ednet 136 Zgłoś post Napisano Listopad 15, 2006 Witam Myślę zę dla Was to proste pytanie. Mam konto z cPanelem i jak kazdy otrzymuje duze ilosci spamu. Spamassassina mam włączonego i ustawione required_score na 4. Kazdy spam ma dodawany przedrostek [sPAM]. Pomimo tego od okolo 1-2 miesięcy otrzymuję więcej spamu. Listy jakie są ewidentnym spamem przechodzą bez problemu przez filtry. W naglowkach majli mam informację: X-Spam-Checker-Version: SpamAssassin 3.1.7 (2006-10-05) on XXXXXXXX.plX-Spam-Level: * X-Spam-Status: No, score=1.7 required=4.0 tests=EXTRA_MPART_TYPE, HTML_IMAGE_ONLY_32,HTML_MESSAGE autolearn=disabled version=3.1.7 Juz kiedys dzwonilem do obslugi serwera ale powiedzieli ze nie mozna tego dokladniej ustawić. Zanim ponownie do nich zadzwonie chcialem od Was się dowiedzieć czy Spamassassina mozna skonfigurowac aby lepiej filtrowal poczte? Słyszalem ze jest możliwość aby Spamassassin sam uczył sie co jest Spamem ale nie znam szczegółów. Jak będę dzwonił do nich to chciałbym przedstawić jakieś argumenty bo nie chcialbym zeby mnie zbyli. Ed Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Listopad 15, 2006 autolearn=disabled Tego nie powinno tu być. Udostępnij ten post Link to postu Udostępnij na innych stronach
ednet 136 Zgłoś post Napisano Listopad 15, 2006 Tego nie powinno tu być. czyli Spamasasin nie przyjmuje nowych definicji wirusow! Dzieki za pomoc! ed Udostępnij ten post Link to postu Udostępnij na innych stronach
moron 0 Zgłoś post Napisano Listopad 15, 2006 u mnie filtruje jakies 98% spamu a mam ustawione na 5 punktow powinienes poduczyc troche tego SA Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość adamszendzielorz Zgłoś post Napisano Listopad 15, 2006 required_score na 4. Kazdy spam ma dodawany przedrostek [sPAM]. Pomimo tego od okolo 1-2 miesięcy otrzymuję więcej spamu. Przede wszystkim jaki to jest spam ? Podejrzewam (chocby po tym jednym wklejonym fragmencie naglowka) ze chodzi o syf zawarty w animowanych gifach ? Nadawca / temat / tresc sa prawie za kazdym razem rozne - tresc jest brana z roznych przypadkowych stron www. Zainteresuj sie pluginem FuzzyOcr... Tak tak, dozylismy czasow ze skanery antyspamowe musza OCRowac zalaczone w mailach obrazki (sic!). Zeby tego bylo malo to musza rozbijac animowane gify na poszczegolne klatki i OCRowac ich tresc pokolei.. Ja do teraz nie moge sie otrzasnac ;-) pozdr. Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Listopad 15, 2006 Zainteresuj sie pluginem FuzzyOcr... Zdradzisz Adam, o ile(w wypadku Progreso) mniej więcej wzrósł load na serwerze poczty po dograniu tej zabawki? Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość adamszendzielorz Zgłoś post Napisano Listopad 16, 2006 Zdradzisz Adam, o ile(w wypadku Progreso) mniej więcej wzrósł load na serwerze poczty po dograniu tej zabawki? Nie jest najgorzej, choc zeby nie bylo problemu musielismy dolozyc trzecia fizyczna maszyne (dual PIII, 2GB RAM, scsi) do obslugi poczty. Ale przyznam szczerze ze sadzilem, ze bedzie znacznie ciezej :-) Co do tego jaka ma wydajnosc maszynka z taka konfiguracja, to dla przykladu logi z jednej maszyny z ostatnich 3 tygodni: # cat mailstats.csv | wc -l 1086490 (prawie 1,1 mln przeskanowanych wiadomosci) # cat mailstats.csv | grep SPAM-QUARANTINED | wc -l 539441 (ponad 500 tys. odrzuconego SPAMU) # cat mailstats.csv | grep CLAMDSCAN | wc -l 25344 (ponad 25 tys odrzuconych wirusow) Mysle ze obyloby sie bez tej trzeciej maszyny, bo LA na kazdej jest teraz naprawde niskie (1-2) ale mielismy ostatnio troche klopotow z atakami SMTP wiec i tak trzebabylo.. A ze byl pretekst w postaci OCRu to tym bardziej ;-) pozdr. Pomimo tego od okolo 1-2 miesięcy otrzymuję więcej spamu. Aaaa jeszcze jedna bardzo wazna rzecz pozwalajaca uniknac *masy* (powiedzialbym ze grubo ponad 50%) spamu. Nie wpuszczaj na swoje serwery SMTP maili wysylanych *DO* Twoich uzytkownikow *Z* adresow przydzielanych dynamicznie (neostrady i tak dalej). Jezeli Twoj serwer SMTP jednoczesnie przyjmuje poczte z zewnatrz oraz od Twoich lokalnych uzytkownikow to bedziesz mial niestety troche zabawy z ustawieniem tegoz. Najlepiej miec oddzielny serwer poczty tylko do przyjmowania wiadomosci z zewnatrz (okreslony przez rekord MX w DNSie) i wyciac na firewallu wszystkie znane Ci dynamiczne pule adresowe - ja wycialem setki tysiecy IPkow i ruch na SMTP zmalal parokrotnie!). Dzis spamerzy wykorzystuja trojany jako silniki SMTP, a te najczesciej siedza na komputerach end-userow z dynamicznymi IPkami na uslugach typu Neostrada (najwiecej syfu przychodzilo mi z odpowiednika Neostrady we Francji - nie pamietam nazwy hosta...). Jezeli nie masz oddzielnego serwera - mozesz zrobic pewien myk.. Zbindowac "normalny" SMTP na adresie IP z ktorego beda korzystac Twoi uzytkownicy (i tutaj nie wpuszczac *zadnych* innych maili niz tylko od Twoich autoryzowanych uzytkownikow) a na innym adresie IP zbindowac serwer SMTP tylko do przyjmowania poczty z zewnatrz (i jego okreslic w rekordach MX wszystkich uzywanych domen). Wtedy rownie latwo co w przypadku posiadania oddzielnego serwera pocztowego mozna ciac poczte na firewallu (iptables np.). Gdyby kogos interesowalo moge udostepnic wycinane przezemnie pule adresowe -> a jezeli ktos ma cos podobnego to prosze o wklejenie - tego syfu nigdy nie wytepimy w 100% ale im wiecej regulek tym bedzie spamerom coraz trudniej pozdr. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość voytar Zgłoś post Napisano Listopad 16, 2006 Nie wpuszczaj na swoje serwery SMTP maili wysylanych *DO* Twoich uzytkownikow *Z* adresow przydzielanych dynamicznie (neostrady i tak dalej). Jezeli Twoj serwer SMTP jednoczesnie przyjmuje poczte z zewnatrz oraz od Twoich lokalnych uzytkownikow to bedziesz mial niestety troche zabawy z ustawieniem tegoz.Nie wystarczy do tego RBL? Udostępnij ten post Link to postu Udostępnij na innych stronach
ednet 136 Zgłoś post Napisano Listopad 16, 2006 Tego nie powinno tu być. Dostalem odpowiedź z suportu serwera gdziej jest moje konto, ze ustawienie autolearn na enabled raczej nie spowoduje zmniejszenia ilości spamu. Dodatkowo wzrosnie obciązenie serwera i pozostałe usługi będą pracowały wolniej. ed Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość adamszendzielorz Zgłoś post Napisano Listopad 16, 2006 Nie wystarczy do tego RBL? Nie, na RBLa dany IPek dostaje sie zwykle w kilka/nascie/dziesiat godzin *po* wyslaniu spamu i zaraportowaniu przez userow, czyli juz "po ptakach". Zwykle tez komputer zakazonego usera ma juz dawno inny adres IP i "sieje" od nowa. Pozatym wiekszosc tych IPkow poprostu nie ma na zadnych RBLach. pozdr. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość voytar Zgłoś post Napisano Listopad 16, 2006 Nie, na RBLa dany IPek dostaje sie zwykle w kilka/nascie/dziesiat godzin *po* wyslaniu spamu i zaraportowaniu przez userow, czyli juz "po ptakach". Zwykle tez komputer zakazonego usera ma juz dawno inny adres IP i "sieje" od nowa. Pozatym wiekszosc tych IPkow poprostu nie ma na zadnych RBLach.pozdr. Na SORBS DUHL też? Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość adamszendzielorz Zgłoś post Napisano Listopad 16, 2006 Na SORBS DUHL też? Tez nie wszystkie. Ale mimo wszystko to jak Ty sobie ta konfiguracje wyobrazasz jezeli na tym samym serwerze smtp normalni klienci wysylaja zwykla poczte w swiat ? Trzebaby te RBLe sprawdzac za autoryzacja. A to mimo wszystko bedzie obciazac maszyne (chocby DNSy). Nie ma problemu jezeli masz 10 takich polaczen na godzine, ale jak masz 500 na sekunde to juz robi sie wiekszy klopot pozdr. Udostępnij ten post Link to postu Udostępnij na innych stronach
huan 18 Zgłoś post Napisano Listopad 18, 2006 Dostalem odpowiedź z suportu serwera gdziej jest moje konto, ze ustawienie autolearn na enabled raczej nie spowoduje zmniejszenia ilości spamu. Dodatkowo wzrosnie obciązenie serwera i pozostałe usługi będą pracowały wolniej. Pewnie, ze wlaczenia autolearn Bayes zwieksza obciazenie, ale jest to bardzo skuteczna metoda walki ze spamem i potrafi wielokrotnie zmniejszyc ilosc dostarczanego spamu. Udostępnij ten post Link to postu Udostępnij na innych stronach
ednet 136 Zgłoś post Napisano Listopad 18, 2006 Pewnie, ze wlaczenia autolearn Bayes zwieksza obciazenie, ale jest to bardzo skuteczna metoda walki ze spamem i potrafi wielokrotnie zmniejszyc ilosc dostarczanego spamu. a czy jest mozliwosc odpalania np aktualizacji regulek SpamAssasina cronem np co 2 godziny? Obciążenie powinno być mniejsze przy takiej aktualizacji. ed Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość patrick Zgłoś post Napisano Listopad 19, 2006 w defaultowym programie nie spotkałem się z taką opcją. Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Listopad 19, 2006 a czy jest mozliwosc odpalania np aktualizacji regulek SpamAssasina cronem np co 2 godziny? Obciążenie powinno być mniejsze przy takiej aktualizacji. ed Po częsći tak i korzystałem z tego kiedyś. Jest taka strona w sieci, na której są publikowane "charakterystyki" tego co aktualnie niedobrego krąży via smtp w sieci. Oczywiście są to dane z tylko jednego serwera poczty, ale o ile mnie pamięc nie myli, to sporo tego było. Na stronie jest również skrypt, który należy wrzucić do crona, a który to np. raz dziennie aktualizuje regułki SA, po czym go przeładowywuje. Niestety teraz nie mam czasu przkopywać mojego spisu ulubionych, bo to ponad 0.5 MB tekstu, ale postaram się do wtorku umieścić w tym temacie link. Udostępnij ten post Link to postu Udostępnij na innych stronach
ednet 136 Zgłoś post Napisano Listopad 22, 2006 Niestety teraz nie mam czasu przkopywać mojego spisu ulubionych,bo to ponad 0.5 MB tekstu, ale postaram się do wtorku umieścić w tym temacie link. Będę Ci wdzięczny za linka do tej strony. W ciągu ostatniego póltora dnia na mojego majla weszlo 190 spamow z czego spam assasin tylko 119 oznaczył jako SPAM a pozostałe przeszly nietknięte. 37% spamu nie zostalo wykryte. To jest bardzo kiepski wynik. Suport wzbrania się przed ustawieniem autolearn=enabled bo serwer moze nie wyrobić obciążenia. Mam konto resselerskie i jeśłi nie poprawia antyspamu to chyba będę musiał się wynieśc na własny dedyk. u mnie filtruje jakies 98% spamu a mam ustawione na 5 punktow powinienes poduczyc troche tego SA @Moron: Czy masz jakiś nieobciążający za bardzo serwer sposob na douczenie SA? Ed Udostępnij ten post Link to postu Udostępnij na innych stronach
ertcap 0 Zgłoś post Napisano Listopad 22, 2006 a czy jest mozliwosc odpalania np aktualizacji regulek SpamAssasina cronem np co 2 godziny? Obciążenie powinno być mniejsze przy takiej aktualizacji. Jest. Poczytaj o sa-learn. Przenos sobie recznie spamy do jakiegos katalogu a pozniej raz w nocy odpalaj sa-learn. pzdr. Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Listopad 22, 2006 Będę Ci wdzięczny za linka do tej strony. Mówisz i masz, link numer jeden: http://www.sa-blacklist.stearns.org/sa-blacklist/ Gdzieś jeszcze miałem drugi... poszukam... Jakby ktoś chciał ciąć ruch SMTP via IPtables z Rosji: http://www.nthost.ru/allrunet.txt Tutaj z kolei Korea, Chiny, Hong-Kong, Indie, Indonezja: http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/ALL.sh.txt Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Listopad 22, 2006 Tutaj z kolei Korea, Chiny, Hong-Kong, Indie, Indonezja:http://www.hakusan.tsg.ne.jp/tjkawa/lib/krfilter/ALL.sh.txt Korea, Chiny - OK...Indonezja - nie mam pojecia... ...ale Hong-Kong, Indie? Chyba przesadzasz Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Listopad 22, 2006 ...ale Hong-Kong, Indie? Chyba przesadzasz Mam jeszcze gdzieś na dysku opracowaną na podstawie RBLa Hiszpanię i Argentynę, ale nie mogę tej listy znaleźć wśród plików "nowy dokument tekstowy(n).txt". Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Listopad 22, 2006 Mam jeszcze gdzieś na dysku opracowaną na podstawie RBLa Hiszpanię i Argentynę,ale nie mogę tej listy znaleźć wśród plików "nowy dokument tekstowy(n).txt". Raczej chodzilo mi o cos w stylu:Czy jest w ogole sens wycinac te kraje (chodzi mi tu glownie o Hong-Kong)? Prowadzisz jakies statystyki dotyczace ilosci wycinanych maili per kraj? Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Listopad 22, 2006 Raczej chodzilo mi o cos w stylu:Czy jest w ogole sens wycinac te kraje (chodzi mi tu glownie o Hong-Kong)? Prowadzisz jakies statystyki dotyczace ilosci wycinanych maili per kraj? Doskonale rozumiem o co Ci chodziło... Teraz to ja nie mam na podstawie czego tych statystyk generować, bo blokuje cały ruch z około 2800 klas. Wkurzyłem się kiedyś i tnę jak leci, zaś nowe kraje pobieram ze statystyk firm zewnętrznych. Udostępnij ten post Link to postu Udostępnij na innych stronach
p 3 Zgłoś post Napisano Listopad 22, 2006 Doskonale rozumiem o co Ci chodziło...Teraz to ja nie mam na podstawie czego tych statystyk generować, bo blokuje cały ruch z około 2800 klas. Wkurzyłem się kiedyś i tnę jak leci, zaś nowe kraje pobieram ze statystyk firm zewnętrznych. Hehe A nie boisz sie o false-positives? Udostępnij ten post Link to postu Udostępnij na innych stronach
beliq 442 Zgłoś post Napisano Listopad 22, 2006 A nie boisz sie o false-positives? Nie, bo nic mnie z tymi zakątkami globu nie łączy. Udostępnij ten post Link to postu Udostępnij na innych stronach