Close Menu
    Login

    Debian: Spamassassin tuning (Aktualisierung/Auswertung)

    By Updated:3 Kommentare3 Mins Read Spamassassin

    Damit die Spamfilterung mit spamassassin erfolgreich ist/bleibt, muss der Filter trainiert werden bzw. die Regeln für die Bewertung müssen aktuell gehalten werden. Dies konnte man früher über das script rules_du_jour erledigen. Leider ist die Wartung/Weiterentwicklung dieses scriptes eingestellt worden. Statt dessen kann jetzt sa-update verwendet werden.

    Doch was hilftes, den Spamfilter aktuell zu halten, wenn man keine Rückmeldung über die false/positiv Erkennung bekommt? Rückmeldungen von Usern sollten hier kein Maßstab sein. Für einige User arbeitet der Spamfilter schon nicht mehr richtig, wenn von 100 Spam-Mails eine durchkommt.

    Um sich also selber ein Bild zu machen, kann man die Log-Dateien von Spamassassin auswerten. Wenn noch kein logging aktiviert ist, sollte dies jetzt eingerichtet werden:

    Spamassassin Logging

    Erweitern Sie dazu in der Datei /etc/default/spamassassin die Zeile Options um den Eintrag 

    -s ${SAHOME}spamd.log

    SAHOME sollte am Anfang der Datei definiert worden sein: 

    SAHOME="/var/lib/spamassassin/"

    Um die Log-Datei auszuwerten, kann nun sa-stats verwendet werden. Das Perl-Skript ließt die Logdatei ein und liefert eine wesentlich übersichtlichere Ausgabe als die reine Log-Datei jemals bieten könnte.

    Auswertung mit sa-stats

    ./sa-stats.pl < /var/lib/spamassassin/spamd.log

    Logrotation aktivieren

    Damit die Logdatei spamassassin nicht irgendwann überläuft, sollte logrotate entsprechend konfiguriert werden: 

    /etc/logrotate.d/spamassassin
/var/lib/spamassassin/spamd.log {
        weekly
        missingok
        rotate 12
        compress
        delaycompress
        notifempty
        create 640 root root
        sharedscripts
        postrotate
        /etc/init.d/spamassassin reload >/dev/null
        endscript
}

    Weitere Regeln

    Das built-in Regelwerk von Spamassassin ist an für sich schon relativ gut. Es lässt sich meiner Meinung nach jedoch noch ein wenig verfeineren. Als relativ gut haben sich die Regeln von RulesEmporium erwiesen. Wie bereits erwähnt, wird das script rules_du_jour leider nicht mehr weiter entwickelt. Daryl O’Shea bietet jedoch eine Hand voll Regeln an, die die Standard Regeln von Spamassassin gut erweiteren. Bervor diese Regeln automatisch geupdatet werde können, muss der entsprechende PGP-Key installiert werden.

    Vorher noch sa-update aufrufen, da sa-update sonst evtl. die Schlüssel nicht importieren kann, weil der Ordner /etc/spamassassin/sa-update-keys/ noch nicht exisitert. 

    sa-update

    anschließend 

    wget http://daryl.dostech.ca/sa-update/sare/GPG.KEY
gpg --import GPG.KEY
sa-update --import GPG.KEY
rm GPG.KEY
wget http://spamassassin.apache.org/updates/GPG.KEY
gpg --import GPG.KEY
sa-update --import GPG.KEY
rm GPG.KEY
wget http://yerp.org/rules/GPG.KEY
gpg --import GPG.KEY
sa-update --import GPG.KEY

    Anschließend wird eine Channel-Date für sa-update angelegt 

    touch /etc/spamassassin/sare-sa-update-channels.txt

    In dieser werden dann die zusätzlichen Channels eingebunden: 

    updates.spamassassin.org
70_sare_stocks.cf.sare.sa-update.dostech.net
70_sare_adult.cf.sare.sa-update.dostech.net
70_sare_spoof.cf.sare.sa-update.dostech.net
70_sare_bayes_poison_nxm.cf.sare.sa-update.dostech.net
70_sare_genlsubj_x30.cf.sare.sa-update.dostech.net
70_sare_oem.cf.sare.sa-update.dostech.net
70_sare_random.cf.sare.sa-update.dostech.net
70_sare_specific.cf.sare.sa-update.dostech.net
70_zmi_german.cf.zmi.sa-update.dostech.net
88_FVGT_Bayes_Poison.cf.sare.sa-update.dostech.net
88_FVGT_Tripwire.cf.sare.sa-update.dostech.net
88_FVGT_rawbody.cf.sare.sa-update.dostech.net
88_FVGT_subject.cf.sare.sa-update.dostech.net
chickenpox.cf.sare.sa-update.dostech.net
sought.rules.yerp.org

    Um nun die Channels automatisch update zu können, muss noch ein key-file mit den Fingerprints angelegt werden. 

    touch /etc/spamassassin/keys
echo 856AA88A >> /etc/spamassassin/keys
echo 5244EC45 >> /etc/spamassassin/keys
echo 6C6191E3 >> /etc/spamassassin/keys

    Anschließend können die Regel aktualisiert werden 

    sa-update -D --channelfile /etc/spamassassin/sare-sa-update-channels.txt --gpgkeyfile /etc/spamassassin/keys

    Die Aktualisierung der Regeln sollten Sie von Zeit zu Zeit kontrollieren, um zu vermeiden 

    spamassassin -D --lint

    Bilder Spam

    Damit Spamassassin Bilderspam auch als solchen erkennt, kannt der ToolFuzzyOCR eingesetzt werden. Eine sehr gute funktionierende Anleitung finden Sie hier oder eine zweite hier. Das nützliche Tool "pamthreshold" ist leider nicht in dem Debian-Paket von "netpbm" (zu alt). Auf http://www.morbitzer.de gibt es jedoch schon eine compilierte Version. 

    cd /usr/bin
wget http://www.morbitzer.de/downloads/pamthreshold
chmod 755 pamthreshold

    Links: Heinlein-Support Präsentation zum Thema Clustering/Postfix/Spam

    Themenbezogenen weitere Artikel:

    View 3 Comments

    3 Kommentare

    Reply To Christian Scholz Cancel Reply