Koozali.org: home of the SME Server

Spam particolarmente "ignorante"

Offline gromit60

  • ***
  • 97
  • +0/-0
Spam particolarmente "ignorante"
« on: February 01, 2017, 07:38:38 PM »
Mi ritrovo con un problema rognoso. Su uno SME 8.2 con spamassassin abilitato, mi arrivano mail spam di difficile individuazione. Le mail, infatti, sono in formato testo, con poche parole "a rischio", infatti c'è solo la parola "sesso" un paio di volte, e una misteriosa "ancheta", a volte poco di più. Proprio per questo il sistema non riesce ad individuarle come spam: la mail infatti ottengono un punteggio basso, al di sotto del limite di 5.0.
Ho anche attivato delle regole personalizzate in /etc/e-smith/templates-custom/etc/mail/spamassassin/local.cf, ma pare che non abbiano effetto.
Suggerimenti?

Grazie in anticipo

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Spam particolarmente "ignorante"
« Reply #1 on: February 01, 2017, 10:26:45 PM »
posta, per cortesia, l'output di
Code: [Select]
config show qpsmtpd

grazie

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Spam particolarmente "ignorante"
« Reply #2 on: February 02, 2017, 12:56:25 AM »
Certamente, eccolo:

qpsmtpd=service
    Bcc=enabled
    BccMode=bcc
    BccUser=xxxxxx
    DNSBL=enabled
    LogLevel=6
    MaxScannerSize=25000000
    RBLList=bl.spamcop.net:dnsbl-1.uceprotect.net:dnsbl-2.uceprotect.net:psbl.surriel.com:zen.spamhaus.org
    RHSBL=enabled
    RelayRequiresAuth=disabled
    SBLList=multi.surbl.org:black.uribl.com:rhsbl.sorbs.net
    TlsBeforeAuth=1
    access=public
    qplogsumm=disabled
    status=enabled

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Spam particolarmente "ignorante"
« Reply #3 on: February 02, 2017, 04:53:13 PM »
Prima di tutto inizia a pianificare seriamente l'upgrade alla 9 perché tra 1 mese la 8 va in EOL (lo fa centos..)
Poi dai una occhiata a questo:
https://forums.contribs.org/index.php/topic,52864.msg272790.html#msg272790

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Spam particolarmente "ignorante"
« Reply #4 on: February 03, 2017, 09:44:40 AM »
Stefano, grazie per la puntualissima risposta!
Non ti nascondo che il passaggio di versione mi ombra parecchio. Magari se apro un thread a parte?

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Spam particolarmente "ignorante"
« Reply #5 on: February 03, 2017, 09:46:50 AM »
Altra domanda: avendo praticamente la 25 pubblicata, anche se dietro ad un port forwarding, sarebbe utile utilizzare fail2ban, anche per bloccare lo spam?

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Spam particolarmente "ignorante"
« Reply #6 on: February 03, 2017, 11:08:00 AM »
Stefano, grazie per la puntualissima risposta!
Non ti nascondo che il passaggio di versione mi ombra parecchio. Magari se apro un thread a parte?

apri un altro topic con le tue domande e perplessità, grazie

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Spam particolarmente "ignorante"
« Reply #7 on: February 03, 2017, 11:11:12 AM »
Altra domanda: avendo praticamente la 25 pubblicata, anche se dietro ad un port forwarding, sarebbe utile utilizzare fail2ban, anche per bloccare lo spam?

no, nel senso che fail2ban non sa un tubo dello spam.. certo può evitare che il tuo server abbia migliaia di connessioni da macchine che cercano di loggarsi per spedire posta o che sono emettitori di spam ma in BL..
mi spiego meglio.. ci sono macchine in BL che provano di continuo ad inviare email, ma il server le blocca.. con fail2ban puoi far si che dopo 3 tentativi da un IP/host lo stesso sia bloccato a livello di firewall..
notabene che Fail2ban su macchina server only può funzionare senza problemi.

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Spam particolarmente "ignorante"
« Reply #8 on: February 06, 2017, 11:12:46 AM »
Avevo letto che lo scopo principale di fail2ban non è la funzione antispam, ma appunto bloccare IP da cui provengono troppi tentativi di connessione nell'intervallo definito, mi pare.
Dalla tua precisazione sulle macchine server only mi sorge una domanda: su quelle server-gateway ci sono problemi di funzionamento?

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Spam particolarmente "ignorante"
« Reply #9 on: February 06, 2017, 11:19:54 AM »
Avevo letto che lo scopo principale di fail2ban non è la funzione antispam, ma appunto bloccare IP da cui provengono troppi tentativi di connessione nell'intervallo definito, mi pare.

esattamente.. nella fattispecie, bloccando le connessioni di server che spammano (e sono in BL), evitano che la tua macchina vada in sofferenza per troppe connessioni contenmporanee (ho visto macchine andare ko con qualche migliaio di connessioni in tempi brevissimi)

Quote
Dalla tua precisazione sulle macchine server only mi sorge una domanda: su quelle server-gateway ci sono problemi di funzionamento?

no, anzi.. la precisazione è perchè su una macchina server only inizialmente fail2ban non andava.. è emerso che il firewall non era di fatto funzionante.. adesso va anche su macchine server only

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Spam particolarmente "ignorante"
« Reply #10 on: February 07, 2017, 12:36:56 PM »
Sempre cercando documentazione sulla gestione delle mail (e dello spam), mi sono imbattuto in questo contrib: email-management. Se ho capito bene, dà la possibilità di modificare a livello di singolo utente le opzioni relative alla gestione della posta, cosa non possibile nella configurazione classica. In questo modo si possono creare delle regole di filtro personalizzate, se si utilizza la modalità maildrop.
Sto facendo alcune prove, per ora con esito deludente... Rettifico: funziona! Il controllo delle mail relativo a regole sull'oggetto è micidiale. Non ho ancora capito invece come creare regole relative al corpo della mail, visto che le alternative sono: mittente, destinatario, headers, soggetto e dimensioni della mail.
« Last Edit: February 07, 2017, 12:46:09 PM by gromit60 »

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Spam particolarmente "ignorante"
« Reply #11 on: February 07, 2017, 12:39:58 PM »
lascerei perdere (in ogni caso posta il link al contrib che ci do una occhiata)
 
se vuoi filtri personalizzati, dopo che sei passato alla 9, installa SOGo.. ha i filtri sieve che lavorano anche se NON apri/usi l'interfaccia web

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Spam particolarmente "ignorante"
« Reply #12 on: February 07, 2017, 12:47:16 PM »

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Spam particolarmente "ignorante"
« Reply #13 on: March 07, 2018, 11:34:39 AM »
Recupero questo thread perché in qualche modo è un'evoluzione.
Ora mi ritrovo con il problema ancora più "ignorante", nel senso che i messaggi di posta spam, oltre ad essere di solo testo e con poche righe, salvo qualche termine tipico (scopate, cul0 - da notare l'uso dello zero al posto della o), figurano inviate dallo stesso destinatario, cioè tizio@caio.it le invia a tizio@caio.it.
Questo fa sì che si becchi un bel -100 come punteggio spam, perché il mittente è ovviamente in whitelist e questo lo mette al riparo da tutti i punteggi dovuti allo spam.
Un esempio:
X-Spam-Details: * -100 USER_IN_WHITELIST From: address is in the user's white-list
      *  3.6 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS
      *      [122.161.199.109 listed in zen.spamhaus.org]
      *  3.6 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL
      *  0.7 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL
      *  1.2 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
      *      [Blocked - see <http://www.spamcop.net/bl.shtml?122.161.199.109>]
      *  3.8 RCVD_IN_MSPIKE_L5 RBL: Very bad reputation (-5)
      *      [122.161.199.109 listed in bl.mailspike.net]
      *  0.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP address
      *      [122.161.199.109 listed in dnsbl.sorbs.net]
      *  1.7 URIBL_BLACK Contains an URL listed in the URIBL blacklist
      *      [URIs: alternat-energo.ru]
      *  2.0 URIBL_DBL_ABUSE_SPAM Contains an abused spamvertized URL listed in
      *      the Spamhaus DBL blocklist
      *      [URIs: alternat-energo.ru]
      *  2.4 DATE_IN_FUTURE_03_06 Date: is 3 to 6 hours after Received: date
      *  0.0 HTML_MESSAGE BODY: HTML included in message
      *  2.4 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
      *      [cf: 100]
      *  1.7 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/)
      *  0.0 RCVD_IN_MSPIKE_BL Mailspike blacklisted
      *  2.0 STATIC_XPRIO_OLE Static RDNS + X-Priority + MIMEOLE
      *  0.0 TO_EQ_FM_DIRECT_MX To == From and direct-to-MX
      *  3.1 DOS_OE_TO_MX Delivered direct to MX with OE headers


Suggerimenti?

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Spam particolarmente "ignorante"
« Reply #14 on: March 07, 2018, 11:57:10 AM »
hai sempre le BL attivate? vedo che l'ip è in molte BL
hai whitelistato a che livello? e come?

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Spam particolarmente "ignorante"
« Reply #15 on: March 07, 2018, 03:21:15 PM »
Ho installato la gestione delle WBL con l'apposito addon, nel quale però non ho abilitato né le DNSBL né le RHSBL.
Ho impostato una whitelist a livello di whitelist_from relativa al dominio... ora l'ho tolta e vedo cosa succede.

Offline Stefano

  • *
  • 10,836
  • +2/-0
Re: Spam particolarmente "ignorante"
« Reply #16 on: March 07, 2018, 04:01:51 PM »
le due tipologie di BL *devono* essere attive, altrimenti è un bagno di sangue..
ev. whitelista a livello di spamassassin, altrimenti anche se in BL la mail passa

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Spam particolarmente "ignorante"
« Reply #17 on: March 12, 2018, 11:15:04 AM »
Eccolo là! In effetti avevo whitelistato il dominio nel gestore delle WBL, a livello di spamassassin whitelist_from per motivi che oramai si perdono nella notte dei tempi. Mi pare che il problema fosse che ad un utente arrivavano le mail dei suoi colleghi tutte come spam.
In ogni caso, è bastato rimuoverlo da lì perché i brevi messaggi bastardi venissero classificati come spam.

Grazie

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Spam particolarmente "ignorante"
« Reply #18 on: April 25, 2018, 10:06:53 AM »
Arieccomi. Riesumo perché oramai è diventata una telenovela.
Persistono i messaggi con poche righe e parole volgari, con inviti sessuali o ad arricchirsi in modo rapido (...). Fra l'altro la cosa strana è che di due messaggi identici, uno viene classificato spam e l'altro no.
A questo punto attivo filtri bayesiani e l'autolearning, ed installo il contrib Learn per facilitare la cosa.
Mi sorge un dubbio: se io metto in LearnAsSpam un messaggio che non è stato classificato come spam, viene considerato per l'apprendimento o passa comunque indenne?
« Last Edit: April 25, 2018, 10:08:34 AM by gromit60 »

Offline gromit60

  • ***
  • 97
  • +0/-0
Re: Spam particolarmente "ignorante"
« Reply #19 on: May 17, 2018, 07:35:25 PM »
Aggiornamento: attivando i filtri bayesiani e dl'autoapprendimento, sono riuscito ad eliminare praticamente quasi tutti i messaggi di posta elettronica di poche righe di cui sopra.