Добрый день всем!настроил почтовый сервачок в небольшой конторе на базе postfix+amavis и заметил, что со временем количество приходящего спама увеличивается в геометрической прогрессии.
скармливаю spamassassin пару раз в месяц образцы спама в количестве 300-1000штук(хама в 10 раз меньше) - не помогает.
пробовал раз в минуту искать в /var/log/maillog адреса, фильтрованные с помощью RBL(spamcop.net,abuseat.org), и добавлять их в таблицу, блокируемую pf(их там уже больше 15тыс) - тоже без особого успеха.
Еще добавил header_checks = regexp:/usr/local/etc/postfix/header_checks в main.cf
>cat header_checks
....
/^X-Spam-Status: Yes/ DISCARD
/^\[[0-9]+\]: / DISCARD
/dsl.*\..*\..*/i DISCARD AUTO_DSL spam
/[ax]dsl.\.*\..*\..*/ DISCARD AUTO_DSL spam
#/^.*(ppp|pppoe|dsl).*\..*
/^.*pppoe\.avangard-dsl\.ru/ DISCARD AUTO_DSL spam
/^.*pppoe\.mtu-net\.ru/ DISCARD AUTO_DSL spam
/^.*rssp-net\.spb\.ru/ DISCARD AUTO_DSL spam
/^.*@msn\.com/ DISCARD bad sender
/^.*@hotmail\.com/ DISCARD bad sender
/^.*@yahoo\.com/ DISCARD bad sender
#discard emails with too long prefixes of >15 letters in a row:
/^From: .*<[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}>/ DISCARD too long prefix
/^Reply-To: .*<[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}>/ DISCARD too long prefix
/^Return-path: .*<[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}>/ DISCARD too long prefix
/^From: .*[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}/ DISCARD too long prefix
/^Reply-To: .*[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}/ DISCARD too long prefix
/^Return-path: .*[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}/ DISCARD too long prefix
#Discard email from foreign domains:
/^(F|f)rom: .*<[-_.a-zA-Z0-9]+@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.(edu|us|gov|uk|ca|it|fr|de|jp|cz|sw|yu|uy|es|ca|br|au|lv|tw|ac|pl|tn|th|si|ar|hu|dk|be|nl|ee|hu|in|gr|tr|il|at|ro|za|no|pt|net|org)>/ DISCARD FOREIGNERZ
/^.*(F|f)rom: .*<[-_.a-zA-Z0-9]+@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.(edu|us|gov|uk|ca|it|fr|de|jp|cz|sw|yu|uy|es|ca|br|au|lv|tw|ac|pl|tn|th|si|ar|hu|dk|be|nl|ee|hu|in|gr|tr|il|at|ro|za|no|pt|net|org)>/ DISCARD FOREIGNERZ
....
в итоге сервер все равно устанавливает соединения и с ppp/adsl клиентами и с забугорными доменами :( хотелось бы чтобы он их сразу отфутболивал
Подскажите плз наиболее эффективный способ фильтрации еще на этапе установки соединения, поскольку, хоть после проверки спам частично отсеивается, но трафик сильно отжирает.
и еще вопрос:
корректно ли я делаю когда скармливаю спам и хам следующим образом:
в аутглюке с помощью drag'n'drop перетаскиваю сообщения в папку, там образуется куча *.msg файлов, я их переименовываю чтобы исключить русские буквы в названии файла и заливаю на сервер, там "sa-learn --progress --spam /folder/to/spam/messages"
смущает, понимает ли spamassassin при обучении кодировку, в которой аутлук сохраняет *.msg файлы.
заранее спасибо за помощь!
Вариант для распечатки
Информационная безопасность (Public)
(??) on 01-Июл-08, 15:37 
