Hosszabb ideje bosszantott, hogy napi kb 10 spam átcsúszik a szerverünk spam szűrőjén, mert a reklámszöveget a levélhez mellékelt képbe rakják.
Belenéztem ezekbe a levelekbe, és úgy láttam, hogy a procmail-el simán ki tudom őket szűrni, mert a fejlécében mindnek ilyesmi volt:
From: tetszolegesbetukombinacio@valami.com
Subject: Fw: letezofioknev
Procmail rule beröffen az "Subject: Fw: letezofioknev"-re, mire másnap megszűnnek az ilyen fejlécű mail-ek, jönnek helyette ilyenek:
From: tetszolegesbetukombinacio@valami.com
Subject: Fw: tetszolegesbetukombinacio
Pár napig hagyom magam bosszantani velük, míg erre is felállítotk egy procmail szűrőt. Már másnaptól nem jön több ilyen spam...
Volt már olyan érzésetek, hogy a spammerek mintha "ráfejlesztenének" konkrétan a ti spam szűrőtökre?
Mert nekem most nagyon az van.
Ugyanis ha hagyom, hogy bizonyos fajta spamek bejöjjenek, akkor jönnek napokig/hetekig.
Ha viszont a szűrőn letiltom az a fajtát, akkor másnaptól másfajták jönnek...
Mintha figyelnék, hogy átjutnak-e a spam-ek a szűrőn, és ha nem jutnak át, akkor egy picit módosítanak rajtuk.
Hozzászólások
Ha arra gondolsz, hogy a spam elolvasas kozben feljon egy 'a level kuldoje nyugtat ker a kezbesitesrol', akkor igen. De IMO inkabb csak arrol van szo, hogy a procmail szabalyod megfogott egy bizonyos spamet, a tobbi meg atjutott rajta. A spam is egyfajta evolucion megy at, az ido haladtaval valtozik, finomodik, egyre rafinaltabb lesz.
Azert jo ha tudod, hogy noha a procmail szabaly alapu spamszures egyes esetekben jol mukodik, de mara eljart felette az ido, es csak a primitiv spamet kepes megfogni.
ASK Me No Questions, I'll Tell You No Lies
"Ha arra gondolsz, hogy a spam elolvasas kozben feljon egy 'a level kuldoje nyugtat ker a kezbesitesrol', akkor igen."
Hát igen. Most rátapintottál a lényegre, amit el is felejtettem leírni a levelemben:
Ugyanis elvileg ezek a spammerek sehonnan sem tudhatnák, hogy a szűrőnk megakasztotta a spamjüket.
Ezekben a spamekben nincs visszaigazolást kérő fejlécmező, és nincs webről letöltődő, vagy aktív tartalom, a mail szerverünk pedig rendben átveszi, majd csendben eldobja őket.
"A spam is egyfajta evolucion megy at, az ido haladtaval valtozik, finomodik, egyre rafinaltabb lesz."
Ez nem lassú evolúció. Itt pár héttel ezelőtt valami forradalmi változás történt.
Addig ugyanis, ha egy procmail szabályt felállítottam, akkor az még hetekig/hónapokig csípte meg a spameket.
Itt nem arról van szó, hogy állandóan váltogatják a spam-ek jellemzőit. Itt arról van szó, hogy AKKOR VÁLTOZTATNAK, HA ELDOBOM ŐKET A SZERVEREN.
Olyan véletlen ritkán lehet, hogy hetekig jön egy bizonyos fajta spam, aztán pont attól a naptól, hogy letiltom a szerveren, nem jön több.
Nálam ez most kétszer fordult elő, gyors egymásutánban.
De más is van: régóta működik egy procmail szabályom, ami 3 éven át tévedhetetlenül megcsípte a spam-ek stabilan kb. 40%-át. Ez azon alapult, hogy nagyon sok spammer beszúrta a levelek "Received:" fejlécmezőjébe a mail szerverünk IP címét vagy nevét. Ezeket a spameket mind rögtön a kukába dobattam a procmaillel, mert a mi mail szerverünk ilyet nem tenne.
Mit gondolsz mi történt? Egy-két héttel ezelőtt (nagyjából akkor, amikor a procmail szabályaim hatása ilyen röviddé vált) az ilyen spam-ek darabszáma 40%-ról leesett 10% alá, ma pedig már szinte mutatóba sincs belőlük megcsípve.
Olyan, mintha valaki valahol a hálón figyelne, és a megakasztott spamekről jelentést küldene valahová, hogy olyat soha többet ne küldjenek, mert nem jut át. Ráadásul valahol erről egy adatbázis is kell legyen, mert olyat tényleg SOHA többet nem küldenek.
Az a gyanúm, hogy valamelyik hálózati Windows kliensünk trójaival fertőzött lehet, és azt használhatják spionként.
Küldenek neki egy próbalevelet, és megkérdezik, hogy megkapta-e. Ha nem, akkor másfajtát küldenek, mindaddig, amíg végre meg nem kapja.
Ha ez a sejtésem igazolódik, akkor a spammerek nagyot léptek előre az utóbbi időben :-(
Mi lenne ha spamassassint és valami postgrey szerű megoldást használnál? Teljesen fölösleges n+1 regexpet hegeszteni, amikor a spamassassin a bayes cuccal eléggé hatékony, főleg ha a gyárilag 0 pontos dolgokat felemeled 0.25, 0.5 vagy akár 1 pontra. Mivel a bayes típusú szűrők adaptívak és az SA mindenféle külső lista alapján is pontoz ezért sokkal hatékonyabb, mint a fenti.
Azt ugye tesem gondoltad, hogy a spammerek és spamek nem fognak fejlődni, azaz nehezebben kiszűrhetővé válni...
"Mi lenne ha spamassassint és valami postgrey szerű megoldást használnál?"
Ezek a spamek mind olyan szépen mennek át 0 spam pontszámmal a spamassassin szűrőjén, hogy öröm nézni. A nullán pedig nem nagyon van mit szorozni. Sőt, a jó 500000 levél adatait tartalmazó bayesdb-től még bónusz pontokat is kapnak, amiért ilyen szép szabályos, érdemi levelek.
És ekkor jön a procmail "heggesztés"
Akkor egy igazi statisztikai alapu tanulo szuro (valamilyen Bayesian-szeru) kell neked (nem spamassassin, az nem igazi Bayeisan). Ez lesz megoldas a problemadra. Egy darabig (amig a spammerek nem foglalkoznak a 4xx-el eldobott levelekkel) addig a szurkelistak (pl. postgrey) is megteszik, de el fog jonni az ido, amikor a spammer morcos lesz, hogy 20M levelbol 19,5M-et 450-el eldobtak, es ezeket ujra fogja kuldeni, es akkor mind at fog jonni a szurkelistas szurokon.
ASK Me No Questions, I'll Tell You No Lies