Логотип сайта

Жёлтый лист
Сайт о мире Linux

Вход/Регистрация
Регистрация
Google Войти через Google Yandex Войти через Yandex Mail.Ru Войти через Mail.Ru

Тренировка spamassassin силами спамеров

()

Итак. Вопрос обучения spamassassin силами пользователей уже рассматривался ранее, однако гораздо более перспективным представляется обучение spamassassin силами самих спамеров, тем более что для этого нужно совсем немного.

Будем рассматривать почтовый сервер на базе Exim под управлением Debian/Ubuntu Linux, настроенный согласно этому руководству. Если у вас иная конфигурация то ничего страшного, метод вобщем-то универсален, хотя конкретные команды придётся адаптировать под ваш случай.

Идея метода заключается в создании "фиктивных" почтовых ящиков, которыми никто не пользуется и активное "засвечивание" их в сети на различных досках объявлений, форумах и прочих местах. Само собой что вся почта, попадающая в эти ящики, передаётся спам-фильтру для обучения как спам.

Итак, почтовый сервер уже работает, остаётся чуть-чуть модифицировать файл /etc/aliases. А именно добавить в него следующие строки:

# Определяем алиас spam@ вся почта с которого будет передаваться для обучения spamassassin'у
spam:           | /usr/bin/spamassassin -r

# Перенаправляем почту с определённых адресов на адрес spam@
mail:           spam
support:        spam
admin:          spam
vasya:          spam

Адреса для перенаправления можете добавлять на своё усмотрение. По большому счёту не важно как они выглядят, и потому они могут быть даже не очень удобочитаемыми.

Дальше возможно придётся разрешить pipe_transport в exim (если он ещё не разрешён). Для этого нужно в самое начало файла /etc/exim4/exim4.conf.template добавить строчку:

SYSTEM_ALIASES_PIPE_TRANSPORT = address_pipe

И переконфигурировать exim с новым шаблоном конфига командой:

dpkg-reconfigure exim4-config

Соглашаясь со всем что будет предложено. Далее (на всякий случай) выполним следующие манипуляции:

rm -rfv /var/spool/exim4/.spamassassin
mkdir /var/spool/exim4/.spamassassin
ln -s /etc/mail/spamassassin/sql.cf /var/spool/exim4/.spamassassin/user_prefs
chown Debian-exim:Debian-exim /var/spool/exim4/.spamassassin

Небольшие пояснения: spamassassin будет запускаться с правами того же пользователя что и exim - в случае Debian/Ubuntu имя пользователя - Debian-exim. Домашним каталогом этого пользователя является директория /var/spool/exim4. В ней нужно создать директорию с настройками spamassassin и в ней симлинк на системный файл конфигурации, где у нас находятся настройки соединения с MySQL-сервером.

Всё. Теперь осталось "засветить" эти фиктивные ящики на паре досок объявлений и начинать ждать результата. Надо понимать что спамерам понадобиться некоторое время чтобы "взять в оборот" этики ящики, однако уже где-то через месяц появятся первые результаты, а через полгода спам будет практически полностью удаляться.

Приятной работы!

Ключевые слова: exim, spamassassin, антиспам, тренировка, обучение.

Подписаться на обновления: RSS-лента Канал в TamTam Telegram канал Канал в ICQ

Комментарии:

Ruslan 2008-10-08 15:55:24 (#)

Эта идея меня уже давно посещала и недавно сделал то же самое, но другим способом:
вся моя почта хранится в Maildir, средствами .forward сортирую входящие письма, перенаправленные с кучи ящиков на один используемый.
Письма "от" и "для" укладываются в нужные каталоги.
Идентифицированное как спам по байесу или другим признакам, кладутся в одно место, пришедшее для адресов-ловушек, в другое.

А из этого другого места все поедает sa-learn

Ruslan 2008-10-08 15:58:09 (#)

Есть мысль о создании интересного анти-спам сервиса. Напиши мне по почте.

MooSE 2008-10-08 16:48:24 (#)

> Есть мысль о создании интересного анти-спам сервиса. Напиши мне по почте.

Ты знаешь... В свете текущей темы - звучит пугающе. Может лучше icq или jabber?:)

tierpunk 2008-10-08 21:13:20 (#)

Интересует тогда такой вопрос, где лучше всего засветить свой почтовый ящик? можно ли список самых спам сервисов.

MooSE 2008-10-09 08:35:13 (#)

мне когда-то хватило поста в жж :)

Ruslan 2008-10-09 14:13:26 (#)

В первом же форуме, где кто-то что-то выкладывает, но боится давать прямую ссылку на сайте. В любом варезнике. :)

Как вариант, продолжить чью-нибудь очередь "дайте и мне, имярек@mail.ru" =)

Я как-то хотел забирать почту fetchmail со специально заведенного ящика на mail.ru.
План был таков: забрать, положить в Maildir и убить все письма от самой компании mail.ru
Оставшиеся - спам.

tierpunk 2008-10-13 13:59:58 (#)

ради эксперемента

xyuindex1@km.ru
xyuindex1@ramble.ru
xyuindex1@yandex.ry

MooSE 2008-10-13 23:28:26 (#)

tierpunk, ты на тех ящиках поток спама мониторить собрался?:)

tierpunk 2008-10-14 17:32:46 (#)

>>Как вариант, продолжить чью-нибудь очередь "дайте и мне, имярек@mail.ru" =)

Я не доконца понял твой вопрос, но я хочу с этих ящиков собирать письма и в спам их засовывать. а Сами ящики где только можно оставлять

Ruslan 2008-10-14 21:44:00 (#)

Кстати, ты их хочешь забирать при помощи fetchmail?
Как ты укладываешь в Maildir и обрабатываешь?

MooSE 2008-10-15 09:47:58 (#)

Хм... Продолжу и я. Мои ящики для спама:

doors@kazandom.ru
world-tour@kazandom.ru
car-center@kazandom.ru

MooSE 2008-10-15 09:50:24 (#)

Ruslan: укладывание в Maildir и прочие чудеса делаются силами локального smtp.

Т.е. просто пишешь в fetchmailrc строки вида:

poll pop.server.name protocol pop3 user username password my_passw0rd to forspam here

А для локального ящика forspam@ задаёшь уже алиас как написано выше:

forspam: | /usr/bin/spamassassin -r

Вот и вся математика:)

tierpunk 2008-10-15 17:10:53 (#)

Я тут подумал что то вроде того, что бы на все спам письма отправлять ответное письмо со спам-ящика с текстом.
Например

======================================
Не пиши больше на эти ящики УРОД!

xyuindex1@km.ru
xyuindex1@ramble.ru
xyuindex1@yandex.ry
======================================

я так думаю они же влюбом случае буду продолжать бомбить, а если ты им сам ящики укажешь так это только плюс.

tierpunk 2008-10-15 17:12:21 (#)

прочитал свой пост выше и рассмеялся, что то у меня голова мысли и руки в разных измирениях находятся...

Ruslan 2008-10-15 20:17:41 (#)

Спаммеры в поле From тоже адреса пишут не из головы.

Вот весело-то как будет людям, которые когда-то где-то засветили ящики и являются как бы отправителями писем.

Ruslan 2008-10-16 14:12:08 (#)

MooSE: всё же сделал я то, что хотел, но руки не доходили.
Забираю почту со всех ящиков, раскидываю по каталогам в Maildir.

А по поводу конструкций вроде
forspam: | /usr/bin/spamassassin -r
я сильно против подобного.

Моя рекомендация - сделать что-то вроде этого:
$ crontab -l
MAILTO="postmaster@domain.tld"
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

20 * * * * fetchmail -f /dev/null -a -s -n --folder INBOX.sa-spam -m 'sa-learn --spam' -u mycrontabname localhost > /dev/null 2>&1
40 * * * * fetchmail -f /dev/null -a -s -n --folder INBOX.sa-ham -m 'sa-learn --ham' -u mycrontabname localhost > /dev/null 2>&1


У меня сделано несколько похоже, но уже не так (надо парк пользователей обслуживать - каждому не напишешь).

У меня есть простой самодельный скрипт, который берет список логинов, пользователи которых жаждят, чтобы ими отобранный спам был известен как спам. И только им. Индивидуальные байесы. Ибо люди разговаривают на разных русских языках, а некоторые вообще на нем не разговаривают в компании. :)

Предупреждаю, что sa-learn переваривает письма не быстро, поэтому лучше один раз в сутки переварить 1000 сообщений, чем в один какой-то рабочий час начать переваривать 500-700.

MooSE 2008-10-16 15:21:40 (#)

На самом деле отдельные фильтры никто и не отменяет. Но общий фильтр тоже нужно обучать.

И какая вобщем разница - копить письма и обрабатывать пачкой или обрабатывать по одному?

Для меня всё разница в том, что во втором случае оперативнее будет обучаться фильтр.

Ruslan 2008-10-16 18:46:57 (#)

Разница в нагрузке на сервер.
Можно отправлять специально сформированные письма килограммами с нужным интервалом и валить почтовый сервер.
Некоторое время назад, один из моих серверов доставали письмами с вирусами. И периодически глючил exim из-за clamav. Перепробовал различные связки - всё равно что-то такое отправят во время моего законного сна, что упадет вся связка. В итоге, я просто отключил проверку на вирусы и доверил это получателю. Теперь мой телефон не пищит и не будит меня смс-ками.

daevy 2008-10-17 11:40:42 (#)

а как реализовать такую схему на постфиксе? в частности после создания alias'ов.

Ruslan 2008-10-17 12:46:05 (#)

daevy:
Если не пользоваться его гибкими сторонами, можно просто создать mailbox для спама, принимать в него спам, и по крону кормить spamassassin.

Вариант №1 - создать пользователя и у него появится почта.
Вариант №2 - изучить, как доставлять не пользователю, а в файл средствами aliases

Но я стал настолько привередливым, что пользоваться mailbox уже не хочу, мне Maildir подавай. А за ним еще и сортировку почты средствами MTA. ;-)

Поэтому, у меня вариант №3 - доставляю почту себе, а на месте разбираю посредством .forward, а мог бы и через .procmailrc, но не хочу. :)

MooSE 2008-10-18 00:34:22 (#)

> а как реализовать такую схему на постфиксе?

Вообще формат файла /etc/aliases универсален и потому всё написанное здесь спраедливо и для postfix тоже.

daevy 2008-10-20 09:48:16 (#)

с алиасами то мне все понятно:-) меня интересует что делать после алиасов, т.е. цитирую "Дальше возможно придётся разрешить pipe_transport в exim (если он ещё не разрешён)." а у меня не exim:-) а postfix

MooSE 2008-10-21 16:27:24 (#)

Я так думаю что сначала просто попробовать как есть. Если будет ругаться - плясать от ошибок в логах:)

4spam 2009-02-22 06:27:05 (#)

Вот и мой почтовый ящик, не пишите Мне спамеры dliyanehoroshihdiadichek@skm.net.ua :)
и еще: spam@skm.net.ua

Anonymous 2009-07-16 18:49:47 (#)

Присоединяюсь! СПАМу бой! Мой ящик makswesthouse@mail.ru заспамили, блин. Как с этим бороться? Может имя слишком привлекательное?

MooSE 2009-07-17 11:18:46 (#)

Чую что тема превращается в место публикации ловушек для спамеров:)
Новый комментарий

Жирный текстКурсивный текстПодчёркнутый текстЗачёркнутый текстПрограммный кодСсылкаИзображение



© 2006-2024 Вадим Калинников aka MooSE
Политика конфиденциальности