SpamAssassinメモ
少し前のことだけど、本文が何もなくGIF画像の添付ファイルが一つだけ付いてくるスパムがたて続いていた。SpamAssassinもスルーしてしまうのでちょっと目障りだったから何とかフィルタを作ろうと思って試行錯誤していたらどうも同じ所でGIF画像を生成しているのか画像の内容が違ってもbase64の最初の数行の文字列が同じである事に気がついた。まぁGIF画像のバイナリデータのヘッダ部分は共通であるが自分で作成したGIF画像を添付したものとは明らかにbase64の出だしが1行目から違ってくるし、SPAMのものは約10行程度はSPAMのDNAであるかのように毎回同じだった。単純に添付ファイルがGIFでSpamAssassinのスコアを増やすのはあまりに無謀だったのでコレを採用してみた。
内容はこんな感じです。
#まずはGIF画像の添付ファイルである(条件1) full TW_GIF_ATTACHMENT /\nContent-Type:.*image\/gif/i describe TW_GIF_ATTACHMENT gif attachment score TW_GIF_ATTACHMENT 0.0 #次にSPAMのDNA1行目(条件2) body TW_GIF_PATTERN1 /R0lGODlhegHuAPcAAAAAAIAAAACAAICAAAAAgIAAgACAgICAgMDAwP8AAAD\/AP\/\/AAAA\/\/8A\/wD\// describe TW_GIF_PATTERN1 SPAM gif pattern1 score TW_GIF_PATTERN1 0.0 #1行だけのマッチだと不安なのでSPAMのDNA5行目(条件3) body TW_GIF_PATTERN2 /MwD\/ZgD\/mQD\/zAD\/\/zMAADMAMzMAZjMAmTMAzDMA\/zMzADMzMzMzZjMzmTMzzDMz\/zNmADNmMzNm/ describe TW_GIF_PATTERN2 SPAM gif pattern2 score TW_GIF_PATTERN2 0.0 #上記3条件にマッチした場合スコアを増やす meta TW_GIF_ONLY_SPAM GIF_ATTACHMENT && GIF_PATTERN1 && GIF_PATTERN2 describe TW_GIF_ONLY_SPAM GIF_ATTACHMENT && GIF_PATTERN1 && GIF_PATTERN2 score TW_GIF_ONLY_SPAM 3.5
こんな風に書いてみました。これをSpamAssassinの設定ファイルを置くディレクトリにファイル名を〜.cfにして置いて、SpamAssassinリブート。試験をしてみてあとは待つのみ。SPAMなんて欲しくはないのだけど、新しい設定を追加してみると「来ないかな?」って思うのは変ですよね。案の定この手の対応をした時にはすでに遅し、もう来ないもんなんだよね。こうやってフィルタはどんどん行数がかさんでいく運命なのだね。最近はPDFのみ添付のSPAMも多いのだけれどこれは既にフィルタで除去できているので無問題。Postgreyの弾く件数もそうだけど土日になると急激に減るのってやっぱりスパマーさんも週休二日なのかな?まぁ土日だけでも少ないのは助かります。
コメントする