Astăzi vreau să vorbesc despre crearea unui filtru de spam pentru serverul de mail Mdaemon (un produs destul de popular pentru administratorii organizațiilor mici). Această popularitate este bine meritată și unul dintre motivele pentru popularitatea sa este sistemul de filtrare spam avansat pe care îl are acest produs. Povestea mea se va baza pe setările serverului de mail real cu care am lucrat (MDaemon v 9.5.6). Nu voi descrie în detaliu fiecare element din multe setări disponibile în Mdaemon, deoarece înțelesul multora dintre ele este de înțeles din numele lor și / sau descris în documentație. Mă voi concentra doar asupra punctelor-cheie ale activității uneia dintre componentele de protecție: SpamFilter.
Sistemul de bază MDaemon de filtrare a spam-ului este bine-cunoscut produs open source - SpamAssassin. MDaemon care funcționează ca un modul rezident MSpamD (spam-procesare daemon MDaemon lui). O parte din setările pe care le putem efectua în GUI-interfață Mdaemon'ovskogo filtru de spam va fi în cele din urmă reflectate în fișierele de configurare Spamassasin'a. SpamAssassin este bun, deoarece vă permite să utilizați un număr mare de diferite teste pentru spam-ul prin încărcarea, la sfârșitul fiecărui test un anumit număr de puncte (și, la sfârșitul scrierii test poate fi creditat, ambele puncte pozitive și negative (număr prestabilit de puncte câștigate pe baza unui test, vă puteți uita la site-ul SpamAssassin)). După trecerea scris întregul set de puncte de testare, litere tastate în fiecare test sunt rezumate și comparate cu o valoare de prag predeterminată. Pe baza rezultatului acestei comparații, o scrisoare este recunoscută ca spam sau legitime de e-mail. Prin urmare, în primul rând, trebuie să determinați această valoare prag. Acest lucru se face în fila „Euristica“ în „Un mesaj este spam dacă scorul său este mai mare sau egal cu“ (a se vedea. Figura 2). În al doilea rând, este necesară decizia Priya cu privire la ce să facă cu scrisorile, care după ce trece testele vor fi recunoscute spam'om: ștergeți-le sau nu (această setare se face pe fila SpamFiltering, sub „IftheSpamFilterdeterminesthatamessageisspamthen ...“)? Prefer să nu șterg niciodată mesaje și, de aici:
1) nu este posibilă excluderea posibilității unui răspuns fals pozitiv al filtrului de spam (mai ales în prima etapă de filtrare a spamului) și, prin urmare, este mai bine să primiți mesaje discutabile și să le puneți deoparte. Dacă unul dintre utilizatori suspectează că corespondența pe care o așteaptă a fost filtrată în mod eronat, puteți corecta întotdeauna situația.
2) primit de serverul de spam pe care îl puteți folosi pentru a afla în mod automat filtrul Bayesian (acest lucru este discutat puțin mai târziu)
Astfel, selectând din meniul principal al programului Security-> Filter Spam. vom vedea următoarea fereastră (Figura 1):
Strategic, este important să se decidă cu privire la setările care determină ce va face MDaemon cu scrisoarea, care a fost identificat ca spam ( „IftheSpamFilterdeterminesthatamessageisspamthen ...“). După cum sa menționat mai sus, cred că „mai bine în condiții de siguranță decât nedobdet“, astfel încât nu litere nu trebuie să fie eliminate. La urma urmei, în scopul de a crește eficiența de filtrare, ne străduim pentru a seta pragul suficient de scăzut pentru a tăia cel mai mare procent de spam, prevenind astfel posibilitatea unui număr mic de rezultate fals pozitive. Prin urmare, IMHO, cea mai buna alegere nu va șterge e-mailurile pe care filtrul clasificate ca SPAM și marcajele de orice element distinctiv (de exemplu, adăugând SPAM cuvânt în linia de subiect). Prin urmare, în această secțiune de configurare, Vă recomandăm să alegeți „... semnalați mesajul, dar lăsați-l să continue pe calea de livrare“.
"Nu filtrați mesaje din surse de încredere sau autentificate" împiedică filtrarea mesajelor din surse locale autentificate sau de încredere.
„DNS-BLmatchaddsthismanypointstothespamscore“ - aici trebuie să specificați numărul de puncte care vor fi adăugate la evaluarea finală, în cazul în care mesajul este listat într-una din liste (DNS-negru) listele negre DNS-BL. Numai lista DNS-BLHosts. prin care cecul este dat în altă parte (-> DNSBlackLists ... -> DNS-BLHosts de securitate) se va face. În acest domeniu, am stabilit numărul de puncte este suficient de mare, dar care nu depășește valoarea de prag, deoarece Nu vreau să decidă cu privire la o scrisoare de filtrare luată numai pe baza acestui test. Pe de altă parte, că serverul este un expeditor la unul dintre liste negre, destul de simptomatic și, prin urmare, am expus aici egal cu 4 puncte (adică 2/3 din valoarea de prag utilizată de mine).
Următoarea filă este "Heuristica"
„Amessageisspamifitsscoreisgreaterorequal“ - foarte pragul pentru a decide: dacă mesajul este spam-testat sau nu? În cazul în care numărul total de puncte marcate de litera depășește un anumit prag, atunci această scrisoare va fi considerat spam. După cum se poate observa din informațiile prezentate în acest domeniu (a se vedea. Screenshot), pragul de 5 este un foarte agresiv (folosind valori implicite, acumulate în timpul trecerii testelor de spam) și, prin urmare, procentul de rezultate fals pozitive este prea mare. După unele experimente am stabilit pe numărul 6. În cazul meu, a furnizat cea mai mare parte secționării spam-ului cu un număr mic de rezultate fals pozitive.
"SMTPrejectsmessagewithscoregreaterorequalto" reprezintă pragul pentru a decide că un mesaj (recunoscut ca spam) va fi respins în timpul primirii acestui mesaj în cadrul sesiunii SMTP. Dacă acest câmp este setat la zero, MDaemon nu va încerca să ruleze teste anti-spam ale mesajului în momentul primirii și litera va fi testată numai după ce a fost plasată în coada de mesaje a serverului de poștă electronică. În acest câmp, puteți seta o valoare de prag suficient de mare, care vă va permite să tăiați spam-ul explicit în faza de primire a mesajului. Dar prefer să nu fac asta și să accept aceste mesaje, pentru că În viitor, ele pot fi folosite pentru formarea filtru Bayesian, care va fi discutat mai târziu.
"Subjecttag" - în acest câmp puteți specifica textul, care va marca mesajul recunoscut ca spam. Prefer să las setările implicite în acest câmp. Datorită acestor setări, scrisoarea este etichetată cu o etichetă care ne va permite să filtrați cu ușurință e-mailurile marcate în viitor. În plus, în linia de subiect a scrisorii vom vedea câte puncte a primit scrisoarea ca urmare a trecerii testelor și care este valoarea pragului pentru a lua decizia de a recunoaște scrisoarea drept spam. E-mailurile cu stea vor arăta astfel:
Următoarea filă este "Bayesian" (Figura 4)
Această filă este dedicată în întregime metodei mele favorite de filtrare a spam-urilor, așa-numita filtrare Bayesiană. Pentru această metodă de filtrare, ar trebui să fim recunoscători preotului și matematicianului care a trăit în secolul al XVIII-lea, Tomas Bayes. care a formulat teorema. numit după numele său. Avantajul acestei metode este că puteți "pregăti" acest filtru și îl puteți învăța să recunoască spam-ul pe care serverul de e-mail îl primește. Eficacitatea acestei metode de filtrare este foarte mare. Cu toate acestea, trebuie să plătiți pentru tot. Și pentru a menține filtrul în ton, trebuie să-l "hrăniți" constant, cum ar fi spam-ul și poșta legitimă (sunca). Poate și ar trebui să se facă în mod regulat și este foarte bine că Mdaemon ne permite să automatizăm acest proces. Mai întâi de toate, va trebui să creăm câteva dosare partajate, dintre care unul vom pune spam și celălalt șuncă. Vom folosi aceste dosare, atât pentru formarea inițială a filtrului, cât și pentru instruirea manuală ulterioară (când vom detecta cazuri de operare falsă a filtrului). Crearea folderelor publice este ușor: faceți clic pe butonul Creare (vedeți Figura 4). Apoi, dacă nu intenționați să instruiți filtrul în mod individual, dar doriți să furnizați această capacitate unor utilizatori și / sau altor administratori, atunci trebuie să setați permisiunile corespunzătoare pentru folderele publice create recent. Formarea "colectivă" a filtrului îi va permite să efectueze mai eficient filtrarea, deoarece Etichetele spam care vin la diferite departamente sau chiar la utilizatori diferiți pot varia destul de mult. Permisiunile pentru foldere publice sunt setate după cum urmează: Setup-> Sharedfolders -> PublicFolders -> ... -> Editaccesscontrollist (a se vedea figura 5).
Și astfel, folderele partajate sunt create, permisiunile de pe ele sunt emise, rămâne să umpleți aceste foldere cu eșantioane de spam și mesaje legitime de poștă electronică. Cât timp trebuie să învățăm filtrul? Când își va începe munca? Putem afla despre acest lucru dacă faceți clic pe butonul Avansat din fila Bayesian. În acest caz, vom vedea următoarea fereastră:
Captura de ecran (fig. 6), vedem că valorile câmpurilor „probe non-spam necesare înainte de a începe de învățare“, „takzhekaki probe non-spam necesare înainte de a începe de învățare“, în mod implicit este de 200. Acest lucru înseamnă că, atâta timp cât nu pune în dosarele comune cu spam'om ham'om și 200 de mostre de mesaje relevante, filtrul nu va începe filtrarea mesajelor.
Este clar că munca manuală în procesul de învățare filtru Bayesian trebuie să utilizăm în prima etapă, atunci când filtrul nu a început încă, iar în cazurile în care aceasta ar fi greșit (rang ca mesaje legitime ca spam, și vice-versa), dar și în alte cazuri, am dori să automatizeze procesul de învățare. Acest lucru ne poate ajuta un server de mail MDaemon trucurile câteva:
În fila „Raportare“ (fig. 7), puteți specifica MDaemon'u modul în care el trebuie să livreze utilizatorului un raport asupra mesajelor de audit pentru spam. Eu prefer să folosesc primul dintre opțiuni - pentru a adăuga raportul în antetul mesajului. Din celelalte două opțiuni este diferită în faptul că niciodată nu va fi (în mod intenționat sau cu intenția de malware) pentru a elimina raportul din scrisoarea, precum și faptul că scrisoarea, autentificată, nu de prisos voință attachment'a (care conține raportul de verificare ), care poate provoca o mulțime de întrebări din partea utilizatorilor.
În antetul literei, care este enumerată mai sus, puteți găsi următorul raport privind rezultatele scrisorii de trecere a testelor anti-spam:
Fiecare linie a acestui raport vom vedea numele testului (de exemplu, URIBL_SBL), o scurtă descriere a acestui test (conține o adresă URL enumerate în blocărilor SBL [URIuri: eitherstick.ru]) și numărul de puncte, care a fost creditat cu scris cu privire la rezultatele acestui test (4.0 )
În acest fișier veți găsi unele dintre parametrii, pe care le-am scris mai sus, a căror valoare ne-am expus folosind MDaemon'a GUI-interfață și, așa cum a promis, acestea sunt reflectate în liniile de fișiere de configurare relevante. Dar ceea ce este deosebit de valoros pentru noi, putem face modificări la setările de protecție anti-spam prin editarea acestui fișier de configurare, fără a contacta GUI-interfață și poate ajusta astfel de parametri care nu sunt disponibile în GUI-interfață.
Pe această notă majoră, probabil că o să-mi termin narațiunea. Toate felicitările și "toate astea".
Un comentariu
Trimiteți-le prietenilor: