Antispamový filtr pro uživatele serveru Elanor

a obdobný návod pro uživatele serveru Bilbo

V noci 14./15. 7. 2003 byl na serveru Elanor nainstalován program spamassassin integrovaný do nové verze sendmailu. Dochází k tomu, že nyní je každý e-mail označkován v hlavičce, zda se jedná o spam či nikoli. Úspěšnost spamassassinu je podle prvních testů docela vysoká. Spolehlivě detekuje a označí za spam nejméně 80% spamů, naopak selhání, tedy když regulérní e-mail (začíná se pro něj používat označení HAM) je vyhodnocen jako SPAM je velmi malá (sami autoři uvádí, že program se splete v jednom případu z tisíce).

Kromě toho, všechny e-maily prochází na centrální relay přes antivirovou a další antispamovou kontrolu, která je zaměřena na vyhodnocení, zda se odesilatel e-mailu nenachází v databázi mezinárodního spamového black-listu.

Příklad hlavičky e-mailu, který dostane uživatel serveru Elanor:

X-Muni-Spam-TestIP: 195.113.144.199
X-Muni-Envelope-From: vgmu2awb79@bscllc.com
X-Muni-Virus-Test: Clean
X-Muni-Virus-Test: Clean
X-Spam-Flag: YES
X-Spam-Status: Yes, hits=14.5 required=5.0
tests=AWL,CABLE_CONVERTER,CLICK_BELOW,CLICK_TO_REMOVE_1,EXCUSE_3,
EXCUSE_REMOVE,FORGED_MUA_OUTLOOK,FROM_ENDS_IN_NUMS,
HTML_70_80,HTML_FONT_COLOR_BLUE,HTML_FONT_COLOR_RED,
HTML_IMAGE_ONLY_10,HTML_IMAGE_RATIO_12,HTML_MESSAGE,
HTML_TAG_EXISTS_TBODY,MIME_HTML_ONLY,MISSING_MIMEOLE,
NORMAL_HTTP_TO_IP,REMOVE_PAGE
version=2.55
X-Spam-Level: **************
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)

Vidíme, že centrální program na Muni.cz provedl analýzu IP čísla odesilatele (195.113.144.199) na přítomnost v black-listu, ale výsledek byl negativní. Dále provedl standardní antivirový test, výsledek opět negativní (Clean).

Následovala heuristická analýza obsahu programem spamassasin na Elanor. Obsah tohoto e-malu byl vyhodnocen jako jednoznačný spam (v hlavičce e-malu je X-Spam-Flag: YES). Následují podrobnější informace, jaké skóre bylo dosaženo, vyjmenovány všechny atributy, které naznačují, že jde o spam a graficky vyznačena spam level (pokud by X-Spam-Level obsahovala patnáct hvězdiček jde o spam s jistotou).

Tuto podrobnou hlavičku obvykle uživatel nevidí, zejména pokud si poštu čtete pod systémy WIN. Je však možné v UNIXu i WIN definovat pravidla, která budou na klíčová slova v hlavičce reagovat a většinu spamů z vaší pošty ukládat do speciální složky, kterou je dobré občas prohlédnout a vymazat.

Příklad hlavičky e-mailu, kdy i centrální server na Muni.cz detekoval přítomnost odesilatele v black-listu a spamassasin vyhodnotil obsah také jako spam:

X-Muni-Spam-TestIP: 65.197.207.214
X-Muni-Envelope-From: funlist@westernoffers.com
X-Muni-Spam-List: bl.spamcop.net
X-Muni-Virus-Test: Clean
X-Spam-Flag: YES
X-Spam-Status: Yes, hits=13.4 required=5.0
tests=CLICK_BELOW,DATE_IN_FUTURE_12_24,EXCUSE_14,FROM_OFFERS,
MSG_ID_ADDED_BY_MTA_2,ONLINE_PHARMACY,RCVD_IN_NJABL,
RCVD_IN_OSIRUSOFT_COM,RCVD_IN_SBL,UPPERCASE_25_50,
X_OSIRU_SPAMWARE_SITE
version=2.55
X-Spam-Level: *************
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)

Následující vyhodnocovací pravidla si může vytvořit každý sám, uvádíme dále pouze ukázkové příklady:

Příklad č. 1.

1. Poštu si čtu přímo na serveru Elanor (např. přes program Pine)

Následující nastavení provede filtrování pošty tak, že všechny spamy se od regulérní pošty oddělí a ukládají se v lokální složce spam. Pomocí volby "změnit složku" v Pine si mohu obsah složky spam prohlížet a v pravidelných intervalech odmazávat (její plnění mi ukrajuje diskovou kvótu na serveru). Došlý spam není ohlášen ani jako nový mail, je automaticky zlikvidován. Postup:

1) Je potřeba vytvořit ve svém domovském adresáři soubor .procmailrc kde bude:

MAILDIR=$HOME/mail                # definice adresáře, který používá Pine,

LOGFILE=$MAILDIR/logfile         # chci mít přehled co se děje v logu a definuji, kde logfile bude

INCLUDERC="/usr/pkg/etc/procmailrc.ovt"    # Odkaz na přednastavený procmail, ve kterém je definována analýza hlaviček e-mailů a to, že se všechny nalezené spamy ukládají do speciální složky se jménem spam,

2) Nesmím zapomenout všechny e-maily do procmailu posílat. To zajistím vytvořením souboru .forward, ve kterém bude:

"|/usr/pkg/bin/procmail"

...a to je vše. HAMy zůstávají v default adresáři a SPAMy si můžete občas projít a vymazat přes Pine ve složce s názvem spam.

POZNAMKA: Nevytvářejte soubory .procmailrc a .forward ve WINDOWS s nasledným uložením na server! (na konci radku pak je same ^M a procmail pak soubory nemůže najít a nefunguje to). Silně doporučujeme se nejdříve přes telnet (lépe SSH) připojit na server a potom použít místní editory (pico, joe, vim,...) pro editaci.

Příklad č. 2.

2. Poštu si čtu ve WINDOWS programem Microsoft Outlook 2000, 2002

Tento poštovní klient umožňuje nastavení pravidel pro manipulaci se zprávami tak, aby zprávy, označené v hlavičce jako spam byly přesouvány do zvláštní složky (např. pojmenované Spam), odkud mohou být snadno podle potřeby vymazány. Zprávy je možno také rovnou mazat, tuto variantu však nedoporučujeme, protože známe případy, kdy byla regulérní zpráva od důvěryhodné osoby označena jako spam.

Následující postup platí pro Outlook 2002 (součást MS Office XP). V Outlooku 2000 (součást MS Office 2000) a Outlooku 98 by měl být postup prakticky shodný - jsou však možné drobné odchylky v některých názvech.

  1. Otevřete MS Outlook
  2. V Osobních složkách  vytvořte novou složku pro ukládání spamů a pojmenujte ji např. Spam.
  3. V nabídce Nástroje zvolte příkaz Průvodce pravidly..., který otevře dialogové okno Průvodce pravidly, ve kterém se pravidlo vytvoří.
  4. V dialogovém okně průvodce klepněte na tlačítko Nové.
  5. V dalším okně zaškrtněte políčko "Vytvořit zcela nové pravidlo" a v horním seznamu vyberte položku "Kontrolovat zprávy po jejich příchodu". Pak klepněte na tlačítko Další.
  6. V horním seznamu najděte položku "pokud obsahuje určitá slova v záhlaví zprávy" a zaškrtněte políčko na začátku řádku.
  7. Řádek se zkopíruje do dolního seznamu. V tomto dolním seznamu klepněte na odkaz "určitá slova". Otevře se okno Hledat text.
  8. Do horního řádku napište požadovaný text: X-Spam-Status: Yes  a klepněte na tlačítko Přidat. Text se přenese do spodního seznamu okna Hledat text. Pak do horního řádku zapište text: X-Muni-Spam-List a opět klepněte na tlačítko Přidat. I tento text se přenese do spodního seznamu spolu s operátorem "nebo". Nyní klepněte na tlačítko OK a okno Hledat text se zavře.. Tím bylo vytvořeno kriterium, které říká, že se zprávami obsahujícími v záhlaví text "X-Spam-Status: Yes" nebo "X-Muni-Spam-List" - tj. se spamy, se bude něco provádět.
  9. Co se s nimi provede, určíte v dalším okně, které se otevře.po klepnutí na tlačítko Další.
  10. V novém okně v horním seznamu zaškrtněte políčko u položky na prvním řádku: "přesunout do složky zadané uživatelem". Text tohoto řádku se opět přenese do spodního seznamu.
  11. Ve spodním seznamu klepněte na odkaz "zadané uživatelem". Otevře se okno se stromem složek, ve kterém označte složku, do které mají být spamy přesouvány. Pak klepněte na tlačítko OK. Okno se složkami se zavře a v dolním seznamu okna průvodce pravidly se zobrazí doposud vytvořené pravidlo. Klepněte na tlačítko Další.
  12. V dalším okně průvodce je možno zadat výjimky z dosud vytvořeného pravidla. Pro manipulaci se spamy nejsou třeba žádné výjimky, takže klepněte na tlačítko Další.
  13. V okně, které se otevře, zadejte do horního řádku název pravidla (např. "Spamy"), zaškrtněte políčko "Zapnout toto pravidlo" a klepněte na tlačítko Dokončit.
  14. Zobrazí se znovu první okno Průvodce pravidly a vy můžete vytvořit případně další pravidlo pro manipulaci se zprávami.
  15. Chcete-li, aby se spamy, které dosud máte ve vaší doručené poště, přesunuly do složky Spam,  klepněte na tlačítko Spustit. Otevře se okno Spustit pravidla, ve kterém zaškrtněte políčko u pravidla Spamy a klepněte na tlačítko Spustit. Všechny spamy se postupně přesunou do vámi požadované složky. Pak všechna otevřená okna Průvodce pravidly postupně zavřete klepnutím na tlačítka Zavřít nebo OK.

Od této chvíle bude na všechny přijaté zprávy (bezprostředně po jejich přijetí) aplikováno toto pravidlo a spamy budou automaticky přesouvány do vybrané složky. Obsah této složky pak můžete v pravidelných intervalech mazat.

Příklad č.3

3. Poštu si čtu ve WINDOWS programem Microsoft Outlook Express

Tento poštovní klient, který je dodáván zdarma jako součást Internet Exploreru, má rovněž možnost vytvořit určitá pravidla pro organizaci zpráv, výběr pravidel je však oproti MS Outlooku nesrovnatelně chudší. Mezi pravidly bohužel chybí možnost nahlédnout do hlavičky zprávy a při výskytu určitého textového řetězce provést nějakou akci. Z toho vyplývá, že ten, kdo používá Outlook Express nemá žádnou možnost spamy účinně filtrovat. Používáte-li Outlook Express a máte na svém počítači nainstalovánu sadu Microsoft Office (Word, Excel, Access,...), máte nainstalován také "dospělý" MS Outlook, takže by neměl být problém přejít na užívání tohoto poštovního klienta místo Outlooku Express. Veškeré zprávy i adresář z Outlooku Express lze velmi snadno naimportovat do Outlooku, takže neutrpíte žádnou újmu. Vzhled a ovládání Outlooku se od Outlooku Express téměř neliší takže přechod by neměl činit žádné problémy.

Příklad č.4

4. Poštu si čtu ve WINDOWS programem Netscape Communicator

Návod se připravuje

D. Hanžl a P. Padrta 15. 7. 2003

Č. Greger, 30.9.2003