Автор Тема: spam  (Прочитано 16072 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
spam
« Ответ #45 : 30 сентября 2016, 12:18:12 »
Почему попадают в спам не знаю.
что означает "попадают в спам"? Конкретно. Они помещаются в какое-то хранилище на стороне сервера? На стороне пользователя? Куда конкретно?

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
spam
« Ответ #46 : 30 сентября 2016, 12:24:53 »
Но теперь и некоторые нормальные письма с yandex, mail  попадают в спам ящик
А я предупреждал.

Оффлайн supervisor2005

  • Пользователь
  • **
  • Сообщений: 54
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Интернет
spam
« Ответ #47 : 30 сентября 2016, 12:27:15 »
Почему попадают в спам не знаю.
что означает "попадают в спам"? Конкретно. Они помещаются в какое-то хранилище на стороне сервера? На стороне пользователя? Куда конкретно?

После установки правила на exch.

Это правило помещает письма в почтовый ящик test-01 если в теме указано *****spam*****

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6668
  • Рейтинг: 58
  • Пол: Мужской
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
spam
« Ответ #48 : 30 сентября 2016, 12:28:15 »
shs, в спец. ящик для спама.

Subject: *****SPAM*****
Ну так вот у него тема какая, потому и попадают :pardon: Ему видимо постфикс тему-то и пометил.

Retif, все норм :)
MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
spam
« Ответ #49 : 30 сентября 2016, 12:31:14 »
Это правило помещает письма в почтовый ящик test-01 если в теме указано ********
Значит, SpamAssassin пометил эти письма. Открываете проблемно письмо и читаете его заголовок (выложите его сюда) в нем будет подробный отчет о том, на основании каких тестов SpamAssassin приплюсовал ему то или иное количество очков в рейтинге спамности. Поняв, что произошло, вы сможете это устранить, тем или иным способом.

Жду заголовков.

Оффлайн supervisor2005

  • Пользователь
  • **
  • Сообщений: 54
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Интернет
spam
« Ответ #50 : 30 сентября 2016, 12:33:29 »
Если кто то хорошо разбирается, вот кусок postfix касаемо спама.

smtpd_client_restrictions =
    reject_unauth_pipelining,
    permit_sasl_authenticated,
    permit_mynetworks,
    check_sender_access hash:/etc/postfix/access,
    check_helo_access regexp:/etc/postfix/helo,
    #reject_unknown_reverse_client_hostname,
    #reject_unknown_client_hostname,
    reject_unverified_sender,
    #reject_unknown_client,
    check_client_access regexp:/etc/postfix/dul_checks,
    permit

smtpd_helo_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    check_sender_access hash:/etc/postfix/access,

    reject_rbl_client sbl-xbl.spamhaus.org,
    reject_rbl_client pbl.spamhaus.org,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client dul.dnsbl.sorbs.net,
    reject_rbl_client dnsbl.inps.de,
    reject_rbl_client b.barracudacentral.org,

    check_helo_access regexp:/etc/postfix/helo,
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_unknown_helo_hostname,
    permit

smtpd_sender_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    permit

smtpd_recipient_restrictions =
    reject_unauth_pipelining,
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    reject_invalid_hostname,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
    reject_non_fqdn_hostname,
    reject_multi_recipient_bounce,
    check_recipient_access hash:/etc/postfix/roleaccount_exceptions
    permit

Оффлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
spam
« Ответ #51 : 30 сентября 2016, 12:33:30 »
Значит, SpamAssassin пометил эти письма. Открываете проблемно письмо и читаете его заголовок (выложите его сюда) в нем будет подробный отчет о том, на основании каких тестов SpamAssassin приплюсовал ему то или иное количество очков в рейтинге спамности. Поняв, что произошло, вы сможете это устранить, тем или иным способом.
Поэтому, лучше так не делать, не трогать письма с пометкой
****SPAM****
Лучше взять и разобраться с тем письмом, с которого все началось. Понять, как ему прибавить баллов или в черный список занести по какому-то параметру.

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
spam
« Ответ #52 : 30 сентября 2016, 12:35:09 »
Поэтому, лучше так не делать, не трогать письма с пометкой
Не согласен. Делаю именно так, и все счастливы.


Updated: 30 September 2016, 12:35:53

Лучше взять и разобраться с тем письмом, с которого все началось.
Началось с другого письма и по другому поводу.


Updated: 30 September 2016, 12:37:36

Если кто то хорошо разбирается, вот кусок postfix касаемо спама.
отметку ***SPAM*** ставит не postfix, а SpamAssassin
« Последнее редактирование: 30 сентября 2016, 14:52:02 от shs »

Оффлайн supervisor2005

  • Пользователь
  • **
  • Сообщений: 54
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Интернет
spam
« Ответ #53 : 30 сентября 2016, 12:48:14 »
Собственно настройки spamassassina

# Добавляем запись к заголовку письма, если письмо определено как спам
rewrite_header Subject *****SPAM*****
# Доверенные сети
#trusted_networks
required_hits 6.0
report_safe 0
# Метод защиты файлов базы
lock_method flock
# Количество "очков", набрав которые письмо считается спамом
required_score 6.0
# Использовать Bayes алгоритмы при проверке почтовых сообщений
use_bayes 1
#bayes_path /etc/mail/spamassassin/bayes/bayes
# Автообучение Bayes
bayes_auto_learn 1
# Не активировать систему, пока она не обучится на некотором количестве писем
bayes_min_spam_num 200
bayes_min_ham_num 200
# Журналировать процесс обучения
bayes_learn_to_journal  1
# Выставляем права на файлы
bayes_file_mode         0666
# Не выполнять проверку по блэклистам. При установке параметра в 0 - опция будет включена
skip_rbl_checks        0



Updated: 30 September 2016, 12:50:41

Значит, SpamAssassin пометил эти письма. Открываете проблемно письмо и читаете его заголовок (выложите его сюда) в нем будет подробный отчет о том, на основании каких тестов SpamAssassin приплюсовал ему то или иное количество очков в рейтинге спамности. Поняв, что произошло, вы сможете это устранить, тем или иным способом.


Received: from EX-01.global.stolline.ru (192.168.208.5) by
 EX-02.global.stolline.ru (192.168.208.19) with Microsoft SMTP Server (TLS) id
 15.0.1178.4 via Mailbox Transport; Fri, 30 Sep 2016 11:09:24 +0300
Received: from EX-01.global.stolline.ru (192.168.208.5) by
 EX-01.global.stolline.ru (192.168.208.5) with Microsoft SMTP Server (TLS) id
 15.0.1156.6; Fri, 30 Sep 2016 11:09:20 +0300
Received: from mail-01.global.stolline.ru (192.168.208.35) by
 EX-01.global.stolline.ru (192.168.208.5) with Microsoft SMTP Server id
 15.0.1156.6 via Frontend Transport; Fri, 30 Sep 2016 11:09:20 +0300
Received: by mail-01.global.stolline.ru (Postfix, from userid 1000)
   id 4FF29BC; Fri, 30 Sep 2016 11:09:08 +0300 (MSK)
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
   mail-01.global.stolline.ru
X-Spam-Flag: YES
X-Spam-Level: ******
X-Spam-Status: Yes, score=6.9 required=6.0 tests=BAYES_50,DKIM_SIGNED,
   DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM,HTML_MESSAGE,HTML_MIME_NO_HTML_TAG,
   MIME_HTML_ONLY,MISSING_SUBJECT,RDNS_NONE,TVD_SPACE_RATIO_MINFP autolearn=no
   autolearn_force=no version=3.4.0
X-Spam-Report: *  0.0 FREEMAIL_FROM Sender email is commonly abused enduser mail provider
   *      (msprokat[at]yandex.ru)
   *  0.0 HTML_MESSAGE BODY: HTML included in message
   *  0.8 BAYES_50 BODY: Bayes spam probability is 40 to 60%
   *      [score: 0.5000]
   *  0.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
   * -0.1 DKIM_VALID_AU Message has a valid DKIM or DK signature from author's
   *       domain
   *  0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily
   *      valid
   * -0.1 DKIM_VALID Message has at least one valid DKIM or DK signature
   *  0.4 HTML_MIME_NO_HTML_TAG HTML-only message, but there is no HTML tag
   *  1.8 MISSING_SUBJECT Missing Subject: header
   *  0.8 RDNS_NONE Delivered to internal network by a host with no rDNS
   *  2.5 TVD_SPACE_RATIO_MINFP Space ratio
Received: from forward2o.cmail.yandex.net (unknown [37.9.109.243])
   by mail-01.global.stolline.ru (Postfix) with ESMTP id 0F222A3
   for <kostyleva@stolline.ru>; Fri, 30 Sep 2016 08:09:04 +0000 (UTC)
Received: from mxback3g.mail.yandex.net (mxback3g.mail.yandex.net [77.88.29.164])
   by forward2o.cmail.yandex.net (Yandex) with ESMTP id 7364E20D5A
   for <kostyleva@stolline.ru>; Fri, 30 Sep 2016 11:09:04 +0300 (MSK)
Received: from web5g.yandex.ru (web5g.yandex.ru [95.108.252.105])
   by mxback3g.mail.yandex.net (nwsmtp/Yandex) with ESMTP id 7jdIJ1ehTs-94AS37vL;
   Fri, 30 Sep 2016 11:09:04 +0300
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yandex.ru; s=mail; t=1475222944;
   bh=iZwEQUsivEBDB5Cj2ZFWFrt5ZrNNWOLt6jyy4cRjCGQ=;
   h=From:To:Message-Id:Date;
   b=q3h3Xt8bmGDDgN8Oqx0TTFomyfrqke/+Olr/Higk5uM+8nEKOK/PtP8HC3Egqovcn
    pNlVnlSof2Y0/tMA5VDkWNIA1mhQGSH9YFRe/d1z3pvjOn/BNtZN+XrTXvUFCahWv1
    gzCsMp3XGgvS3K2GhypnpkQaJKjJujjrmKVaqogQ=
Authentication-Results: mxback3g.mail.yandex.net; dkim=pass header.i=@yandex.ru
Received: by web5g.yandex.ru with HTTP;
   Fri, 30 Sep 2016 11:09:04 +0300
From: =?utf-8?B?0JfQsNGF0LDRgNC+0LIg0JXQstCz0LXQvdC40Lk=?= <msprokat@yandex.ru>
To: =?utf-8?B?0JDQu9C10LrRgdCw0L3QtNGA0LAg0JDQvdC00YDQtdC10LLQvdCwINCa0L7RgdGC0YvQu9C10LLQsA==?= <kostyleva@stolline.ru>
MIME-Version: 1.0
Message-ID: <2074941475222944@web5g.yandex.ru>
X-Mailer: Yamail [ http://yandex.ru ] 5.0
Date: Fri, 30 Sep 2016 11:09:04 +0300
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="utf-8"
Subject: *****SPAM*****
X-Spam-Prev-Subject: (nonexistent)
Return-Path: msprokat@yandex.ru
X-MS-Exchange-Organization-Network-Message-Id: 247afdc5-c409-431c-81c1-08d3e90914e9
X-MS-Exchange-Organization-AuthSource: EX-01.global.stolline.ru
X-MS-Exchange-Organization-AuthAs: Anonymous

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
spam
« Ответ #54 : 30 сентября 2016, 13:13:10 »
Смотрите, письмо подписано при помощи DKIM
   * -0.1 DKIM_VALID_AU Message has a valid DKIM or DK signature from author's   
*       domain   
*  0.1 DKIM_SIGNED Message has a DKIM or DK signature, not necessarily   
*      valid   
* -0.1 DKIM_VALID Message has at least one valid DKIM or DK signature
спамеры обычно так не делают (если только им не удалось прогнать почту через чужой сервер, завладев реквизитами доступа к одному из аккаунтов)

При этом на основании этого (тесты DKIM_VALID_AU и DKIM_VALID) из общей оценки вычлось только по 0,1 балла. Я бы изменил эту настройку и предписал бы вычитать как минимум несколько балов



Updated: 30 September 2016, 13:14:34

Fix

Оффлайн supervisor2005

  • Пользователь
  • **
  • Сообщений: 54
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Интернет
spam
« Ответ #55 : 30 сентября 2016, 13:18:42 »
При этом на основании (этого тесты DKIM_VALID_AU и DKIM_VALID) из общей оценки вычлось только по 0,1 балла. Я бы изменил эту настройку и предписал бы вычитать как минимум несколько балов

Я увеличил порог
required_hits 7.0 сделал
required_score 8.0 сделал

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
spam
« Ответ #56 : 30 сентября 2016, 14:12:16 »
Я увеличил порог required_hits 7.0 сделалrequired_score 8.0 сделал
Цитировать
required_score n.nn (default: 5)
Set the score required before a mail is considered spam. n.nn can be an integer or a real number. 5.0 is the default setting, and is quite aggressive; it would be suitable for a single-user setup, but if you're an ISP installing SpamAssassin, you should probably set the default to be more conservative, like 8.0 or 10.0. It is not recommended to automatically delete or discard messages marked as spam, as your users will complain, but if you choose to do so, only delete messages with an exceptionally high score such as 15.0 or higher. This option was previously known as required_hits and that name is still accepted, but is deprecated.
Можно оставить только required_score

Увеличив порог, вы тем самым добились того, что многие спам письма успешно его минуют.
Вам надо было уменьшить количество балов, которые начисляются письму на основании того, что это письмо было подписано валидной подписью DKIM, напоример, прописав в конфигурационный файл SpamAssassin что-нить типа следующего:
score DKIM_VALID_AU  -5.0


Updated: 30 September 2016, 14:18:42

Для самообучения Байеса, которое у вас включено (bayes_auto_learn 1), можно добавить что-нить типа:
bayes_auto_learn_threshold_nonspam 0.1
bayes_auto_learn_threshold_spam 12.0

Это означает, что все письма, набравшие по всем тестам 12 и более балов будут использованы, как образец спама, а письма, набравшие менее 0,1  - как образец хама.

Пороги автообучения (я указал здесь 0.1 и 12)  выбирайте сами на основании ручного анализа ваших писем, прошедших через spamassassin и, естественно, установленного вами порога срабатывания (required_score)


Updated: 30 September 2016, 14:24:04

так же я бы уменьшил количество балов, которые начисляются письму за TVD_SPACE_RATIO
Цитировать
SpamAssassin Rule: TVD_SPACE_RATIO
Standard description: eval:tvd_vertical_words('0','10')

Explanation

According to a comment in the rules file "it's the ratio of spaces to non-spaces in each paragraph. apparently messages where generally there are lots of spaces mean the message is spam."
Extra space in HTML messages will be ignored in mail clients, but may not be ignored in pattern-matching filters. Slightly different messages may be sent to each recipient to avoid filtering.

Добавлять сразу 2,5 бала только лишь за то, что в каждом абзаце слишком много пробелов, - это, на мой взгляд, перебдеть сверх меры.



Updated: 30 September 2016, 14:45:39

После того, как Байес обучится, можно будет начать тонко подстраивать ему количество балов, которые он будет начислять письму. У меня сделано так:

# Bayesian Scores
score BAYES_99 10
score BAYES_95 6.0
score BAYES_80 3.0
score BAYES_60 2.5
score BAYES_50 2.2
score BAYES_40 1.0
score BAYES_20 0.3
score BAYES_05 -0.5
score BAYES_00 -3.0

При том, что порог срабатывания (required_score) у меня установлен в 6 балов.
Т.е. если Байес полагает, что письмо - спам на 95%, я сразу добавляю ему 6 баллов (т.е. такое письмо будет однозначно признано спамом). Если письмо будет признано спамом на 99%, то получит сразу +10 балов. Добрав еще 2 балла по другим тестам, это письмо превысит установленный мною порог автообучения 12 баллов и будет скормлено для обучения Байесу.
« Последнее редактирование: 30 сентября 2016, 14:50:04 от shs »

Оффлайн supervisor2005

  • Пользователь
  • **
  • Сообщений: 54
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Интернет
spam
« Ответ #57 : 30 сентября 2016, 15:46:35 »
shs,
Спасибо, попробую.

Оффлайн Fray

  • Администратор
  • Олдфаг
  • *****
  • Сообщений: 6668
  • Рейтинг: 58
  • Пол: Мужской
    • Просмотр профиля
    • IT-Бложек
  • Откуда: Петербург
spam
« Ответ #58 : 30 сентября 2016, 15:48:34 »
supervisor2005, ;)

Цитировать
1.8 Если участник форума дал Вам хороший совет, который помог Вам в решении Вашей проблемы, не стоит размещать сообщения с благодарностями типа "Спасибо! Ты супер!!!" и т.п. Выражайте свою благодарность путем поднятия рейтинга конкретного участника.


MCSE: Messaging, MCSE: Communication, MCSE: Productivity, MCSA: Office 365, MCPS
my blog - http://it-blojek.ru

Оффлайн supervisor2005

  • Пользователь
  • **
  • Сообщений: 54
  • Рейтинг: 0
    • Просмотр профиля
  • Откуда: Интернет
spam
« Ответ #59 : 06 октября 2016, 09:20:47 »
Добрый день!

Спам от собственного домена из вне удалось победить, если кто то использует postfix нужно в main.cf добавить правило reject_unverified_sender # проверка отправителя.
Еще вheader_checks - postfix добавил правило /^To:.*@mydomain\.ru/ REJECT.


Проблема решена, всем спасибо за участие.