Spamassasin anlernen

Der sa-learn macht auch nur dann sinn, wenn man ein spezifischen Spam Ordner erstellt und definiert. Hier müssen dann die Kunden auch den Spam der nicht erkannt wurde rein schieben, hiermit lernt dann SA. Hatten wir jahrelang mal im Einsatz, wird aber nicht genutzt. Schreib lieber vernünftige SA Definitionen, das hält 99% des Spam fern.

Der Bayes-Filter trägt nur zum Teil zum Scoring bei.

Es macht mehr Sinn, vernünftige Regeln zu nutzen - und generell nicht nur auf SpamAsasssin zu setzen.

Wir haben auch mit frischen Installationen gestartet und entsprechende Regeln angelegt, da kommt alle paar Tage maximal mal eine Mail durch auf ein Postfach. sa-learn bringt im Vergleich zum Aufwand nichts.

Man kann auch viele bestehende Regeln aktivieren und vor allem die Scores anpassen (die sind default recht sinnfrei). Pyzor/Razor sind auch mal ganz nützlich in Kombination mit dem Scoring.

Mal einfach ein paar Beispiele (hab keine Spoiler Funktion gefunden):
65_debian.cf

header   D_SENT_BY_DEBCONF      Subject =~ /^Debconf:/
score    D_SENT_BY_DEBCONF      -5.0
describe D_SENT_BY_DEBCONF      Sent by Debconf


body     D_SENT_BY_AFBACKUP     /^\[Afbackup\]: Overall exit status:/
score    D_SENT_BY_AFBACKUP     -5.0
describe D_SENT_BY_AFBACKUP     Sent by Afbackup


header   D_SENT_BY_APTLC        Subject =~ /^apt-listchanges: (changelogs|news) for/
score    D_SENT_BY_APTLC        -5.0
describe D_SENT_BY_APTLC        Sent by apt-listchanges


header   __ANACRON_SUBJ         Subject =~ /^Anacron job '[a-z0-9_.-]+' on/i
header   __ANACRON_FROM         From =~ /^Anacron/
meta     D_SENT_BY_ANACRON      __ANACRON_SUBJ && __ANACRON_FROM
score    D_SENT_BY_ANACRON      -5.0
describe D_SENT_BY_ANACRON      Sent by Anacron Daemon




header   __CRON_FROM            From =~ /^Cron Daemon/
header   __CRON_HEADER          X-Cron-Env =~ /./
meta     D_SENT_BY_CRON         __CRON_FROM && __CRON_HEADER
score    D_SENT_BY_CRON         -5.0
describe D_SENT_BY_CRON         Sent by Cron Daemon

init.pre

loadplugin Mail::SpamAssassin::Plugin::URIDNSBL
loadplugin Mail::SpamAssassin::Plugin::Hashcash
loadplugin Mail::SpamAssassin::Plugin::SPF

local.cf

header LR_SUBJECT_VERY_LONG    Subject =~ /.{500}/
describe LR_SUBJECT_VERY_LONG  Subject contains a lot of characters
score LR_SUBJECT_VERY_LONG     1.5


header LR_SUBJECT_JOHN    Subject =~ /^john/i
describe LR_SUBJECT_JOHN  Subject: starts with John
score LR_SUBJECT_JOHN     1


header LR_SUBJECT_NUMBER_FUN    Subject =~ /^\(\d+\).+\(\d+\)$/
describe LR_SUBJECT_NUMBER_FUN  Subject starts and ends with a number between ()
score LR_SUBJECT_NUMBER_FUN     2


header LR_VIRUS_IT_1   Subject =~ /^Attenzione: Catturato un Virus$/
describe LR_VIRUS_IT_1  Virus warning
score LR_VIRUS_IT_1     3


header SMF_BRACKETS_TO To:raw =~ /<<[^<>]+>>/
describe SMF_BRACKETS_TO Double-brackets around To header address
score SMF_BRACKETS_TO 1.5


score RCVD_IN_BL_SPAMCOP_NET 5
score RCVD_IN_BRBL_LASTEXT 5
score RCVD_IN_SBL 5
score RCVD_IN_SORBS_BLOCK 5
score RCVD_IN_SORBS_DUL 5
score RCVD_IN_SORBS_HTTP 5
score RCVD_IN_SORBS_MISC 5
score RCVD_IN_SORBS_SMTP 5
score RCVD_IN_SORBS_SOCKS 5
score RCVD_IN_SORBS_SPAM 5
score RCVD_IN_SORBS_WEB 5
score RCVD_IN_SORBS_ZOMBIE 5
score RCVD_IN_XBL 5
score RCVD_IN_PBL 5
score DNS_FROM_AHBL_RHSBL 5
score NO_DNS_FOR_FROM 5
score PYZOR_CHECK 5
score RAZOR2_CHECK 5


score RCVD_IN_DNSWL_NONE 0
score RCVD_IN_DNSWL_LOW -1
score RCVD_IN_DNSWL_MED -3
score RCVD_IN_DNSWL_HI -5
score RCVD_IN_DNSWL_BLOCKED 0

Ansonsten noch die v3xx.pre Dateien angepasst. Anschauen sollte man sich auch in jedem Fall mal die Dateien in /usr/share/spamassassin und in eigene Konfiguration gewünschte Änderungen laden (so passiert hier erstmal nichts bei einem SA update).

Empfehlenswert sind dann noch folgende Seiten:
http://www.spamtips.org/p/ultimate-setup-guide.html
http://www.spamtips.org/2011/02/smfbracketsto-rule.html
http://mailspike.net/usage.html

Zitat von HBO

Mal einfach ein paar Beispiele

Vielen Dank für die Anregungen aber sachen wie

Zitat

header LR_SUBJECT_JOHN Subject =~ /^john/i
describe LR_SUBJECT_JOHN Subject: starts with John
score LR_SUBJECT_JOHN 1

würden innerhalb kürzester Zeit zu Zehntausenden Einträgen führen.
Da muss es effektivere Wege geben.

Wie gesagt, sind nur Beispiele. Ich würde hier nun nicht die gesamte eingesetzte Konfiguration posten, ist mehr oder weniger eine Wissenschaft für sich. Nicht umsonst zahlt man für zwischen geschaltete Anti Spam Gateways einiges an Geld.

Zitat von kroerig

ich muss dem SA mal etwas auf die Sprünge helfen, bin mir aber nicht sicher welchen DB-Path ich dem sa-learn geben muss, damit das gelernte für alle Benutzer auf dem System genutzt wird.

Klaus Rörig

Mich würde ebenfalls interessieren welchen -dbpath ich da setzen muss bzw. wie Liveconfig die bayes_seen und bayes_toks , die sich ja für jeden Nutzer unter /var/lib/spamassassin/POSTFACHBEZEICHNUNG befinden, anlegt.