© kallejipp, Photocase.com
Die amtierende Millionärsriege der Spamversender ist technisch so abgefeimt, dass Spamassassin des Dauerbeschusses mit Konsum-Müll nicht mehr Herr wird. Es regelmäßig mit neuen Befehlen zu instruieren, kittet jedoch das Bollwerk des Guten wirksam.
|
Inhalt |
|---|
|
54 | Honeypots Mit Ködern lockt der Admin Angreifer an, um sie zu 60 | IKEv2 Die zweite Version des VPN-Protokolls und deren 64 | BSD-Spamd Spamd lockt Spammer gezielt an und stiehlt ihnen wertvolle 70 | Parallele Bash-Skripte Bash-Skripte lassen sich mit überraschend wenig Aufwand |
Um sich die Abneigung aller PC-Anwender zu verdienen, sind Spammer beim Designen ihrer Müllmails kreativ. Da ich dem Pack gern auf Augenhöhe begegne, braucht mein Spamassassin regelmäßig Updates. Zum Glück gibt es Quellen (Channels), bei denen er sich aufmunitionieren darf. SA-Update [1] besorgt die Filterregeln. Ein GPG-Schlüssel verhindert Manipulationstechniken wie DNS-Spoofing. Um den Default-Channel »updates.spamassassin.org« einer Frischzellenkur zu unterziehen, besorge ich mir zunächst den öffentlichen Schlüssel:
wget http://spamassassin.apache.org/updates/GPG.KEY gpg --import GPG.KEY sa-update --import GPG.KEY
Jetzt lege ich im Spamassassin-Ordner zwei Dateien an: In »channels.text« stehen die Updatekanäle und »keys.text« nimmt die GPG-Schlüssel-IDs auf, die ich für den Zugriff benötige. Dann startet das Update:
sa-update -D --channelfile /etc/spamassassin/channels.text --gpgkeyfile /etc/spamassassin/Ukeys.text
Mit »-D« plappert mich SA-Update mit Debug-Informationen voll. Ohne ihn zeigt es sich ähnlich schweigsam wie Charles Bronson in “Spiel mir das Lied vom Tod” – einen durchschnittlich geschwätzigen Modus gibt es nicht.
Mit Filter, bitte!
Um die Erkennungsrate zu verbessern, binde ich weitere Channel ein, zum Beispiel von Openprotect [2] oder Daryl O\’Shea [3]. Den Überblick über die Regeln des Spamassassin Rules Emporium (SARE) gibt [4], das Default-Regelwerk erläutert [5]. Eine Erfolgskontrolle erhalte ich über den Rückgabewert. Ist der 0, so hat SA-Update neue Regeln hinzugefügt. Ist er 1, war alles bereits auf dem neuesten Stand. Werte über 4 deuten auf Fehler hin und veranlassen mich die Debug-Ausgabe genau anzusehen.
Die Kurzbezeichnungen der Filter tauchen in den Mail-Logs auf, sodass ich sehe, was Spamassassin an einer Mail stört und welches Regelwerk gilt (Abbildung 1).
Abbildung 1: Das Log verrät Regelwerk und was Spamassassin an einer Mail stört.
Lohnt der Aufwand? Unbedingt! Die Spam-Erkennung profitiert von dem ergänzten Regelwerk außerordentlich. Trotzdem habe ich ein waches Auge auf die Logfiles, denn die Gefahr von False Positives steigt mit jeder neuen Filterregel. (jk)
|
Infos |
|---|
|
[1] SA-Update: [http://wiki.apache.org/spamassassin/RuleUpdates] [2] Openprotect: [http://saupdates.openprotect.com] [3] Daryl O\’Shea: [http://daryl.dostech.ca/sa-update/sare/sare-sa-update-howto.txt] [4] SARE: [http://www.rulesemporium.com/rules.htm] [5] Default-Regelwerk: [http://spamassassin.apache.org/tests_3_2_x.html] |
|
Der Autor |
|---|
|
|
Sollte man Beiträge nicht besser mit dem Datum versehen? Der Beitrag hier ist veraltet und vergeudet nur Zeit des Leser. Kein Link funktioniert, Mehrwert = 0.