2007年7月11日

[SpamAssassin-JP 582] Re: PDF添付SPAM

** SpamAssassin メーリングリスト **
** 注意:このメールへの返信は SpamAssassin-jp へ行きます **
さとうです。

On Tue, 10 Jul 2007 19:47:14 +0900
tyano@xxxxx wrote:
Subject: [SpamAssassin-JP 581] PDF添付SPAM

> なんだか最近PDFを添付したSPAMが目立つような気がするのですが、皆さんのと
> ころではいかがですか。SpamAssassinによるスパムレベルが5から9のものについ

 自分のところは前段のフィルタでほとんど落ちてるみたいで、まだ2通しか見
たこと無いのですが、それは \.(pl|biz|br|info|ru) なところからで、動的IPっ
ぽい名前に引っかからなかったところからのものでした。

> てReceivedヘッダの一部のパターンがスパム検出に有効かどうかを試しているの
> ですが、ここにひっかかるものにPDF添付の物が最近妙に目立つのです。ちなみ
> に試している正規表現は
> \b(nobody|unknown)\b
> と
> ( [a-z0-9]+\.[a-z0-9]+ |\.(pl|biz|br|info|ru) |( \[[0-9]{1,3}\.){1,3}[0-
> 9]{1,3}\] ).+(mx0|mx0b)\.airnet\.ne\.jp
>
> です。

 これはたぶん、接続元クライアントの逆引き名に引っ掛けられているのだと思
います。
 なので、Receivedで引っ掛けてもOKだとは思いますが、postfixを使われてい
るのでしたら、

--- main.cf
smtpd_recipient_restrictions =
...
check_client_access regexp:$config_directory/prepend_client
...
---

--- prepend_client
/^[a-z0-9]+\.[a-z0-9]+$/ PREPEND X-Envinfo: match myrule1
/\.(pl|biz|br|info|ru)$/ PREPEND X-Envinfo: match myrule2
---

とかしておくと、確実に接続元クライアントの逆引き名だけとマッチさせられま
すので、誤検出する可能性を少しだけ減らすことが出来ます。
 SpamAssassin側では、この例だと X-Envinfo: ヘッダとマッチさせることでポ
イントをつけてやります。


 それで、手前味噌になりますが

taRgrey - S25R + tarpitting + greylisting (tarpit + greylist policy server)
http://k2net.hakuba.jp/targrey/

はいかがでしょうか?
 自分は taRgrey + SpamAssassin の2段フィルタで運用しているのですが、遅
延時間を調整すると、これらbotからの画像・PDFスパムはほとんど抜けてきてい
ません。

--
SATOH Kiyoshi <satoh@xxxxx> http://d.hatena.ne.jp/stealthinu/

--
SpamAssassin メーリングリスト
http://mm.apache.jp/mailman/listinfo/spamassassin-jp

投稿者 xml-rpc : 2007年7月11日 10:00
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/61437
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。