Spamassassin ugrászerű romlása

Pár hete több független szerveremen is látom, hogy a SpamAssassin szűrő hatásfoka drasztikusan csökkent. Eddig alig volt SPAM, ami átjutott a szűrőn, de mostanában tömegével érkeznek.

Ti is tapasztaljátok? Talán az okát is tudja valaki?

Hozzászólások

emlékeim szerint az egyik népszerű spam RBL befejezte működését.

Nézd meg a vonatkozó naplóban, hogy mire milyen pontot ad, mire nem ad. Valóban volt RBL megszűnés, de van sok másik ami használható. A másik probléma, hogy egyre több az olyan levél, ami nehéz SA-val csak úgy megfogni, és inkább az RBL-ek oldaláról foghatóak meg.

Extra tipp, hogy bizonyos "egzotikus" TLD-ket érdemes szépen felpontozni.

/etc/spamassassin/tld.cf

# add points if the From address is from a listed TLD
header      LOCAL_FROM_TLD  From   =~ /@[a-z0-9\-\.]+\.(icu|win|bid|xyz|cricket|review|accountant|download|loan|trade|press|online|top)/i
describe    LOCAL_FROM_TLD         From address is a TLD listed in line 1
score       LOCAL_FROM_TLD  8

1-2 havonta mindíg érdemes ránézni az email forgalomra, spam szűrésre, hogy mi az aktuális állapot, és szépen felkövetni ezeket. Ha nagyon olyan a küldő domain, akkor akár MTA szinten lehet neki rejectet adni, ne zabáljon egy ms cpu időt sem a spamassassin.

Nézd meg, hogy az SA-d melyik DNSBL-eket használja, és a neten azért lehet még tippeket találni, hogy mi drótozható be. Sok esetben nem az számít, hogy önmagában az világmegoldás, hanem hogy ha azon is ott van a történet, akkor már megy a spambe, vagy visszautasítod pontszám alapján.

A másik dolog, amit szerintem sokan készpénznek vesznek, hogy valójában az SA pontszámok nem általánosan mindenhol jók. Azaz érdemes alá-fölé hangolni attól függően, hogy mit látsz. Például az SPF_FAIL és SPF_SOFTFAIL azóta, hogy a gugli komolyan veszi jóval komolyabban vehető, sőt az SPF Fail-t lehet már MTA szinten alkalmazni. Ugyanez igaz a DKIM-es pontokra (DKIM_NONE minimális plusz pont, DKIM aláírt pedig minimális minusz, hogy érdemes rá többet adni. Igen, tudom, hogy ezt simán megugorják a spammerek, szóval akár nullázni is lehet, de mégiscsak egyfajta fokmérő, és lehet SPF-fel kombinált szabályt csinálni.

Ilyenek rendszeresen vannak. Kiépül egy új botnet háló...felszámolnak egy botnet hálót/felkerült az IP halmaz a blacklistekre.

Sajnos nem egyenletes a találati arány. Elég annyi, hogy egy új botnet esetében az első kiküldésben a te címeid legyenek. Délutánra már blacklisten fent vannak az IP-k, domainek, akik ezután kapják, már megfogja az SA.