Le blog de Michauko » anti-spam

spamassassin : rulesemporium est mort

michauko — Tue, 25 Jan 2011 11:05:42 +0000

Hop,
Je n’avais pas vu le truc avant qu’une mise à jour spamassassin me remonte une alerte, mais le site RulesEmporium a fermé. Plus d’activité, soit. Mais d’avoir supprimé le contenu, c’est dommage je trouve.
Bon bref, toujours est-il que j’ai de nouveau un petit bout de l’outil de détection des textes « cachés » dans les images (spam viagra & co) qui ne fonctionne plus.
D’ici à trouver quelque chose d’autre, je laisse en plan et je supprime simplement les quelques règles de détection impactées.
Le symptôme est le suivant, issu d’un spamassassin --lint -D, on obtient :

[30926] warn: rules: failed to run CG_FUJI_JPG test, skipping:
[30926] warn: (Can’t locate object method « image_name_regex » via package « Mail::SpamAssassin::PerMsgStatus » at (eval 1466) line 856.
[30926] warn: )
[30926] warn: rules: failed to run CG_DOUBLEDOT_GIF test, skipping:
[30926] warn: (Can’t locate object method « image_name_regex » via package « Mail::SpamAssassin::PerMsgStatus » at (eval 1466) line 986.
[30926] warn: )
[30926] warn: rules: failed to run CG_SONY_JPG test, skipping:
[30926] warn: (Can’t locate object method « image_name_regex » via package « Mail::SpamAssassin::PerMsgStatus » at (eval 1466) line 1602.
[30926] warn: )
[30926] warn: rules: failed to run CG_CANON_JPG test, skipping:
[30926] warn: (Can’t locate object method « image_name_regex » via package « Mail::SpamAssassin::PerMsgStatus » at (eval 1466) line 2704.
[30926] warn: )

Je commente l’appel à ces règles dans /etc/spamassassin/imageinfo.cf.
Et enfin je désactive la mise à jour via sa-update, en commentant mes lignes /etc/spamassassin/channels.txt.

A suivre.

Spamassassin : se créer une règle de détection spécifique

michauko — Fri, 25 Jan 2008 16:36:40 +0000

Malgré des règles assez sympathiques (voyez ma doc Debian (encore ? oui oui) pour les mettre en place), il arrive que certains spams ne soient pas reconnus. Si vous avez envie d’écrire une règle hyper compliquée ou simplement une petite règle car vous avez détecté qu’un serveur relai bien moisi était à l’origine de cela, voici une mini-introduction pour le faire.

Tout d’abord, lisez la doc officielle de SpamAssassin sur le sujet, c’est la bible. Ensuite, voici un cas simple, concret, basé sur un header particulier, le champ "Received". Je cherche à voir si le mail spammeux non détecté est passé par le serveur « gaoland.net », apparement un « problème connu » (voyez sur Google).

J’ai donc créé un fichier /etc/spamassassin/mes_regles.cf contenant :

header   PERSO_GAOLAND Received =~ /gaoland\.net/i
describe PERSO_GAOLAND Relaye par gaoland.net, on soupçonne fortement
score    PERSO_GAOLAND 4.0

J’ai simplement fait ajouter 4 points car ce spam non reconnu marquait déjà 4.5 ou 4.9 – je ne sais plus – pour motif « Bayesian spam probability is 99 to 100% », mon seuil de détection étant à 5.

Pour faire un test de votre configuration, vous pouvez vous créer une règle de ce genre :

body     MESREGLES_TEST   /je teste mon spam/
score    MESREGLES_TEST   5.1

…et vous envoyer un e-mail depuis une adresse non whitelistée (oui oui j’ai fait cette erreur contenant dans le corps du message (BODY) la phrase « je teste mon spam ». Vous devriez alors voir un joli :

Spam detection software, running on the system "monserveur.com", has
identified this incoming email as possible spam.  The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email.  If you have any questions, see
the administrator of that system for details.

Content preview:  bliblablo je teste mon spam blabslqj [...] 

Content analysis details:   (5.1 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 5.1 MESREGLES_TEST             BODY: MESREGLES_TEST
 0.0 BAYES_50               BODY: Bayesian spam probability is 40 to 60%
                            [score: 0.4978]
 0.0 AWL                    AWL: From: address is in the auto white-list

Et voilou

spamassassin 3.2 et ImageInfo

michauko — Tue, 18 Dec 2007 14:13:06 +0000

Récemment, je suis passé d’un spamassassin 3.1 (issu d’une stable) à une version 3.2 (mixé depuis une testing). J’avais déjà installé le plug-in « ImageInfo » pour la détection des images « spammeuses » dans les mails. L’upgrade en spamassassin 3.2 a posé problème. Il y a un peu de littérature sur le sujet. Je consigne ici les symptomes de ce problème et la sa résolution

En fait, spamassassin 3.2 est packagé avec un mauvais module Perl ImageInfo, faisant appel à une méthode qui fait tout vautrer, l’erreur typique en lançant spamassassin --lint -D est ça :

[16752] warn: rules: failed to run CG_FUJI_JPG test, skipping:
[16752] warn:  (Can't locate object method "image_name_regex" via package "Mail::SpamAssassin::PerMsgStatus" at (eval 1274) line 819.
[16752] warn: )
[16752] warn: rules: failed to run CG_DOUBLEDOT_GIF test, skipping:
[16752] warn:  (Can't locate object method "image_name_regex" via package "Mail::SpamAssassin::PerMsgStatus" at (eval 1274) line 964.
[16752] warn: )
[16752] warn: rules: failed to run CG_SONY_JPG test, skipping:
[16752] warn:  (Can't locate object method "image_name_regex" via package "Mail::SpamAssassin::PerMsgStatus" at (eval 1274) line 1534.
[16752] warn: )
[16752] warn: rules: failed to run CG_CANON_JPG test, skipping:
[16752] warn:  (Can't locate object method "image_name_regex" via package "Mail::SpamAssassin::PerMsgStatus" at (eval 1274) line 2554.
[16752] warn: )

Il faut donc simplement redescendre le bon ImageInfo.pm et imageinfo.cf respectivement dans /usr/share/perl5/Mail/SpamAssassin/Plugin et dans /etc/spamassassin. Hop, c’est réglé.

Note : si vous avez installé les règles de SARE après SpamAssassin 3.2, vous n’avez pas constaté le bug, forcément.