you can tune these up or down with these two settings.
Du kannst das so fett schreiben, wie du willst, davon wird es auch nicht richtiger. Nochmal für die langsamen: Bayes hat nichts mit autolearn zu tun.
Und die Zeile mit bat|com|exe|pif|scr|swf|vbs hat mir suggeriert, das auch die Endungen bewertet werden
Nunja, in diesem Abschnitt gehts aber nur um mime_suspect_name. Du solltest lieber mal die Stellen suchen, wo es um microsoft_executable geht. ;)