Forum général.général SPAM vs me

Posté par mister_test le 03 octobre 2006 à 23:35.

Étiquettes : aucune

oct.

2006

Bonjour, je suis en lutte désespéré contre le spam.
Effectivement, mon serveur mail (Exchange, dsl :) ) traites quelques milliers de spams par jour !

Je me suis donc dit : "facile tu vas pouvoir installer un superbe spamassassin sur ta distrib préférée sur un serveur (debian sarge)"

J'installe postfix et le configure, il fait bien relay de messagerie pour mon exchange. Je me lance dans un apt-get install spamassassin je configure pour que postfix utilise bien spamassassin, j'ai des resultats, mais ça ne trie pas assez bien. Un ami me signale alors que je devrais installer la dernière version de spamassassin. Je passe alors en 3.1.3 (pas exactement la dernière mais c'était celle proposée en apt-get) je test... ça marche pas vraiment mieux. Suite aux conseils du même ami j'installe rulesdujour qui me semble être une idée pas trop mal... Les résultats, sont je dirait très franchement très décevant (il met quelques mail en tant que spam, a juste titre mais il en laisse a mon goût passer beaucoup trop)

Je pense que mon problème est dans la configuration (c'est donc pasque je suis trop null :) )
Ne voyant pas trop d'ou cela peut venir... je m'en remet a vous.
Je vous copie ici mes fichiers de conf, surtout n'hésitez a en faire des critiques qui pourrait améliorer le filtrage des spams

local.cf :

rewrite_header Subject [SPAM]
report_safe 1
required_score 5.0
use_bayes 1
bayes_auto_learn 1
skip_rbl_checks 0
use_razor2 1
use_dcc 1
use_pyzor 1

Fichier de config rulesdujour :

SA_DIR="/etc/mail/spamassassin"
MAIL_ADRESS="administrateur@societe.fr"
SA_RESTART="/etc/init.d/spamassassin restart"
SA_LINT="spamassassin --lint"
TMPDIR="${SA_DIR}/RulesDuJour"
SINGLE_EMAIL_ONLY=true
TRUSTED_RULESETS="TRIPWIRE ANTIDRUG SARE_EVILNUMBERS0 SARE_EVILNUMBERS1 \
SARE_EVILNUMBERS2 RANDOMVAL BOGUSVIRUS \
SARE_ADULT SARE_FRAUD SARE_FRAUD_PRE25X SARE_BML SARE_BML_PRE25X \
SARE_RATWARE SARE_SPOOF SARE_BAYES_POISON_NXM SARE_OEM SARE_RANDOM \
SARE_HEADER SARE_HEADER0 SARE_HEADER1 SARE_HEADER2 SARE_HEADER3 \
SARE_HEADER_ENG SARE_HEADER_X264_X30 SARE_HEADER_X30 SARE_HTML \
SARE_HTML0 SARE_HTML1 SARE_HTML2 SARE_HTML3 SARE_HTML4 SARE_HTML_ENG \
SARE_HTML_PRE300 SARE_SPECIFIC SARE_OBFU SARE_OBFU0 SARE_OBFU1 SARE_OBFU2 \
SARE_OBFU3 SARE_REDIRECT SARE_REDIRECT_POST300 SARE_SPAMCOP_TOP200 \
SARE_GENLSUBJ SARE_GENLSUBJ0 SARE_GENLSUBJ1 SARE_GENLSUBJ2 \
SARE_GENLSUBJ3 \
SARE_GENLSUBJ_X30 \
SARE_GENLSUBJ_ENG \
SARE_HIGHRISK \
SARE_UNSUB \
SARE_URI0 \
SARE_URI1 \
SARE_URI2 \
SARE_URI3 \
SARE_URI_ENG \
SARE_WHITELIST \
SARE_WHITELIST_PRE30"

Voici le contenu de mon /etc/mail/spamassassin

70_sare_adult.cf 70_sare_obfu2.cf
70_sare_bayes_poison_nxm.cf 70_sare_obfu3.cf
70_sare_evilnum0.cf 70_sare_obfu.cf
70_sare_evilnum1.cf 70_sare_oem.cf
70_sare_evilnum2.cf 70_sare_random.cf
70_sare_genlsubj0.cf 70_sare_specific.cf
70_sare_genlsubj1.cf 70_sare_spoof.cf
70_sare_genlsubj2.cf 70_sare_unsub.cf
70_sare_genlsubj3.cf 70_sare_uri0.cf
70_sare_genlsubj.cf 70_sare_uri1.cf
70_sare_genlsubj_eng.cf 70_sare_uri3.cf
70_sare_genlsubj_x30.cf 70_sare_uri_eng.cf
70_sare_header0.cf 70_sare_whitelist.cf
70_sare_header1.cf 70_sare_whitelist_pre30.cf
70_sare_header2.cf 70_sc_top200.cf
70_sare_header3.cf 71_sare_bml_pre25x.cf
70_sare_header.cf 71_sare_redirect_pre3.0.0.cf
70_sare_header_eng.cf 72_sare_bml_post25x.cf
70_sare_header_x264_x30.cf 72_sare_redirect_post3.0.0.cf
70_sare_header_x30.cf 99_sare_fraud_post25x.cf
70_sare_highrisk.cf 99_sare_fraud_pre25x.cf
70_sare_html0.cf antidrug.cf
70_sare_html1.cf bogus-virus-warnings.cf
70_sare_html2.cf init.pre
70_sare_html3.cf local.cf
70_sare_html4.cf random.cf
70_sare_html.cf RulesDuJour/
70_sare_html_eng.cf tripwire.cf
70_sare_html_x30.cf v310.pre
70_sare_obfu0.cf v312.pre
70_sare_obfu1.cf

Le spamassassin --lint ne dit rien.

Je ne sais pas trop quoi vous dire de plus, si vous pouviez m'aidez ça serait super cool.

Pour info, voici le genre de mail que je souhaite a tout prix filtrer, celui-ci passe avec un score de 0,1 ! :

Hi,
VlArGRA

AMBrlEN

ClArLIS

VALrlUM

Economize 50% + URL

--------------------------------------------------------------------------------

Lifted off the helmets. Two very human faces looked at me with a good
Done. It would wait there as long as needed, until all the excitement
My companions nodded without interrupting the flow of food and drink

# apprentissage

Posté par Éric (site web personnel) le 04 octobre 2006 à 00:11. Évalué à 2.

Spam-assasin a un module d'apprentissage (de mémoire c'est sa-learn). En gros ça s'améliorera aussi en fonction des retours que tu feras à spam assassin sur ce que tu classifies comme spam ou non.
Les systèmes à règles, (la base de spamassassin), restent de toutes façons évitables pour peu que celui qui fait le spam y fasse attention volontairement.
- [^] # Re: apprentissage
  
  Posté par mister_test le 04 octobre 2006 à 02:44. Évalué à 1.
  
  Oui, mais comment lui faire apprendre? Peux tu me donner des pistes a suivre?
  Compte tenu de ma situation (exchange + outlook 2003) est-ce reellement applicable?
  
  Merci pour ton aide.
  - [^] # Re: apprentissage
    
    Posté par mxt le 04 octobre 2006 à 08:03. Évalué à 1.
    
    Tous les mails mals classés doivent être ré-envoyés vers spam assassin pour apprentissage. Le problème est que le mail doit avoir exactement la même tête (headers identiques) pour l'apprentissage. Or du fait du passage par exchange des headers sont ajoutés, de plus si tu forward le mail avec outlook il ne transmet pas les en-têtes d'origine.
    
    Une autre alternative est dspam qui contient une solution pratique pour l'apprentissage: http://dspam.nuclearelephant.com/
    - [^] # Re: apprentissage
      
      Posté par mister_test le 04 octobre 2006 à 09:20. Évalué à -1.
      
      oué, enfin, vu comment je me suis fait chier à configurer spamassassin, j'ai aucune envie de repartir a zero, je pense que spamassassin doit convenir à mes besoins vu les echos que j'ai autour de moi.
      Bizaremment mes scores ne sont pas très elevés (toujours aux alentours de 5) et j'essaye a tout prix de le faire monter vers des sommets plus respectables.
    - [^] # Re: apprentissage
      
      Posté par jigso le 04 octobre 2006 à 09:47. Évalué à 2.
      
      Il est toujours possible d'extraire les email du serveur exchange, en passant par WebDav ou des outils comme fetchExc. J'utilise ça pour extraire mes emails d'Exchange vers un système Unix classique, et les headers ne sont pas tant pollués que ça - de toute façon spamassassin les ignore puisqu'ils ne sont pas pertinent.
      
      Une solution serait donc de faire un filtrage manuel des nouveaux spams vers un dossier dédié sous Outlook, et ensuite utiliser fetchExc pour extraire les emails du serveur Exchange et les passer dans sa-learn.
      (Bon, je viens de jeter un coup d'oeil à la doc de FethExc, il ne semble pas capable de prendre juste un dossier, il prend tous les emails à la racine ; ça ne doit pas être trop compliqué de faire évoluer le code pour prendre jsute un dossier.)
# Attention à l'installation de "rules du jour"

Posté par FReEDoM (site web personnel) le 04 octobre 2006 à 18:18. Évalué à 1.

Je me suis fait avoir donc ça peut t'arriver aussi ;)

Rules du jour installe des régles pour spamassassin et des scripts à automatiser pour mettre à jour ces rêgles. As-tu penser à mettre le script de mise à jour des rêgles dans une crontab et est-ce que démon cron foncitonne ?
- [^] # Re: Attention à l'installation de "rules du jour"
  
  Posté par mister_test le 04 octobre 2006 à 18:42. Évalué à 1.
  
  oui oui bein sur :p
  tout me semble correct c'est bien ca mon probleme
  
  Merci pour ton aide

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.