Linux за българи: Форуми

В общи линии въпроса е дали някой е правил нещо за орязване на руския спам по 3те букви по които ни се различава азбуката.
Пробвах това, но заради различните енкодинги, не се получават стабилни резултати:

body      ruspam   /ы|ё|э|Ы|Ё|Э/
score      ruspam   4.0
describe   ruspam   Russian spam.

Вероятно ще трябва да е някакъв микс от намиране на енкодинга + символите, но силите ми не стигат. Също и търсенето по нета не помага.

Мерси предварително

Не ми се е налагало да разграничавам руския от останалия. Между другото, има един скрипт sa-update, който обновява правилата на SA.

са-ъпдейта си се върти в крона. Проблема на руския е, че е много! Също така използват домейни които са хакнати като тръстед хай в DNSWL и всеки път са различни. Все пак един домейн за 10$ докато стане ънтръстед те ще са изкарали поне 10$К. А самите съобщения са примерно само текст и телефон.

Цялата тъпня за нас е че използваме същата азбука => кодови таблици и няма как да го разграничим по това.

ПП Спама от останалия свят е почти елеминиран с малки изключения. А с българския е лесно да се бориш.

Може ли да покажеш тук headers на едно руско писмо?

Те го направо цялото съобщение

From - Thu Oct 13 12:32:20 2011
X-Account-Key: account4
X-UIDL: UID3371-1309328816
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <kwkhyw@alborada.es>
X-Original-To: vlux@videolux.bg
Delivered-To: vlux@videolux.bg
Received: from localhost (unknown [127.0.0.1])
   by videolux.bg (Postfix) with ESMTP id BE2697C707E1
   for <vlux@videolux.bg>; Thu, 13 Oct 2011 09:25:59 +0000 (UTC)
X-Virus-Scanned: amavisd-new at localhost.localdomain
X-Spam-Flag: NO
X-Spam-Score: 3.31
X-Spam-Level: ***
X-Spam-Status: No, score=3.31 tagged_above=2 required=4
   tests=[BAYES_00=-2.599, DCC_CHECK=2.17, DOS_OE_TO_MX=2.75,
   HTML_MESSAGE=0.001, RCVD_IN_SORBS_DUL=0.877, RDNS_DYNAMIC=0.1,
   UPPERCASE_50_75=0.001, ruspam=0.01] autolearn=no
Received: from videolux.bg ([127.0.0.1])
   by localhost (gate.videolux.bg [127.0.0.1]) (amavisd-new, port 10024)
   with ESMTP id m38bnJmRMPl9 for <vlux@videolux.bg>;
   Thu, 13 Oct 2011 12:25:59 +0300 (EEST)
Received: from alborada.es (ppp-60-109.26-151.libero.it [151.26.109.60])
   by videolux.bg (Postfix) with ESMTP id AC58B7C70A6B
   for <vlux@videolux.bg>; Thu, 13 Oct 2011 12:25:57 +0300 (EEST)
Message-ID: <062701cc8989$27a982a6$2876952c@alborada.es>
From: =?windows-1251?B?zODw6P8g0ejk7vDu4uA=?= <kwkhyw@alborada.es>
To: <vlux@videolux.bg>
Subject: =?windows-1251?B?wu7yIPDg4e7y4CDk6/8g4uD45ePuIOH+5Obl8uAhISE=?=
Date: Thu, 13 Oct 2011 11:25:54 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
   boundary="----=_NextPart_000_0023_DC_01CC8997.4B406DCB"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3350

This is a multi-part message in MIME format.

------=_NextPart_000_0023_DC_01CC8997.4B406DCB
Content-Type: text/plain;
   charset="windows-1251"
Content-Transfer-Encoding: quoted-printable

 =C2=FB =E8=F9=E5=F2=E5 =F0=E0=E1=EE=F2=F3? =CC=FB =E8=F9=E5=EC - =F1=EF=
=E5=F6=E8=E0=EB=E8=F1=F2=EE=E2!!!  =C3=CBAB. =C1=D3X=C3=C0=CBTEP
=F1 =EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB =EE=F2 =F2=F0=B8=F5 =EB=E5=F2 =
=E8 =E7=ED=E0=ED=E8=E5=EC =EF=F0=EE=E3=F0=E0=EC=EC=FB "1=D1:=C1=F3=F5=E3=
=E0=EB=F2=E5=F0=E8=FF 7.7, 8.2".
 =C7/=EF=EB. 6=CE.000 =F0-=EB=E5=E9 =E8 =E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3=
=E0=EC =F0=E0=E1=EE=F2=FB.  =C4=EB=FF =C3=CBABH=DBX =C1=D3X=C3A=CBTEPOB =
=E8 =C1=D3X=C3A=CBTEPOB
=E8=EC=E5=E5=F2=F1=FF =F0=E0=E1=EE=F2=E0 =E2 =E2=E5=F7=E5=F0=ED=E8=E5 =F7=
=E0=F1=FB =E8 =EF=EE =E2=FB=F5=EE=E4=ED=FB=EC
 =E4=ED=FF=EC =EF=EE =F1=EE=E2=EC=E5=F1=F2=E8=F2=E5=EB=FC=F1=F2=E2=F3.  =
=CE=CF=C5=D0=C0=D2=CE=D0 =CF=CA
 =F1 =EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB  =E8 =F5=EE=F0=EE=F8=E8=EC =E7=
=ED=E0=ED=E8=E5=EC =EE=F4=E8=F1=ED=FB=F5 =EF=F0=EE=E3=F0=E0=EC=EC =E8 =EE=
=F0=E3=F2=E5=F5=ED=E8=EA=E8.
=C7/=EF=EB 24 000 =F0-=EB=E5=E9. =E8 =E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3=E0=
=EC =F0=E0=E1=EE=F2=FB.
=D1 =EF=E5=F0=F1=EF=E5=EA=F2=E8=E2=EE=E9 =EA=E0=F0=FC=E5=F0=ED=EE=E3=EE =
=F0=EE=F1=F2=E0.
=CFPO=C3PAMM=C8CT 1C
=C7 / =EF=EB =EE=F2 8=CE 000 =F0=F3=E1=EB=E5=E9 =ED=E0 =E8=F1=EF=FB=F2=E0=
=F2=E5=EB=FC=ED=FB=E9 =F1=F0=EE=EA =E8
=E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3=E0=EC =EF=F0=EE=F5=EE=E6=E4=E5=ED=E8=FF=
 =E8=F1=EF=FB=F2=E0=F2=E5=EB=FC=ED=EE=E3=EE =F1=F0=EE=EA=E0
=D1=C5=CA=D0=C5=D2=C0=D0=DC
 =F1 =EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB =EE=F2 1_=E3=EE =E3 =E8 =F5=EE=
=F0=EE=F8=E8=EC =E7=ED=E0=ED=E8=E5=EC =EE=F4=E8=F1=ED=FB=F5 =EF=F0=EE=E3=
=F0=E0=EC=EC
 =E8 =EE=F0=E3=F2=E5=F5=ED=E8=EA=E8. =C7=E0=F0=EF=EB=E0=F2=E0 24 =F2=FB=F1=
=FF=F7 =F0=F3=E1. =E8 =E2=FB=F8=E5  =EF=EE =E8=F2=EE=E3=E0=EC =F0=E0=E1=EE=
=F2=FB
=CA=D3=D0=DC=C5=D0
=C7=E0=F0=EF=EB=E0=F2=E0 =EE=F2 17 000 =F0=F3=E1-=E9. =E8 =E2=FB=F8=E5 =EF=
=EE =E8=F2=EE=E3=E0=EC =F0=E0=E1=EE=F2=FB.  =CD=E0=F8 =EE=F4=E8=F1: =F1=F2=
=EC. =CD=E0=E3=EE=F0=ED=E0=FF / =CD=E0=E3=E0=F2=E8=ED=F1=EA=E0=FF
=CF=EE =E2=EE=EF=F0=EE=F1=E0=EC =F2=F0=F3=E4=EE=F3=F1=F2=F0=EE=E9=F1=F2=E2=
=E0 =EE=E1=F0=E0=F9=E0=E9=F2=E5=F1=FC
=EA=EE=ED=F2=E0=EA=F2=ED=EE=EC=F3 =F2=E5=EB: (=D795) .5=CE.4-8.I=3D5.7
K=D3=CF=C8M A=D3=C4=C8TOPCK=C8E / =C1=D3X=C3A=CBTEPCK=C8=C5 =D4=C8PM=DB!
PA=C1OT=CD=C8=CA=CE=C2 =C2=CE=C7=DC=CC=C5=CC =CD=C0 =D0=C0=C1OT=D3! ! !

------=_NextPart_000_0023_DC_01CC8997.4B406DCB
Content-Type: text/html;
   charset="windows-1251"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Dwindows-=
1251">
<META content=3D"MSHTML 6.00.6000.16788" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>

<DIV><FONT size=3D5 face=3DCalibri>=C2=FB =E8=F9=E5=F2=E5 =F0=E0=E1=EE=F2=
=F3? =CC=FB =E8=F9=E5=EC - =F1=EF=E5=F6=E8=E0=EB=E8=F1=F2=EE=E2!!!</FONT=
></DIV>
<DIV>&nbsp;</DIV>
<DIV><FONT size=3D4 Calibri><U>=C3=CBAB. =C1=D3X=C3=C0=CBTEP</U><BR>=F1 =
=EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB =EE=F2 =F2=F0=B8=F5 =EB=E5=F2 =E8=20
=E7=ED=E0=ED=E8=E5=EC =EF=F0=EE=E3=F0=E0=EC=EC=FB "1=D1:=C1=F3=F5=E3=E0=EB=
=F2=E5=F0=E8=FF 7.7, 8.2". <BR>=C7/=EF=EB. 6=CE.000=20
=F0-=EB=E5=E9 =E8 =E2=FB=F8=E5 =EF=EE=20
=E8=F2=EE=E3=E0=EC =F0=E0=E1=EE=F2=FB.</FONT></DIV>
<DIV><FONT size=3D4></FONT>&nbsp;</DIV>

<DIV><FONT size=3D4 Calibri><U>=C4=EB=FF =C3=CBABH=DBX =C1=D3X=C3A=CBTEP=
OB =E8 =C1=D3X=C3A=CBTEPOB</U><BR>=E8=EC=E5=E5=F2=F1=FF =F0=E0=E1=EE=F2=E0=
=20
=E2 =E2=E5=F7=E5=F0=ED=E8=E5 =F7=E0=F1=FB =E8 =EF=EE =E2=FB=F5=EE=E4=ED=FB=
=EC <BR>=E4=ED=FF=EC =EF=EE =F1=EE=E2=EC=E5=F1=F2=E8=F2=E5=EB=FC=F1=F2=E2=
=F3.</FONT></DIV>
<DIV><FONT size=3D4></FONT>&nbsp;</DIV>
<DIV><FONT size=3D4 Calibri><U>=CE=CF=C5=D0=C0=D2=CE=D0 =CF=CA</U> <BR>=F1=
 =EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB&nbsp; =E8 =F5=EE=F0=EE=F8=E8=EC =E7=
=ED=E0=ED=E8=E5=EC=20
=EE=F4=E8=F1=ED=FB=F5 =EF=F0=EE=E3=F0=E0=EC=EC =E8 =EE=F0=E3=F2=E5=F5=ED=
=E8=EA=E8.<BR>=C7/=EF=EB 24 000 =F0-=EB=E5=E9. =E8 =E2=FB=F8=E5 =EF=EE =E8=
=F2=EE=E3=E0=EC=20
=F0=E0=E1=EE=F2=FB.<BR>=D1 =EF=E5=F0=F1=EF=E5=EA=F2=E8=E2=EE=E9 =EA=E0=F0=
=FC=E5=F0=ED=EE=E3=EE =F0=EE=F1=F2=E0.<BR><U>=CFPO=C3PAMM=C8CT 1C</U><BR=
>=C7 / =EF=EB =EE=F2 8=CE 000=20
=F0=F3=E1=EB=E5=E9 =ED=E0 =E8=F1=EF=FB=F2=E0=F2=E5=EB=FC=ED=FB=E9 =F1=F0=
=EE=EA =E8<BR>=E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3=E0=EC =EF=F0=EE=F5=EE=E6=E4=
=E5=ED=E8=FF=20
=E8=F1=EF=FB=F2=E0=F2=E5=EB=FC=ED=EE=E3=EE =F1=F0=EE=EA=E0<BR><U>=D1=C5=CA=
=D0=C5=D2=C0=D0=DC</U> <BR>=F1 =EE=EF=FB=F2=EE=EC =F0=E0=E1=EE=F2=FB =EE=
=F2 1_=E3=EE =E3 =E8 =F5=EE=F0=EE=F8=E8=EC=20
=E7=ED=E0=ED=E8=E5=EC =EE=F4=E8=F1=ED=FB=F5 =EF=F0=EE=E3=F0=E0=EC=EC <BR=
>=E8 =EE=F0=E3=F2=E5=F5=ED=E8=EA=E8. =C7=E0=F0=EF=EB=E0=F2=E0 24 =F2=FB=F1=
=FF=F7 =F0=F3=E1. =E8=20
=E2=FB=F8=E5&nbsp; =EF=EE =E8=F2=EE=E3=E0=EC =F0=E0=E1=EE=F2=FB<BR><U>=CA=
=D3=D0=DC=C5=D0</U><BR>=C7=E0=F0=EF=EB=E0=F2=E0 =EE=F2 17 000=20
=F0=F3=E1-=E9. =E8 =E2=FB=F8=E5 =EF=EE =E8=F2=EE=E3=E0=EC =F0=E0=E1=EE=F2=
=FB.</FONT></DIV>

<DIV><FONT size=3D4></FONT>&nbsp;</DIV>
<DIV><FONT size=3D4 Calibri>=CD=E0=F8 =EE=F4=E8=F1: =F1=F2.=EC. =CD=E0=E3=
=EE=F0=ED=E0=FF / =CD=E0=E3=E0=F2=E8=ED=F1=EA=E0=FF<BR>=CF=EE =E2=EE=EF=F0=
=EE=F1=E0=EC=20
=F2=F0=F3=E4=EE=F3=F1=F2=F0=EE=E9=F1=F2=E2=E0 =EE=E1=F0=E0=F9=E0=E9=F2=E5=
=F1=FC<BR>=EA=EE=ED=F2=E0=EA=F2=ED=EE=EC=F3 =F2=E5=EB:  (=D795) .5=CE.4-=
8.I=3D5.7<BR>K=D3=CF=C8M A=D3=C4=C8TOPCK=C8E=20
/ =C1=D3X=C3A=CBTEPCK=C8=C5 =D4=C8PM=DB!<BR><U>PA=C1OT=CD=C8=CA=CE=C2 =C2=
=CE=C7=DC=CC=C5=CC =CD=C0=20
=D0=C0=C1OT=D3! ! !</U></FONT></DIV></BODY></HTML>

------=_NextPart_000_0023_DC_01CC8997.4B406DCB--

Апропо мисля си за няколко Мета правила, Ако кодовата таблица е еди каква си и са срещат еди какви си символи и така за кои8р 1251 и утф8

Видях ги и при мен, но в конфига на моя sendmail имам едно

Kcheckaddress regex -a@MATCH ((pool|ppp|cable|dhcp|dial(in|up))|[0-9]+\.(dyna|broad))

, което с още 2-3 реда отказва повечето, в чиито адреси има ppp и другите изброени. Някой може да каже, че не е коректно да го правя ...

Един се е изхитрил и е влязъл, но не е стигнал далеч:

Sep 14 17:18:30 mail sm-mta[23789]: p8EEITYg023789: from=<office-sofia@йййй.bg>, size=4094, class=0, nrcpts=1, msgid=<201109141418.p8EEITYg023789@mail.йййй.bg>, bodytype=8BITMIME, proto=SMTP, daemon=MTA, relay=ppp-174-213.24-151.libero.it [151.24.213.174]
Sep 14 17:18:56 mail MailScanner[22890]: Message p8EEITYg023789 from 151.24.213.174 (office-sofia@ййййй.bg) to йййй.bg is spam, SpamAssassin (not cached, score=25.778, required 3, autolearn=spam, BAYES_99 3.50, DCC_CHECK 2.17, DIGEST_MULTIPLE 0.00, HTML_IMAGE_RATIO_04 0.17, HTML_MESSAGE 0.00, MIME_HTML_ONLY 1.46, RAZOR2_CF_RANGE_51_100 0.50, RAZOR2_CF_RANGE_E8_51_100 1.50, RAZOR2_CHECK 0.50, RCVD_IN_PBL 0.91, RCVD_IN_SORBS_DUL 0.88, RCVD_IN_XBL 3.03, RDNS_DYNAMIC 0.10, SPOOF_COM2COM 2.27, SUBJECT_NEEDS_ENCODING 0.00, URIBL_AB_SURBL 1.86, URIBL_BLACK 1.96, URIBL_JP_SURBL 1.50, URIBL_SBL 1.50, URIBL_SC_SURBL 0.47, URIBL_WS_SURBL 1.50)
Sep 14 17:18:56 mail MailScanner[22890]: Spam Actions: message p8EEITYg023789 actions are delete

Имаш ли инсталиран Razor ($2) ?

Това горе можеш да го имитираш като увеличиш коефициента RDNS_DYNAMIC=0.1

Това няма да ми свърши много работа, щото си ги пращат от съвсем нормални сървъри.
Да имам разоз пизор и дцц.


Edit: Ся като поразгледах спама и не открих Разор простий, зех че го инициализирах тоя разор. Се си мислех, че си работи.
Етид Пиаф: Надига ги набързо рейтингите, сега трябва да гледам спама данеби да почне нормална поща да спира.

В общи линии разора не промени много нещата. В най-спамената поща са минали 16 спамчета от тях 13 руски. Все пак ще трябва да правя някакъв филтър.