Spam Assassin

Quelques conseils

Pour optimiser SpamAssassin, voici mes quelques conseils :

• Utilisez toujours la dernière version de Spam Assassin (2.63 à l’heure ou je vous parle). En effet les spams apprennent à s’adapter aux outils de détection de Spam, utiliser la dernière version du logiciel vous garantie, comme pour un antivirus, d’avoir les règles de détection les plus récentes.
• Activez les tests de DNS, pour ce faire il est nécessaire d’installer Net ::DNS dans Perl
• Utilisez (installez donc) Pyzor, DCC et Razor avec SpamAssassin, cela optimisera d’autant les résultats.
• Puisque vous lisez ma prose en Français, il est possible que les spammeurs francophones s’intéressent a vous, donc installez aussi les règles optimisés pour le Français.
• Lisez la doc de SpamAssassin, en particulier les parties concernant l’apprentissage initial du filtre bayesien (sa-learn), et pour un filtrage plus avancé les parties permettant d’écrire vous même vos propres règles, ou de changer le score de certaines.
• Et on n’oubliera pas de visiter si on veux en savoir plus, en plus de cette page, le site de SpamAssassin, le WikiWiki officiel de SpamAssassin, et le site de news.

Règles diverses

Avec les techniques utilisés actuellements par les spammeurs pour échapper aux recherches par mots-clefs, aux filtres bayesians, et l’absence de tentative de fausser des headers, il devient plus difficile, avec un SpamAssassin de base de chasser tous les Spams. Toutefois, les méthodes d’obfuscation peuvent être pourchassés, et des sets de règles ayant un tel but commencent a avoir un certain succès. D’autres règles se sont créés afin de blacklister certains domaines, etc...

Un wiki a été créé afin de permettre a chacun de partager ses règles. Sont ensuites apparus de nombreux sets de règles prêts à télécharger, ainsi qu’un site regroupant la pluspart d’entre elles ; le SpamAssassin Rule Emporium ! (SARE).

Parmis jeux de règles les plus anciens, et les plus souvent cités :

• TripWire, qui recherche les séries de 3 lettres rarissimes en anglais (potentiellement dangereux, augmentez la variable required_hits si vous comptez l'utilisez ; de plus il faudra certainement l'adapter au Français)
• Backhair, qui s'attaque aux balises HTML curieuses et douteuses.
• ChickenPox
• Weeds, l'objectif étant de pister les caractères encodés en HTML par leur numéro, là ou cela ne représente aucun intérêt.
• AntiDrug, qui s'attaque aux noms de médicaments (a ne pas installer chez les pharmaciens).
• EvilNumber, qui contient les numéros téléphoniques et adresses vus dans des spams
• Les règles que j'ai écrit moi-même : airmax.cf & french_rules.cf

Il y a aussi les règles allemandes qui peuvent vous intéresser, mais attention, ces règles sont plutot aggressives (comparés aux règles de base), a ne pas utiliser si vous avez peur de perdre des messages (en particulier si vous recevez des mails érotiques). Enfin on pourra également citer les règles de blacklist de Bill Stearns ainsi que celles de Chris Santerre connus sous le nom de BigEvil.cf. Celles-ci, visant principalement des adresses mails et des noms de domaines pourraient être implémentés facilement dans le serveur de mail. D’ailleurs il existe des listes similaires, pour d’autres systèmes de filtrages.

Tenir ses règles à jour

Le plus intéressant avec les règles SpamAssassin pourra-t-on se dire, c’est d’avoir des règles les plus a jour possibles. Pour cela quelqu’un a écrit un script bash permettant de télécharger les mises a jours des sets les plus connus, et d’autres a votre convenance. : RulesDuJour. Il a une lacune importante : il ne vérifie pas la signature des règles (en fait les fichiers contenant les règles sont rarements signés), aussi si quelqu’un piratait un des serveurs hébergeant un set de règles, vous risquez de perdre du courriel.

Aussi afin de combler cette importante lacune et de faire mieux, j’ai écrit un utilitaire pour le remplacer en Perl : rule-get. Attention tout de même avec ces téléchargements automatiques : certaines de ces règles risquent de créer des faux positifs (elles n’ont pas toutes été testés avec le même soin que les règles de la distribution officielle).

Une blacklist des URLs en temps réels

Un spam fait presque toujours la promotion d’un site web. Ces mêmes sites webs se retrouvent dans tous les Spams. D’où l’idée des listes des blacklists d’URLs dont je parlais il y a peu de temps. Toutefois, comme les adresses des sites webs changent souvent, l’efficacité est limité. D’où la vieille idée de créer une base de données on-line qui serait consultée a chaque nouveau mail. Et bien, ca existe enfin : SURBL. Et cerise sur le gâteau, la page web vous explique comment l’intégrer à Spam Assassin 2.63. Etant donné l’efficacité, nul doute que cela sera fournis de base par la prochaine version de Spam Assassin.

Patch SpamAssassin

J’ai écris un petit patch permettant d’utiliser SpamAssassin 2.55 pour envoyer un mail au service abuse lorsqu’on demande a celui-ci de signaler le spam (spamassassin -r) , a l’aide du logiciel ricochet. Il y a de très fortes chances que celui-ci s’applique tel quel aux versions plus récentes (pas testé).

Divers

• Faire des graphs MRTG avec spamd : http://users.2z.net/rpuhek/scripts_public/spamd/

Paquets Debian

Les utilisateurs de la Debian stable pourront trouver des paquets mis à jour de SpamAssassin, et de Razor (patché) pour leurs distributions. Il leurs suffit de rajouter dans le fichier /etc/apt/sources.list :

   deb http://www.backports.org/debian stable razor
   deb http://www.backports.org/debian stable libdigest-nilsimsa-perl