SpamAssassin intelligent lernen && Virenscanner einpflegen

[firemail]

hi,

hab da zwei fragen:
1) hab meinem SA gut 2000 spammessages lernen lassen mit erfolg ... aber der level mit dem derzeit die spammessages bewertet werden liegt bei 1.9 oder 3.9 von 6.3 ... find ich schon etwas komisch da 2000 spammails ja nicht gerade wenig sind. gibts da ne gute möglichkeit (zB ein archiv mit 100k mails runterladen und das dann trainieren)

2) mein system ist ein via sasl geauthetes postfix mit spamassassin und courier pop sowie imap. möchte nun einen antivirus ins spiel bringen - bei exim wüsst ich wie ich über die configs einen clamav einbringen kann. gibts hier bei postfix auch eine entsprechene möglichkeit? welcher AV gefällt euch bzw ist wirklich gut? eventuell ein tutorial zum einbinden?

danke im vorraus, jürgen

[timeless2]

1) hab meinem SA gut 2000 spammessages lernen lassen mit erfolg ... aber der level mit dem derzeit die spammessages bewertet werden liegt bei 1.9 oder 3.9 von 6.3 ... find ich schon etwas komisch da 2000 spammails ja nicht gerade wenig sind. gibts da ne gute möglichkeit (zB ein archiv mit 100k mails runterladen und das dann trainieren)

Am besten du trainierst SA mit deinen Spammails. Im Laufe der Zeit ändern sich die Spammails etwas und wenn du den Bayes-Filter trainierst, passt sich auch SA an die Veränderungen an.
Ob man irgendwo Spammails herunterladen kann, weiß ich nicht. Hast du selbst nicht genug?

[firemail]

die 2000 waren eigentlich von mir - trainiere schon mit den derzeitigen die ich kriege, aber solch schlechte raten können doch nicht sein oder? gibts ne möglichkeit zB mit öffentlichen blacklisten, dass man eine realtime überprüfung macht?

[zg0re]

Bei 2000 Mails dürfte Bayes schon ziemlich gut trainiert sein. An deiner Stelle würde ich einfach in der SA Config die Punktzahl für Bayes erhöhen.

BAYES_99 hat bei mir 7,5 Punkte und wir fahren damit sehr gut (ca. 35000 "eigene" Spammails insgesamt beigebracht). Dazu läuft noch dspam und es kommt so gut wie kein spam mehr durch. False Positives sollten bei dir nach 2000 Mails eigentlich auch nicht mehr sooo viele auftreten.

Hier sieht man mal, welche SA-Rules zuschlagen:

Code: Select all

Content analysis details:   (35.0 points, 8.5 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 2.9 FROM_LOCAL_NOVOWEL     From: localpart has series of non-vowel letters
 0.5 SARE_FROM_SPAM_PL1     A lot of spam comes from here
 1.4 MSGID_FROM_MTA_ID      Message-Id for external message added locally
 2.0 DATE_IN_FUTURE_03_06   Date: is 3 to 6 hours after Received: date
 2.4 TVD_STOCK1             BODY: Message looks like it's pushing a stock...
 1.8 TVD_FUZZY_SYMBOL       BODY: TVD_FUZZY_SYMBOL
 7.5 BAYES_99               BODY: Bayesian spam probability is 99 to 100%
                            [score: 1.0000]
 1.5 RAZOR2_CHECK           Listed in Razor2 (http://razor.sf.net/)
 1.5 RAZOR2_CF_RANGE_E4_51_100 Razor2 gives engine 4 confidence level
                            above 50%
                            [cf: 100]
 0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
                            [cf: 100]
 3.0 DCC_CHECK              Listed in DCC (http://rhyolite.com/anti-spam/dcc/)
 0.2 DNS_FROM_RFC_ABUSE     RBL: Envelope sender in abuse.rfc-ignorant.org
 1.5 RCVD_IN_SORBS_WEB      RBL: SORBS: sender is a abuseable web server
                            [83.29.247.203 listed in dnsbl.sorbs.net]
 2.0 RCVD_IN_SORBS_DUL      RBL: SORBS: sent directly from dynamic IP address
                            [83.29.247.203 listed in dnsbl.sorbs.net]
 1.7 DNS_FROM_RFC_POST      RBL: Envelope sender in
                            postmaster.rfc-ignorant.org
 1.9 RCVD_IN_NJABL_DUL      RBL: NJABL: dialup sender did non-local SMTP
                            [83.29.247.203 listed in combined.njabl.org]
 0.8 DIGEST_MULTIPLE        Message hits more than one network digest check
 0.3 UPPERCASE_25_50        message body is 25-50% uppercase
 1.7 SARE_OBFU_PRICE2       found apparent obfuscation of word used in spam

[tiberian]

Hier sieht man mal, welche SA-Rules zuschlagen:

Code: Select all

Content analysis details:   (35.0 points, 8.5 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 2.9 FROM_LOCAL_NOVOWEL     From: localpart has series of non-vowel letters
 0.5 SARE_FROM_SPAM_PL1     A lot of spam comes from here
 1.4 MSGID_FROM_MTA_ID      Message-Id for external message added locally
 2.0 DATE_IN_FUTURE_03_06   Date: is 3 to 6 hours after Received: date
 2.4 TVD_STOCK1             BODY: Message looks like it's pushing a stock...
 1.8 TVD_FUZZY_SYMBOL       BODY: TVD_FUZZY_SYMBOL
 7.5 BAYES_99               BODY: Bayesian spam probability is 99 to 100%
                            [score: 1.0000]
 1.5 RAZOR2_CHECK           Listed in Razor2 (http://razor.sf.net/)
 1.5 RAZOR2_CF_RANGE_E4_51_100 Razor2 gives engine 4 confidence level
                            above 50%
                            [cf: 100]
 0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
                            [cf: 100]
 3.0 DCC_CHECK              Listed in DCC (http://rhyolite.com/anti-spam/dcc/)
 0.2 DNS_FROM_RFC_ABUSE     RBL: Envelope sender in abuse.rfc-ignorant.org
 1.5 RCVD_IN_SORBS_WEB      RBL: SORBS: sender is a abuseable web server
                            [83.29.247.203 listed in dnsbl.sorbs.net]
 2.0 RCVD_IN_SORBS_DUL      RBL: SORBS: sent directly from dynamic IP address
                            [83.29.247.203 listed in dnsbl.sorbs.net]
 1.7 DNS_FROM_RFC_POST      RBL: Envelope sender in
                            postmaster.rfc-ignorant.org
 1.9 RCVD_IN_NJABL_DUL      RBL: NJABL: dialup sender did non-local SMTP
                            [83.29.247.203 listed in combined.njabl.org]
 0.8 DIGEST_MULTIPLE        Message hits more than one network digest check
 0.3 UPPERCASE_25_50        message body is 25-50% uppercase
 1.7 SARE_OBFU_PRICE2       found apparent obfuscation of word used in spam

Danke für den Tipp, hab grad vorher eh ma wieder den guten alten sa-learn drüberlaufen lassen und das hochzusetzen schadet sicher net.

Aber doofe Frage, in welcher Configfile steht das nochmal ? Kann mir das bei Spamassassin nie merken und vergess auch jedes Mal das aufzuschreiben :(

Grüße
Tiberian

[zg0re]

Unter Gentoo ist das bei mir /etc/mail/spamassassin/local.cf

Einfach in eine neue Zeile

score NAME_DER_REGEL PUNKT.ZAHL

eintragen

[felixs]

1) hab meinem SA gut 2000 spammessages lernen lassen mit erfolg ... aber der level mit dem derzeit die spammessages bewertet werden liegt bei 1.9 oder 3.9 von 6.3 ... find ich schon etwas komisch da 2000 spammails ja nicht gerade wenig sind. gibts da ne gute möglichkeit (zB ein archiv mit 100k mails runterladen und das dann trainieren)

Es gibt z.B. das SpamAssassin-Archiv. Ich würde aber empfehlen, eigene Mails zu verwenden.

2) mein system ist ein via sasl geauthetes postfix mit spamassassin und courier pop sowie imap. möchte nun einen antivirus ins spiel bringen - bei exim wüsst ich wie ich über die configs einen clamav einbringen kann. gibts hier bei postfix auch eine entsprechene möglichkeit? welcher AV gefällt euch bzw ist wirklich gut? eventuell ein tutorial zum einbinden?

Als praktisch einsetzbaren Open-Source-Scanner gibt es wohl nur ClamAV. Bei den kommerziellen musst du auch sehr genau die Lizenzen studieren, um zu wissen, was du darfst und was nicht. Ich verwende ja gerne amavisd-new, damit habe ich Spamfilter integriert und kann schnell&einfach Virenscanner hinzufügen.

fs

[zg0re]

Ich persönlich bevorzuge bei Postfix eher maildrop. Damit ist es recht einfach Spam- & Virenscanner einzubinden, außerdem kann sich jeder user selbst aussuchen, was gemacht werden soll - außerdem halt noch serverseitige Regeln zum verschieben von mails