Титла: Борба с руския спам, spamassassin.
Публикувано от: batzas в Oct 13, 2011, 10:19
В общи линии въпроса е дали някой е правил нещо за орязване на руския спам по 3те букви по които ни се различава азбуката. Пробвах това, но заради различните енкодинги, не се получават стабилни резултати: body ruspam /ы|ё|э|Ы|Ё|Э/ score ruspam 4.0 describe ruspam Russian spam. Вероятно ще трябва да е някакъв микс от намиране на енкодинга + символите, но силите ми не стигат. Също и търсенето по нета не помага. Мерси предварително
Титла: Re: Борба с руския спам, spamassassin.
Публикувано от: laskov в Oct 13, 2011, 10:53
Не ми се е налагало да разграничавам руския от останалия. Между другото, има един скрипт sa-update, който обновява правилата на SA.
Титла: Re: Борба с руския спам, spamassassin.
Публикувано от: batzas в Oct 13, 2011, 11:01
са-ъпдейта си се върти в крона. Проблема на руския е, че е много! Също така използват домейни които са хакнати като тръстед хай в DNSWL и всеки път са различни. Все пак един домейн за 10$ докато стане ънтръстед те ще са изкарали поне 10$К. А самите съобщения са примерно само текст и телефон.
Цялата тъпня за нас е че използваме същата азбука => кодови таблици и няма как да го разграничим по това.
ПП Спама от останалия свят е почти елеминиран с малки изключения. А с българския е лесно да се бориш.
Титла: Re: Борба с руския спам, spamassassin.
Публикувано от: laskov в Oct 13, 2011, 11:19
Може ли да покажеш тук headers на едно руско писмо?
Титла: Re: Борба с руския спам, spamassassin.
Публикувано от: batzas в Oct 13, 2011, 12:38
Те го направо цялото съобщение From - Thu Oct 13 12:32:20 2011 X-Account-Key: account4 X-UIDL: UID3371-1309328816 X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 X-Mozilla-Keys: Return-Path: <kwkhyw@alborada.es> X-Original-To: vlux@videolux.bg Delivered-To: vlux@videolux.bg Received: from localhost (unknown [127.0.0.1]) by videolux.bg (Postfix) with ESMTP id BE2697C707E1 for <vlux@videolux.bg>; Thu, 13 Oct 2011 09:25:59 +0000 (UTC) X-Virus-Scanned: amavisd-new at localhost.localdomain X-Spam-Flag: NO X-Spam-Score: 3.31 X-Spam-Level: *** X-Spam-Status: No, score=3.31 tagged_above=2 required=4 tests=[BAYES_00=-2.599, DCC_CHECK=2.17, DOS_OE_TO_MX=2.75, HTML_MESSAGE=0.001, RCVD_IN_SORBS_DUL=0.877, RDNS_DYNAMIC=0.1, UPPERCASE_50_75=0.001, ruspam=0.01] autolearn=no Received: from videolux.bg ([127.0.0.1]) by localhost (gate.videolux.bg [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id m38bnJmRMPl9 for <vlux@videolux.bg>; Thu, 13 Oct 2011 12:25:59 +0300 (EEST) Received: from alborada.es (ppp-60-109.26-151.libero.it [151.26.109.60]) by videolux.bg (Postfix) with ESMTP id AC58B7C70A6B for <vlux@videolux.bg>; Thu, 13 Oct 2011 12:25:57 +0300 (EEST) Message-ID: <062701cc8989$27a982a6$2876952c@alborada.es> From: =?windows-1251?B?zODw6P8g0ejk7vDu4uA=?= <kwkhyw@alborada.es> To: <vlux@videolux.bg> Subject: =?windows-1251?B?wu7yIPDg4e7y4CDk6/8g4uD45ePuIOH+5Obl8uAhISE=?= Date: Thu, 13 Oct 2011 11:25:54 +0100 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_NextPart_000_0023_DC_01CC8997.4B406DCB" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.2180 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3350
This is a multi-part message in MIME format.
------=_NextPart_000_0023_DC_01CC8997.4B406DCB Content-Type: text/plain; charset="windows-1251" Content-Transfer-Encoding: quoted-printable
=C2=FB =E8=F9=E5=F2=E5 =F0=E0=E1=EE=F2=F3? =CC=FB =E8=F9=E5=EC - =F1=EF= =E5=F6=E8=E0=EB=E8=F1=F2=EE=E2!!! =C3=CBAB. =C1=D3X=C3=C0=CBTEP =F1 =EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB =EE=F2 =F2=F0=B8=F5 =EB=E5=F2 = =E8 =E7=ED=E0=ED=E8=E5=EC =EF=F0=EE=E3=F0=E0=EC=EC=FB "1=D1:=C1=F3=F5=E3= =E0=EB=F2=E5=F0=E8=FF 7.7, 8.2". =C7/=EF=EB. 6=CE.000 =F0-=EB=E5=E9 =E8 =E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3= =E0=EC =F0=E0=E1=EE=F2=FB. =C4=EB=FF =C3=CBABH=DBX =C1=D3X=C3A=CBTEPOB = =E8 =C1=D3X=C3A=CBTEPOB =E8=EC=E5=E5=F2=F1=FF =F0=E0=E1=EE=F2=E0 =E2 =E2=E5=F7=E5=F0=ED=E8=E5 =F7= =E0=F1=FB =E8 =EF=EE =E2=FB=F5=EE=E4=ED=FB=EC =E4=ED=FF=EC =EF=EE =F1=EE=E2=EC=E5=F1=F2=E8=F2=E5=EB=FC=F1=F2=E2=F3. = =CE=CF=C5=D0=C0=D2=CE=D0 =CF=CA =F1 =EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB =E8 =F5=EE=F0=EE=F8=E8=EC =E7= =ED=E0=ED=E8=E5=EC =EE=F4=E8=F1=ED=FB=F5 =EF=F0=EE=E3=F0=E0=EC=EC =E8 =EE= =F0=E3=F2=E5=F5=ED=E8=EA=E8. =C7/=EF=EB 24 000 =F0-=EB=E5=E9. =E8 =E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3=E0= =EC =F0=E0=E1=EE=F2=FB. =D1 =EF=E5=F0=F1=EF=E5=EA=F2=E8=E2=EE=E9 =EA=E0=F0=FC=E5=F0=ED=EE=E3=EE = =F0=EE=F1=F2=E0. =CFPO=C3PAMM=C8CT 1C =C7 / =EF=EB =EE=F2 8=CE 000 =F0=F3=E1=EB=E5=E9 =ED=E0 =E8=F1=EF=FB=F2=E0= =F2=E5=EB=FC=ED=FB=E9 =F1=F0=EE=EA =E8 =E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3=E0=EC =EF=F0=EE=F5=EE=E6=E4=E5=ED=E8=FF= =E8=F1=EF=FB=F2=E0=F2=E5=EB=FC=ED=EE=E3=EE =F1=F0=EE=EA=E0 =D1=C5=CA=D0=C5=D2=C0=D0=DC =F1 =EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB =EE=F2 1_=E3=EE =E3 =E8 =F5=EE= =F0=EE=F8=E8=EC =E7=ED=E0=ED=E8=E5=EC =EE=F4=E8=F1=ED=FB=F5 =EF=F0=EE=E3= =F0=E0=EC=EC =E8 =EE=F0=E3=F2=E5=F5=ED=E8=EA=E8. =C7=E0=F0=EF=EB=E0=F2=E0 24 =F2=FB=F1= =FF=F7 =F0=F3=E1. =E8 =E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3=E0=EC =F0=E0=E1=EE= =F2=FB =CA=D3=D0=DC=C5=D0 =C7=E0=F0=EF=EB=E0=F2=E0 =EE=F2 17 000 =F0=F3=E1-=E9. =E8 =E2=FB=F8=E5 =EF= =EE =E8=F2=EE=E3=E0=EC =F0=E0=E1=EE=F2=FB. =CD=E0=F8 =EE=F4=E8=F1: =F1=F2= =EC. =CD=E0=E3=EE=F0=ED=E0=FF / =CD=E0=E3=E0=F2=E8=ED=F1=EA=E0=FF =CF=EE =E2=EE=EF=F0=EE=F1=E0=EC =F2=F0=F3=E4=EE=F3=F1=F2=F0=EE=E9=F1=F2=E2= =E0 =EE=E1=F0=E0=F9=E0=E9=F2=E5=F1=FC =EA=EE=ED=F2=E0=EA=F2=ED=EE=EC=F3 =F2=E5=EB: (=D795) .5=CE.4-8.I=3D5.7 K=D3=CF=C8M A=D3=C4=C8TOPCK=C8E / =C1=D3X=C3A=CBTEPCK=C8=C5 =D4=C8PM=DB! PA=C1OT=CD=C8=CA=CE=C2 =C2=CE=C7=DC=CC=C5=CC =CD=C0 =D0=C0=C1OT=D3! ! !
------=_NextPart_000_0023_DC_01CC8997.4B406DCB Content-Type: text/html; charset="windows-1251" Content-Transfer-Encoding: quoted-printable
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META http-equiv=3DContent-Type content=3D"text/html; charset=3Dwindows-= 1251"> <META content=3D"MSHTML 6.00.6000.16788" name=3DGENERATOR> <STYLE></STYLE> </HEAD> <BODY bgColor=3D#ffffff>
<DIV><FONT size=3D5 face=3DCalibri>=C2=FB =E8=F9=E5=F2=E5 =F0=E0=E1=EE=F2= =F3? =CC=FB =E8=F9=E5=EC - =F1=EF=E5=F6=E8=E0=EB=E8=F1=F2=EE=E2!!!</FONT= ></DIV> <DIV> </DIV> <DIV><FONT size=3D4 Calibri><U>=C3=CBAB. =C1=D3X=C3=C0=CBTEP</U><BR>=F1 = =EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB =EE=F2 =F2=F0=B8=F5 =EB=E5=F2 =E8=20 =E7=ED=E0=ED=E8=E5=EC =EF=F0=EE=E3=F0=E0=EC=EC=FB "1=D1:=C1=F3=F5=E3=E0=EB= =F2=E5=F0=E8=FF 7.7, 8.2". <BR>=C7/=EF=EB. 6=CE.000=20 =F0-=EB=E5=E9 =E8 =E2=FB=F8=E5 =EF=EE=20 =E8=F2=EE=E3=E0=EC =F0=E0=E1=EE=F2=FB.</FONT></DIV> <DIV><FONT size=3D4></FONT> </DIV>
<DIV><FONT size=3D4 Calibri><U>=C4=EB=FF =C3=CBABH=DBX =C1=D3X=C3A=CBTEP= OB =E8 =C1=D3X=C3A=CBTEPOB</U><BR>=E8=EC=E5=E5=F2=F1=FF =F0=E0=E1=EE=F2=E0= =20 =E2 =E2=E5=F7=E5=F0=ED=E8=E5 =F7=E0=F1=FB =E8 =EF=EE =E2=FB=F5=EE=E4=ED=FB= =EC <BR>=E4=ED=FF=EC =EF=EE =F1=EE=E2=EC=E5=F1=F2=E8=F2=E5=EB=FC=F1=F2=E2= =F3.</FONT></DIV> <DIV><FONT size=3D4></FONT> </DIV> <DIV><FONT size=3D4 Calibri><U>=CE=CF=C5=D0=C0=D2=CE=D0 =CF=CA</U> <BR>=F1= =EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB =E8 =F5=EE=F0=EE=F8=E8=EC =E7= =ED=E0=ED=E8=E5=EC=20 =EE=F4=E8=F1=ED=FB=F5 =EF=F0=EE=E3=F0=E0=EC=EC =E8 =EE=F0=E3=F2=E5=F5=ED= =E8=EA=E8.<BR>=C7/=EF=EB 24 000 =F0-=EB=E5=E9. =E8 =E2=FB=F8=E5 =EF=EE =E8= =F2=EE=E3=E0=EC=20 =F0=E0=E1=EE=F2=FB.<BR>=D1 =EF=E5=F0=F1=EF=E5=EA=F2=E8=E2=EE=E9 =EA=E0=F0= =FC=E5=F0=ED=EE=E3=EE =F0=EE=F1=F2=E0.<BR><U>=CFPO=C3PAMM=C8CT 1C</U><BR= >=C7 / =EF=EB =EE=F2 8=CE 000=20 =F0=F3=E1=EB=E5=E9 =ED=E0 =E8=F1=EF=FB=F2=E0=F2=E5=EB=FC=ED=FB=E9 =F1=F0= =EE=EA =E8<BR>=E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3=E0=EC =EF=F0=EE=F5=EE=E6=E4= =E5=ED=E8=FF=20 =E8=F1=EF=FB=F2=E0=F2=E5=EB=FC=ED=EE=E3=EE =F1=F0=EE=EA=E0<BR><U>=D1=C5=CA= =D0=C5=D2=C0=D0=DC</U> <BR>=F1 =EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB =EE= =F2 1_=E3=EE =E3 =E8 =F5=EE=F0=EE=F8=E8=EC=20 =E7=ED=E0=ED=E8=E5=EC =EE=F4=E8=F1=ED=FB=F5 =EF=F0=EE=E3=F0=E0=EC=EC <BR= >=E8 =EE=F0=E3=F2=E5=F5=ED=E8=EA=E8. =C7=E0=F0=EF=EB=E0=F2=E0 24 =F2=FB=F1= =FF=F7 =F0=F3=E1. =E8=20 =E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3=E0=EC =F0=E0=E1=EE=F2=FB<BR><U>=CA= =D3=D0=DC=C5=D0</U><BR>=C7=E0=F0=EF=EB=E0=F2=E0 =EE=F2 17 000=20 =F0=F3=E1-=E9. =E8 =E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3=E0=EC =F0=E0=E1=EE=F2= =FB.</FONT></DIV>
<DIV><FONT size=3D4></FONT> </DIV> <DIV><FONT size=3D4 Calibri>=CD=E0=F8 =EE=F4=E8=F1: =F1=F2.=EC. =CD=E0=E3= =EE=F0=ED=E0=FF / =CD=E0=E3=E0=F2=E8=ED=F1=EA=E0=FF<BR>=CF=EE =E2=EE=EF=F0= =EE=F1=E0=EC=20 =F2=F0=F3=E4=EE=F3=F1=F2=F0=EE=E9=F1=F2=E2=E0 =EE=E1=F0=E0=F9=E0=E9=F2=E5= =F1=FC<BR>=EA=EE=ED=F2=E0=EA=F2=ED=EE=EC=F3 =F2=E5=EB: (=D795) .5=CE.4-= 8.I=3D5.7<BR>K=D3=CF=C8M A=D3=C4=C8TOPCK=C8E=20 / =C1=D3X=C3A=CBTEPCK=C8=C5 =D4=C8PM=DB!<BR><U>PA=C1OT=CD=C8=CA=CE=C2 =C2= =CE=C7=DC=CC=C5=CC =CD=C0=20 =D0=C0=C1OT=D3! ! !</U></FONT></DIV></BODY></HTML>
------=_NextPart_000_0023_DC_01CC8997.4B406DCB--
Апропо мисля си за няколко Мета правила, Ако кодовата таблица е еди каква си и са срещат еди какви си символи и така за кои8р 1251 и утф8
Титла: Re: Борба с руския спам, spamassassin.
Публикувано от: laskov в Oct 13, 2011, 13:43
Видях ги и при мен, но в конфига на моя sendmail имам едно Kcheckaddress regex -a@MATCH ((pool|ppp|cable|dhcp|dial(in|up))|[0-9]+\.(dyna|broad)) , което с още 2-3 реда отказва повечето, в чиито адреси има ppp и другите изброени. Някой може да каже, че не е коректно да го правя ... Един се е изхитрил и е влязъл, но не е стигнал далеч: Sep 14 17:18:30 mail sm-mta[23789]: p8EEITYg023789: from=<office-sofia@йййй.bg>, size=4094, class=0, nrcpts=1, msgid=<201109141418.p8EEITYg023789@mail.йййй.bg>, bodytype=8BITMIME, proto=SMTP, daemon=MTA, relay=ppp-174-213.24-151.libero.it [151.24.213.174] Sep 14 17:18:56 mail MailScanner[22890]: Message p8EEITYg023789 from 151.24.213.174 (office-sofia@ййййй.bg) to йййй.bg is spam, SpamAssassin (not cached, score=25.778, required 3, autolearn=spam, BAYES_99 3.50, DCC_CHECK 2.17, DIGEST_MULTIPLE 0.00, HTML_IMAGE_RATIO_04 0.17, HTML_MESSAGE 0.00, MIME_HTML_ONLY 1.46, RAZOR2_CF_RANGE_51_100 0.50, RAZOR2_CF_RANGE_E8_51_100 1.50, RAZOR2_CHECK 0.50, RCVD_IN_PBL 0.91, RCVD_IN_SORBS_DUL 0.88, RCVD_IN_XBL 3.03, RDNS_DYNAMIC 0.10, SPOOF_COM2COM 2.27, SUBJECT_NEEDS_ENCODING 0.00, URIBL_AB_SURBL 1.86, URIBL_BLACK 1.96, URIBL_JP_SURBL 1.50, URIBL_SBL 1.50, URIBL_SC_SURBL 0.47, URIBL_WS_SURBL 1.50) Sep 14 17:18:56 mail MailScanner[22890]: Spam Actions: message p8EEITYg023789 actions are delete Имаш ли инсталиран Razor ($2) ? Това горе можеш да го имитираш като увеличиш коефициента RDNS_DYNAMIC=0.1
Титла: Re: Борба с руския спам, spamassassin.
Публикувано от: batzas в Oct 13, 2011, 14:11
Това няма да ми свърши много работа, щото си ги пращат от съвсем нормални сървъри. Да имам разоз пизор и дцц.
Edit: Ся като поразгледах спама и не открих Разор простий, зех че го инициализирах тоя разор. Се си мислех, че си работи. Етид Пиаф: Надига ги набързо рейтингите, сега трябва да гледам спама данеби да почне нормална поща да спира.
Титла: Re: Борба с руския спам, spamassassin.
Публикувано от: batzas в Oct 14, 2011, 10:19
В общи линии разора не промени много нещата. В най-спамената поща са минали 16 спамчета от тях 13 руски. Все пак ще трябва да правя някакъв филтър.
|