Open Source im professionellen Einsatz
Linux-Magazin 02/2009
© kallejipp, Photocase.com

© kallejipp, Photocase.com

Aus dem Alltag eines Sysadmin: SA-Update

Frische Instruktionen

Die amtierende Millionärsriege der Spamversender ist technisch so abgefeimt, dass Spamassassin des Dauerbeschusses mit Konsum-Müll nicht mehr Herr wird. Es regelmäßig mit neuen Befehlen zu instruieren, kittet jedoch das Bollwerk des Guten wirksam.

450

Inhalt

54 | Honeypots

Mit Ködern lockt der Admin Angreifer an, um sie zu
beobachten.

60 | IKEv2

Die zweite Version des VPN-Protokolls und deren
Linux-Implementierung.

64 | BSD-Spamd

Spamd lockt Spammer gezielt an und stiehlt ihnen wertvolle
Ressourcen.

70 | Parallele Bash-Skripte

Bash-Skripte lassen sich mit überraschend wenig Aufwand
parallelisieren.

Um sich die Abneigung aller PC-Anwender zu verdienen, sind Spammer beim Designen ihrer Müllmails kreativ. Da ich dem Pack gern auf Augenhöhe begegne, braucht mein Spamassassin regelmäßig Updates. Zum Glück gibt es Quellen (Channels), bei denen er sich aufmunitionieren darf. SA-Update [1] besorgt die Filterregeln. Ein GPG-Schlüssel verhindert Manipulationstechniken wie DNS-Spoofing. Um den Default-Channel »updates.spamassassin.org« einer Frischzellenkur zu unterziehen, besorge ich mir zunächst den öffentlichen Schlüssel:

wget http://spamassassin.apache.org/updates/GPG.KEY
gpg --import GPG.KEY
sa-update --import GPG.KEY

Jetzt lege ich im Spamassassin-Ordner zwei Dateien an: In »channels.text« stehen die Updatekanäle und »keys.text« nimmt die GPG-Schlüssel-IDs auf, die ich für den Zugriff benötige. Dann startet das Update:

sa-update -D --channelfile /etc/spamassassin/channels.text --gpgkeyfile /etc/spamassassin/Ukeys.text

Mit »-D« plappert mich SA-Update mit Debug-Informationen voll. Ohne ihn zeigt es sich ähnlich schweigsam wie Charles Bronson in "Spiel mir das Lied vom Tod" - einen durchschnittlich geschwätzigen Modus gibt es nicht.

Mit Filter, bitte!

Um die Erkennungsrate zu verbessern, binde ich weitere Channel ein, zum Beispiel von Openprotect [2] oder Daryl O\'Shea [3]. Den Überblick über die Regeln des Spamassassin Rules Emporium (SARE) gibt [4], das Default-Regelwerk erläutert [5]. Eine Erfolgskontrolle erhalte ich über den Rückgabewert. Ist der 0, so hat SA-Update neue Regeln hinzugefügt. Ist er 1, war alles bereits auf dem neuesten Stand. Werte über 4 deuten auf Fehler hin und veranlassen mich die Debug-Ausgabe genau anzusehen.

Die Kurzbezeichnungen der Filter tauchen in den Mail-Logs auf, sodass ich sehe, was Spamassassin an einer Mail stört und welches Regelwerk gilt (Abbildung 1).

Abbildung 1: Das Log verrät Regelwerk und was Spamassassin an einer Mail stört.

Lohnt der Aufwand? Unbedingt! Die Spam-Erkennung profitiert von dem ergänzten Regelwerk außerordentlich. Trotzdem habe ich ein waches Auge auf die Logfiles, denn die Gefahr von False Positives steigt mit jeder neuen Filterregel. (jk)

Infos

[1] SA-Update: [http://wiki.apache.org/spamassassin/RuleUpdates]

[2] Openprotect: [http://saupdates.openprotect.com]

[3] Daryl O\'Shea: [http://daryl.dostech.ca/sa-update/sare/sare-sa-update-howto.txt]

[4] SARE: [http://www.rulesemporium.com/rules.htm]

[5] Default-Regelwerk: [http://spamassassin.apache.org/tests_3_2_x.html]

Der Autor


Charly Kühnast administriert Unix-Betriebssysteme im Rechenzentrum Niederrhein in Moers. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ. Im heißen Teil seiner Freizeit frönt er dem Kochen, im feuchten Teil der Süßwasseraquaristik und im östlichen lernt er Japanisch.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Phishers Fritze

    Spamassassin ist das Rückgrat zahlloser Müllmail-Vermeidungsstrategien. Eher behutsam gepflegt, gibt es jetzt zum ersten Mal seit 2007 ein großes Update. Es lohnt sich.

     

  • Spamassassin 3.3.0 trennt Regeln vom Kern

    Mit Version 3.3.0 erfährt der freie Spamfilter Spamassassin seine erste größere Release seit Mai 2007.

comments powered by Disqus

Ausgabe 11/2016

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.