Анонсирован (http://mail-archives.apache.org/mod_mbox/spamassassin-announ...) выход новой версии одной из лучших систем для фильтрации спама - http://spamassassin.SpamAssassin (apache.org/) 3.1.0.
Из новшеств можно отметить:- Использования "preforking" метода обслуживание соединений, с адаптивным изменением числа рабочих процессов, такой же как применяется в Apache;
- Баесовская база теперь может хранится в PostgreSQL, MySQL 4.1+, и локальном SDBM хранилище;
- Учет параметров SMTP AUTH для предотвращения ложных срабатываний;
- Новые плагины: DomainKeys, MIMEHeader (проверка заголовков внутри mime структур), ReplaceTags (неточное выделение блоков текста), WhiteListSubject (белый список по содержимому темы).
- Проверки через Razor2 и DCC теперь выключены по умолчанию;
- Обход ошибки в perl модуле Net::DNS, проявляющейся при высокой нагрузке;
- Увеличение эффективности DNSBL и прочих DNS проверок;
- Скрипт sa-update для апдейта базы правил при обновлении релиза;
- Новые правила для определения факторов спама;
- Подсистемы AccessDB, AWL, Pyzor, Razor2, DCC, Bayes AutoLearn Determination вынесены в плагины;
URL: http://mail-archives.apache.org/mod_mbox/spamassassin-announ...
Новость: http://www.opennet.me/opennews/art.shtml?num=6093
А кто-нибудь пытался его сравнить с dspam ?
угу, dspam отфильтровывает значительно больше
А как dspam с Exim?
dspam с exim вот так - http://tula.bofh.ru/articles/115
а что так не устраивает greylist? самый лучший можно сказать антиспамерная программа
попробуй.1. Задержка от 120 до 238 минут на письмо неприемлема.
2. Эта задержка будет всегда.
3. Потому что.
>а что так не устраивает greylist? самый лучший можно сказать антиспамерная программаубивать надо таких с грейлистингом.
какого х я должен загружать очередь гейтвея из-за идиотов ответивших первый раз 4ХХ.
а если второй раз будет реальный разрыв коннекта - тоже 4ХХ, то письмо дойдет позже чем через час?
Все мало-мальски приличные конфигурации имеют fallback-сервер (в другой подсети, что естественно)То есть.
1. Из "mxXXX.mail.ru" грейлист принимает письмо и посылает его в х...
2. Через час письмо тебе начинает добивать НЕ "mxXXX.mail.ru", а "fallbackXXX.mail.ru"!
3. Это удобно в том смысле, что если один MX влетел на какое-то время в RBL, то цепочка fallback-серверов из разных подсетей, скорее всего, доставит его адресату.
4. В случае же грейлиста этот общепринятый подход дает полного поца - за два часа последний в цепочке fallback-серверов пробьет присьмо через грейлист, зато сервер-инициатор и все промежуточные fallback-серверы, сделавшие по одной попытке, занесутся в список козлищ. Со всеми вытекающими.
5. Например, с уничтожением в дальнейшем писем от них без уведомления кого бы то ни было.
6. В этом смысле безопаснее "липучка для мух" - сервер, который просто шлет в жопу, ожидая добивки в течение икса колов времени и не собирая данных для принятия дальнейших мер.
7. Но задержка все равно будет страшная. Но хоть писем не потеряет.
>Все мало-мальски приличные конфигурации имеют fallback-сервер (в другой подсети, что естественно)Месяца два назад убрали у себя все запасные MX :-( Жить стало невозможно из-за спамерских роботов, перебирающих email по словорю. Видимо с затрояненных машин перебирают, так как запросы сыплются одновременно с сотен разных IP. Все это с того MX ломится на первичник.... короче засада, почта в такие моменты можно сказать не ходит. Не верю, что это только у меня. Уже в третьей сети приходится от запасных MX избавляться.
Представляю что будет твориться, при таком переборе, у любителей серых списков, рост базы будет напоминать цунами.
А где проблема? В чём?
>А где проблема? В чём?В спуле сотня тысяч писем, bounce ответы не успевают отправлсяться, истекает лимит одновременных коннектов, почта уходит на следующий день.
Когда первичник перебирают, он тут, не закрывая сессии, же посылает, так как адрес не существует. А когда перебирают через запасной MX он все принимает и пытается отправить на первичник. Первичник, смотрит что юзера нет и отправляет bounce письмо.
Fallback-сервер ТОЛЬКО ДОБИВАЕТ письмо, отвергнутое при попытке доставить первичным MX.Первичный пусть один и будет.
>Fallback-сервер ТОЛЬКО ДОБИВАЕТ письмо, отвергнутое при попытке доставить первичным MX.
>
>Первичный пусть один и будет.
собственно о чем и речь. такой вариант тоже имеет место быть.
а есть еще вариант когда у меня письмо в очереди проворачивается с экспоненциальной задержкой (что логично, ибо какого х я должен тратить ресурсы, если мне говорят временные отлупы)....
Интересно про greylist, буду думать :) - стоит он у меня, не жалуюсь, но - как-то все слишком просто - спама нет, жалоб нет - мне самому тревожно и интересно узнать недостатки.А вот напомните мне пожалуйста условия, при которых мой сервер почтовый попадет в спамовые и прочие черные списки?
И - какие-нибудь реальные примеры (провайдеров, контор) использующих fall-back и смысл таких настроек для малой-средней фирмы.
Оцени задержку, почитай логи.Если 2-4 часа задержки почты для тебя не проблема - то пользуйся грейлистом.
То есть - от крупных мэйловых контор может получиться такой круговорот с письмами... гм.Попробую, конечно, логи погляжу. Но пока что я по логам задержки не видел более 10-15 минут в общем случае. На mail.ru и другие я особо внимания не обратил. Проверю.
попробовал. послал сам себе с mail.ru - через 15 секунд пришло письмо с fallback.mail.ru мне на ящик.я рад.
Заведи базу с валидными email на вторичнике и проверяй наличие email в базе при rcptto.
Вот-вот. именно так. Например, в postfix такая штука называется relay_recipient_maps - при правильно настроенной синхронизации между фронт- и бэк- эндами, основную массу "неправильных" писем можно отсеить еще на хэндшейке фронт-энда, причем с нормальным кодом 550, не предрасполагающем к повторной отправке письма к бэкапному MX-у
>1. Из "mxXXX.mail.ru" грейлист принимает письмо и посылает его в х...
>
>2. Через час письмо тебе начинает добивать НЕ "mxXXX.mail.ru", а "fallbackXXX.mail.ru"!
>Для mail.ru и подобных существует whitelist.
>3. Это удобно в том смысле, что если один MX влетел на
>какое-то время в RBL, то цепочка fallback-серверов из разных подсетей, скорее
>всего, доставит его адресату.Спамерская технология, между прочим.
>4. В случае же грейлиста этот общепринятый подход дает полного поца -
>за два часа последний в цепочке fallback-серверов пробьет присьмо через грейлист,
>зато сервер-инициатор и все промежуточные fallback-серверы, сделавшие по одной попытке, занесутся
>в список козлищ. Со всеми вытекающими.Кто тебе такое сказал?
Система грейлистинга просто "забудет" про промежуточные фалл-бэк серверы.>5. Например, с уничтожением в дальнейшем писем от них без уведомления кого
>бы то ни было.Кто тебе такое сказал?
Может быть отдельные пионеры так и делают. Но кто ж им доктор?Вообще говоря, тем, кто пользуется грейлистингом должно быть невыгодно, чтобы остальные им пользовались. Если все перейдут на грей-листинг, спаммеры быстро найдут способ бороться с ним.
Так что greylist - кака не пользуйте его! ;-)
Совершенно наоборот. Провайдерская.Если один из клиентов нагадил и MX влетел на сутки-трое в RBL, то fallback'и позволяет остальным, невиновным клиентам провайдера продолжать пользоваться почтой.
>убивать надо таких с грейлистингом.Неплохо бы думать, прежде чем такие высказывания делать.
Greylisting на 30 сек (!) снижает уровень спама с 75-80% на 18-23%, проверено неоднократно на http://www.antispam-post.ru/ Спамерам сейчас надо за 1-2 часа разослать под 1-2 миллиона писем, пока их не занесли в разные базы сигнатур.
>какого х я должен загружать очередь гейтвея из-за идиотов ответивших первый раз 4ХХ.
Это отдельная песня - у нормальных людей во первых прописан whitelist, а во вторых делается автоматический whitelisting при определенном пороге пересылки с домена, да и fallback неплохо иметь уж если так печетесь об очередях.
>убивать надо таких с грейлистингом
Еще недавно думал также, а теперь сам использую.
Грейлистятся ни все без разбору, а только те, кто выглядит подозрительно с моей точки зрения. Например, это могут быть "не мои соотечественники + без RDNS | имя хоста, которое мне не приглянулось". Самыми разными могут быть критерии. В общем, *грейлистим не всех, кроме хороших, а никого, за исключением плохих*
1) сделай хоть минуту, сделай хоть от кол-ва повторов
2) задержка будет только первый раз для уникальной пары либо тройки
3) понятно :)
>1) сделай хоть минуту, сделай хоть от кол-ва повторов
>2) задержка будет только первый раз для уникальной пары либо тройки
>3) понятно :)Задержка будет вечной. Читайте дядюшку Банзая.
Хм... Никогда еще такого не было.
Первое письмо - таки да, вплоть до 4 часов.
Остальные - сразу.
Думаю, вы просто не умеете его готовить.
Товарищи, а как dspam использовать c exim на шлюзе, а не на почтовом сервере для локальных доменов?
Он же не может нормально отдавать Exim-у письмо обратно, или сигнализировать как spamassassin? Или может? Он может слать его дальше сам, но это же криво, я хочу, чтобы отсылал exim.
Отдавать буду по LMTP, а результат как получать?
>Товарищи, а как dspam использовать c exim на шлюзе, а не на
>почтовом сервере для локальных доменов?
>Он же не может нормально отдавать Exim-у письмо обратно, или сигнализировать как
>spamassassin? Или может? Он может слать его дальше сам, но это
>же криво, я хочу, чтобы отсылал exim.
>Отдавать буду по LMTP, а результат как получать?
Пользую greylisting 2 года, основная забота при установке этой прибамбасины - настроить адреса с которыми идет интенсивная переписка (а таковых немного, вбить 50 доменов - 10 минут работы). Ну и задержка письма при первом получении. Но я могу эту задержку изменять как мне надо. Тут кто-то что-то сказал про 4 часа? Ни разу такого не было, первая приемка завершается за 1.5 часа максимум. Затем никаких задержек не бывает. И юзверей своих приучил - хотите мгновенно получать почту, говорите от кого. Так что лично меня greylisting полностью устраивает.
>Пользую greylisting 2 года, основная забота при установке этой прибамбасины - настроить
>адреса с которыми идет интенсивная переписка (а таковых немного, вбить 50
>доменов - 10 минут работы). Ну и задержка письма при первом
>получении. Но я могу эту задержку изменять как мне надо. Тут
>кто-то что-то сказал про 4 часа? Ни разу такого не было,
>первая приемка завершается за 1.5 часа максимум. Затем никаких задержек не
>бывает. И юзверей своих приучил - хотите мгновенно получать почту, говорите
>от кого. Так что лично меня greylisting полностью устраивает.и сколько у тебя пользователей ?
при моих 600+ у меня даже мысли не возникает "хотите мгновенно получать почту, говорите от кого" - в этом случае надо девочку брать на полный рабочий день.
эт если у тебя юзеров ~ 100, а если 10000 то я бы посмотрел как ты методично вбиваешь домены
задача часто обратная - не прощелкать важное письмо. Ведь оно может оказаться денежным :) (клиент в Гватемале проклюнется! Или в Казани)То есть принимать все, за исключением 50 особо поганых источников.
С которыми интенсивная - можно и созвониться для уточнения. А как быть с письмами, котрых ждешь, но не ведаешь откуда?
>Товарищи, а как dspam использовать c exim на шлюзе, а не на
>почтовом сервере для локальных доменов?
>Он же не может нормально отдавать Exim-у письмо обратно, или сигнализировать как
>spamassassin? Или может? Он может слать его дальше сам, но это
>же криво, я хочу, чтобы отсылал exim.
>Отдавать буду по LMTP, а результат как получать?может, выше ссылка на статью
зато Greylist трафика не создает, а спамассасин на сколько нам помниться работает с полными письмами.. посмотрим если у тя траф лимитированный как ты запоешь
Позволю и я себе высказаться...
пользователей >400
стоит связка примерно такая:
1. tcpserver -> на этапе коннекта - RBL
2. qmail-spamcontrol (rcptto,helo...)
3. simscan (clamav, spamassassin - опционально)
ну, и кому этого не достаточно -
4. tmda
Так вот, tmda, IMHO, более правильная альтернатива greylist`у. Задержка - время реакции отправляющей стороны. Ничего не нужно вбивать. Единственное но - пользователь должен быть с головой.Скажу сразу, tmda пользуются <1%, но те, кто пользуются _вообще_ не видят спам.
А вот новость о выходе нового SA - гуд. ;)
> Скажу сразу, tmda пользуются <1%, но те, кто пользуются _вообще_ не видят спам.Охотно верю. Но, как вы сами отмечаете:
> Единственное но - пользователь должен быть с головой.
С этим у подавляющего большинства серьёзные проблемы.
Вы можете представить себе CEO большой компании, который станет играть в challenge/response с вашей TMDA ? Я вот как-то не могу. А значит, TMDA - не более, чем игрушка для компьютерных фриков и гиков. Защищающая от спама, спору нет, но совершенно неприемлемой ценой.
Недавно поставил Spamassassin версии 3.10 и хочу предостеречь народ от торопливой установки сего продукта на своих серверах. До этого был 3.01. После доводки его (ранее был 2.63) жалоб в процессе эксплуатации больше не было. А с 3.10 чувствую придется помучиться, либо вернуться на 3.01.
Началось с того, что почему-то сильно поменялись (и далеко в нелучшую сторону) коэффициенты. Вдруг bayes_99 упал до 3.5, а русские буквы в заголовках from и subj вдруг стали весить более 4 баллов. Ужас! Стал проходить спам и отсеиваться почта от роботов и рассылок. Ведь роботы пишут наши криворукие программеры, которые не читают RFC. Видимо, это может полечиться ручной правкой баллов local.cf. Но что печальнее, появились непонятки в работе журналирования и стал глючить sa-learn.
Хотя начинает появляться мысль, а нафиг он нужен? Spamassassin, то есть. Он сейчас отлавливает у меня всего то 3-5 писем в день. Да и то раз в неделю неправильно отсеивает "правильную" (вернее нужную, но корявую) почту с рассылок с работных сайтов. Кадровики жалуются :-(
Так недавно пришло письмо с 11.5 баллов и было забраковано. Оказалось, это было хорошее письмо по рассылке. Все после того, как в 10-м SA были увеличены баллы за FROM_ILLEGAL_CHARS и
SUBJ_ILLEGAL_CHARS до нереально высоких величин.
>Началось с того, что почему-то сильно поменялись (и далеко в нелучшую сторону)
>коэффициенты. Вдруг bayes_99 упал до 3.5, а русские буквы в заголовках
>from и subj вдруг стали весить более 4 баллов. Ужас!настрой. это было уже в 2.64
>Стал проходить спам и отсеиваться почта от роботов и рассылок. Ведь
>роботы пишут наши криворукие программеры, которые не читают RFC.это проблемы исключительно программеров.
Видимо, это
>может полечиться ручной правкой баллов local.cf. Но что печальнее, появились непонятки
>в работе журналирования и стал глючить sa-learn.ни разу не заметил.
>Хотя начинает появляться мысль, а нафиг он нужен? Spamassassin, то есть. Он
>сейчас отлавливает у меня всего то 3-5 писем в день. Да
>и то раз в неделю неправильно отсеивает "правильную" (вернее нужную, но
>корявую) почту с рассылок с работных сайтов.а нормальные лиди и не отсеивают почту, просто помечают ее. дабы потом обработать правилами MUA.
> Кадровики жалуются :-(
>Так недавно пришло письмо с 11.5 баллов и было забраковано. Оказалось, это
>было хорошее письмо по рассылке. Все после того, как в 10-м
>SA были увеличены баллы за FROM_ILLEGAL_CHARS и
>SUBJ_ILLEGAL_CHARS до нереально высоких величин.Они нереальны еще 2.64. и подлежат снижению...
Уже давно было обсуждение, что в целом SA лучше того же спамтеста, но нужно нудно и долго точить его руками. Если тебе лень или некогда - используй коммерческие решения, где это все делают за себя. у Spamtest, кстати, одна из целей минимизирование false positives
Вопрос такой, как сделатьчтоб SA всеже реагировал на
body CUST_RUS_SEX /плохое слово|очень плохое слово/i
Дело в том, что когда плохие слова на кирилице, то SA их не замечает :( а латиницей - нормально... "через раз" парсит когда в windows-1251 приходят письма.ТЕ вопрос в следующем, как SA помочь понимать больше русскоязычных кодировок, не ссредствами ьбаеса. а прямой фильтрацией ?
Спасибо.