faire apprendre à spamassassin sur une passerelle smtp

Bruno666 · Le 17/04/2007, à 11:31

Bonjour,

j'ai installé un passerelle smtp (ubuntu dapper, postfix, spamassassin, amavisd et clamav)

Apparement lorsque l'on héberge sur le serveur les boîtes mails, on peut récupérer des mails pour les donner à spamassassin (des mails de spam et de mails non spam) afin qu'il se forme.

Par contre dans le cas d'une passerelle smtp (ce qui est mon cas) le mails ne font que transiter et sont renvoyés directement au serveur de messagerie en amont, comment faire pour que spamassassin puisse apprendre avec une liste de mail ?

est ce possible ?

Cette question est dûe au fait qu'il y a environ 2 semaines, on avait peu de spam dans les boîtes, et depuis 2 semaines, plein de mail de spam passent (ils ont des scores ridicules....)

Bizzare non ?

Merci d'avance

Dernière modification par Bruno666 (Le 17/04/2007, à 11:33)

toniotonio · Le 17/04/2007, à 11:42

tu as le autolearn pour ca
mais il ne devient effectif qu'apres un certain nombre de mails analysé. Donc il faut attendre (parametre SA en debug pour voir ce qu'il dit sur l'autolearn)

cela dit si tu veux faire tout de meme apprendre a SA par le biais de mails deja recu, tu peux toujours crée une boite speciale sur le serveur de messagerie et transferer a intervalles regulieres le cntenu sur la passerelle pour apprentissage
(avec un script qui ferait par exemple un rsync puis un sa-learn et ensuite efface les mails)

Bruno666 · Le 17/04/2007, à 12:13

J'ai fait une recherche des paquets ubuntu, mais SA (encore un qui a créer un nom super simple comme ça on trouve 10 000 paquets qui n'ont rien a voir )
mais il ne m'a pas trouvé grand chose, est ce que le nom du paquet serais SA-Server ou quelque chose comme ça ?
Mais je trouve quand même bizarre que depuis 2 semaines de nombreurs spams passent avec un score ridicule alors qu'avant ils avaient au moins 4 ou 5 minimum (surtout les spam avec une image, maintenant ils ont 1 ou 2)...

toniotonio · Le 17/04/2007, à 12:36

mais tu cherches quoi dans les paquets ? SA c'est spamassassin (c'est plus court a ecrire !)
sa-learn est compris dans Spamassasssin (meme en paquet cela doit etre le cas)
pas la peine d'installer quoique ce soit, cette fonction est juste a activer (si ne n'est pas deja fait)

ton SA tourne avec quel utilisateur ?
execute un

su -c "spamassassin --lint " user

(avec user comme utilisateur qui fait tourner sa, c'est souvent amavis mais cela depend de l'installation)

comment est appelé SA ? par amavisd ?

regarde aussi du coté des test effectués par SA (dans l'entete du mail ou bien dans les logs de postfix/amavisd

Bruno666 · Le 17/04/2007, à 14:48

Je comprends mieux ....

SA = SpamAssassin.....

il est en effet appelé par amavis, et le learning est activé car dans le ficheir v310.pre il y a une ligne avec AutoLearnThreshold qui n'est pas commenté et dans le local.cf le baye_auto_learn est sur 1 donc activé aussi .

et pourtant j'ai des mails de spam avec une image contenant du texte sur le viagra vialis etc et un peu de texte en dessous qui possède la note de 2.792 alors qu'avant il aurait eu au moins 8 oui 9

D'ailleur voici une partie de l'entête du mail concerné (en exemple)
****************************************************
X-Virus-Scanned: by amavisd-new-2.3.3 (20050822) (Debian) at
X-Spam-Status: No, score=2.792 tagged_above=-999 required=3.85
tests=[ALL_TRUSTED=-1.8, BAYES_99=3.5, EXTRA_MPART_TYPE=1.091,
HTML_MESSAGE=0.001]
X-Spam-Score: 2.792
X-Spam-Level: **
********************************************************************

@+

toniotonio · Le 17/04/2007, à 15:02

tu as le all_trusted qui te pose un probleme. (tu ne dois pas avoir ce test sur des mail exterieurs cela reduit le score en faisant confiance au reseau de l'expediteur)

il faut que tu declares ton reseau dans le local.cf:
par exemple:

internal_networks 127.0.0.1 10.0.0/24

ensuite l'exemple que tu donnes semble etre un spam image, et a priori la detection n'est pas si mauvaise.

Ton filtre bayesien fonctionne (il a vu le message comme une forte probabilite) .
donc ton apprentissage semble etre actif (verifie les logs pour l'autolearn)

donc corrige le probleme du all_trusted (c'est un grand classique) et ton message sera bloqué: 4.5 donc au dessus de ta limite de 3.85 (qui est un peu basse quand meme, tu dois a voir pas mal de false positives)

pour augmenter le filtrage sur les spams image, installe un plug in supplementaire:
http://www.rulesemporium.com/plugins/

augmente aussi tes scores en ajoutant ceci au local.cf:

score BAYES_99 4.300
score BAYES_80 3.000
score HTML_60_70 0.527 0.100 0.200 0.200
score HTML_SHOUTING3 0.108 0.333 0.1 0.1
score MISSING_MIMEOLE 0.501 0.501 0.241 0.200
score BAYES_60 0 0 2.502 2.502

Dernière modification par toniotonio (Le 17/04/2007, à 15:05)

Bruno666 · Le 17/04/2007, à 15:48

Merci, je teste ça et je te tiens au courant

@+ et encore merci

Bruno666 · Le 18/04/2007, à 15:55

Bonjour toniotonio

Bon j'ai fait tes modifs (sauf que au lieu de internal_networks j'ai mis trusted_networks car c'est qui apparait dans le fichier local.cf de spamassassin, c'est peut être dû à la dernière version de SA )

ça à l'air d'aller en effet un peu mieux.

je vais t'embêter une dernière fois, je voudrais tester ton plugins et j'aimerais savoir la procédure à suivre ?
j'ai dans l'idée de copier le fichier pm dans " /usr/share/perl5/Mail/SpamAssassin/Plugin/" et de déclarer dans le fichier "v310.pre" une ligne "loadplugin Mail::SpamAssassin::Plugin::ImageInfo"

est ce la bonne procédure ???? et que faut il que je fasse avec le fichier ImageInfo.cf ?

a moins que je me trompe complètement pour l'install du plug-in

mais encore merci à toi le internal_networks à l'air de faire son effet :-)

toniotonio · Le 18/04/2007, à 16:35

pour etre sur que le tag ALL_TRUSTED n'apparait plus , regarde l'entete d'un email envoye depuis l'exterieur de ton reseau ou bien les logs.

j'avais eu des soucis a une epoque avec le trusted_networks mais cela a peut etre changé depuis.

l'essentiel donc c'est que tu ne vois pas ce test dans les entetes des mail exterieurs.

pour le plugin c'est a peu pres ca qu'il faut faire
tu peux regarder la, j'ai fait une petite procedure perso, cela peut t'aider
http://www.starbridge.org/spip/spip.php?article8

bruno66 · Le 20/04/2007, à 18:03

Salut Toniotonio

En effet la passerelle bloque maintenant beaucoup plus de spam, on est revenu aux taux d'avant ...

je pense que le trusted_networks ou (internal_networks) y est pour beaucoup.

Encore merci (j'ai mis à jour ma doc dans le cas d'une futur reinstall)

@+

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 17/04/2007, à 11:31

faire apprendre à spamassassin sur une passerelle smtp

#2 Le 17/04/2007, à 11:42

Re : faire apprendre à spamassassin sur une passerelle smtp

#3 Le 17/04/2007, à 12:13

Re : faire apprendre à spamassassin sur une passerelle smtp

#4 Le 17/04/2007, à 12:36

Re : faire apprendre à spamassassin sur une passerelle smtp

#5 Le 17/04/2007, à 14:48

Re : faire apprendre à spamassassin sur une passerelle smtp

#6 Le 17/04/2007, à 15:02

Re : faire apprendre à spamassassin sur une passerelle smtp

#7 Le 17/04/2007, à 15:48

Re : faire apprendre à spamassassin sur une passerelle smtp

#8 Le 18/04/2007, à 15:55

Re : faire apprendre à spamassassin sur une passerelle smtp

#9 Le 18/04/2007, à 16:35

Re : faire apprendre à spamassassin sur une passerelle smtp

#10 Le 20/04/2007, à 18:03

Re : faire apprendre à spamassassin sur une passerelle smtp

Pied de page des forums