[mailfilter] amélioration des règles ?

Bonjour.

bonjour.

Voici la partie de "filtrage tuant" de mon .mailfilterrc.

Des idées pour améliorer le filtrage ? ;)

Dans quel sens ? Temps, efficacité ?


Je n'ai pas vu dans mailfilter la possibilité de définir une taille
passe-bas, qui économiserait beaucoup la bande passante. Il y a un tel
patch (non testé) disponible pour popsneaker, un peu plus subtil que
mailfilter par ailleurs : taille maxi pouvant évoluer entre les filtres,
remise à zéro du score, etc.

http://www.ixtools.de/popsneaker/
http://lists.debian.org/debian-devel/2003/09/msg01368.html


En RTC, j'ai un script à la joe_bouzille_son_mail_avec.perl qui ne
charge les en-têtes qu'au dessus de 8K, ça va beaucoup plus vite, et les
virus sont assez facilement filtrables.

Pour le spam, je trouve que ça n'en vaut plus trop la peine après un
premier filtrage par mfilter.free.fr : spam moyen souvent vers 3-4 Ko,
message de ML vers 4-5 Ko ...

# pas de véroles, merci :

MAXSIZE_DENY000

Il me semble qu'il y a des virus vers 10-12 Ko ...

# Adresse de spammers :)

DENY=^From:.*@microsoft.com

# Spammer est un peu inapproprié --- ceci dit, tant qu'à faire :

REG_TYPE = extended
DENY=^(From|To|Cc|Subject):.*@microsoft.com>

DENY=^From:.*@hanmail.net
DENY=^From:.*http://
DENY=^From:.*co.kr
DENY=^From:.*co.jp

# Il n'y a pas que des spammeurs en co.jp, par exemple la liste linux
# chez toshiba-dme.co.jp ... on pourrait aussi retrouver co.jp à gauche
# du @

DENY=^From:[^@]+@[^@]+.co.(kr|jp)>

# mot clés fréquemment rencontrés dans les spams

DENY=^Subject:.*sex

# Le Sussex, innocente victime d'un antispam aveugle ...
DENY=^Subject:.*<sex>

[...]

DENY=^Subject:.*christian
DENY=^Subject:.*pain

# Le pain, c'est français aussi :)

DENY=^Subject:.*porn
DENY=^Subject:.*bank
DENY=^Subject:.*cock
DENY=^Subject:.*prescription
DENY=^Subject:.*pills

# Mailfilter normalise les mots comme v.i,a.g,r.a, mais il y a aussi les
# maquillages de voyelles, comme i --> [i1l!|:], ou leur répétition ...

DENY=^Subject:.*(\/|<v)[i1l!:][a@]+ga?r[a@]+>
DENY=^Subject:.*m[o0]rtgage


# On peut aussi filtrer une poignée de dollars
DENY=^Subject:.*$[0-9].?[0-9]

# texte uniquement pour les courriels

DENY=^Content-Type:.*text/html

# quelques très rares faux-positifs

# et pour les spammeurs "malins" :)

DENY=^Content-Type:.*multipart/alternative

# Il y a là aussi des utilisateurs lambdas.


Pour ma part, grâce au nouveau système de score de mfilter.free.fr, j'ai
pu désactiver la plupart des filtres portant sur le sujet. Sinon, les
particularités des Received ou Content-Type (la valeur de boundary) sont
aussi souvent utiles, il faut tester sur ses propres archives.

François Senault avait aussi publié ici une liste noire intéressante, en
particulier pour le champ X-Mailer:

Merci.

de rien,
--
Jacques L'helgoualc'h

On Sat, 04 Dec 2004 08:41:42 +0100
Frederic Bezies <mozjf@nospam-alussinan.org> wrote:

DENY=^Subject:.*pain

J'espère que personne ne t'enverra un mail:

<<<<
Subject: Pense à acheter du pain en rentrant

DENY=^Subject:.*sex

C'est pour ça que tu n'a pas été informé que ta cousine avait eu des
sextuplés?


Plus sérieusement, tes regexps sont trop simplistes pour être
utilisables. Il faudrait au moins imposer que les mots que tu donnes
correspondent à des mots complets.
D'autre part, si je greppe sur viagra ou cialis dans mon spam, je ne
trouve presque rien, parce que tous les spammeurs l'écrivent
différemment (en remplaçant les I par des 1, etc).

DENY=^Content-Type:.*multipart/alternative

Tu refuses donc pas mal de pièces jointes, y compris quand celles-ci
sont en texte?

--
Jérémy JUST <jeremy_just@netcourrier.com>

Bonjour.

bonjour.

Voici la partie de "filtrage tuant" de mon .mailfilterrc.

Des idées pour améliorer le filtrage ? ;)

Dans quel sens ? Temps, efficacité ?

Les deux, mon colonel :)

Je n'ai pas vu dans mailfilter la possibilité de définir une taille
passe-bas, qui économiserait beaucoup la bande passante. Il y a un tel
patch (non testé) disponible pour popsneaker, un peu plus subtil que
mailfilter par ailleurs : taille maxi pouvant évoluer entre les filtres,
remise à zéro du score, etc.

http://www.ixtools.de/popsneaker/
http://lists.debian.org/debian-devel/2003/09/msg01368.html

Je vais voir la bête en question.

En RTC, j'ai un script à la joe_bouzille_son_mail_avec.perl qui ne
charge les en-têtes qu'au dessus de 8K, ça va beaucoup plus vite, et les
virus sont assez facilement filtrables.

Ah ? ;)

Pour le spam, je trouve que ça n'en vaut plus trop la peine après un
premier filtrage par mfilter.free.fr : spam moyen souvent vers 3-4 Ko,
message de ML vers 4-5 Ko ...

Quoique j'ai vu des spams de 10 ko, bien que ce soit assez rare :)

# pas de véroles, merci :

MAXSIZE_DENY000

Il me semble qu'il y a des virus vers 10-12 Ko ...

Pas franchement les plus nombreux :)

# Adresse de spammers :)

DENY=^From:.*@microsoft.com

# Spammer est un peu inapproprié --- ceci dit, tant qu'à faire :

REG_TYPE = extended
DENY=^(From|To|Cc|Subject):.*@microsoft.com>

Modifié :)

DENY=^From:.*@hanmail.net
DENY=^From:.*http://
DENY=^From:.*co.kr
DENY=^From:.*co.jp

# Il n'y a pas que des spammeurs en co.jp, par exemple la liste linux
# chez toshiba-dme.co.jp ... on pourrait aussi retrouver co.jp à gauche
# du @

Ok ;)

Mais c'est surtout le co.kr qui semble être appellé :)

DENY=^From:[^@]+@[^@]+.co.(kr|jp)>

# mot clés fréquemment rencontrés dans les spams

DENY=^Subject:.*sex

# Le Sussex, innocente victime d'un antispam aveugle ...
DENY=^Subject:.*<sex>

Je ne suis pas un professionnel des regex ;)

[...]

DENY=^Subject:.*christian
DENY=^Subject:.*pain

# Le pain, c'est français aussi :)

C'est surtout pour les médicaments ou "pain" signifie douleur.

[...]

# Mailfilter normalise les mots comme v.i,a.g,r.a, mais il y a aussi les
# maquillages de voyelles, comme i --> [i1l!|:], ou leur répétition ...

DENY=^Subject:.*(\/|<v)[i1l!:][a@]+ga?r[a@]+>
DENY=^Subject:.*m[o0]rtgage

Merci :)

# On peut aussi filtrer une poignée de dollars
DENY=^Subject:.*$[0-9].?[0-9]

Mouais, mais cela ne représente qu'un ou deux pourcent de mes spams
quotidiens :)

# texte uniquement pour les courriels

DENY=^Content-Type:.*text/html

# quelques très rares faux-positifs

Quasiment jamais ;)

# et pour les spammeurs "malins" :)

DENY=^Content-Type:.*multipart/alternative

# Il y a là aussi des utilisateurs lambdas.

Assez rare cependant :)

Pour ma part, grâce au nouveau système de score de mfilter.free.fr, j'ai

Je n'ai qu'un compte sur free, et il est plus que spammé :[

pu désactiver la plupart des filtres portant sur le sujet. Sinon, les
particularités des Received ou Content-Type (la valeur de boundary) sont
aussi souvent utiles, il faut tester sur ses propres archives.

Le content/type est un bon en-tête de filtrage :)

François Senault avait aussi publié ici une liste noire intéressante, en
particulier pour le champ X-Mailer:

groups.google.fr sera mon ami.

Merci.

de rien,

Cela va nettoyer sec :)

--
Frédéric Béziès - mozjf@alussinan.org

Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://fredbezies.jexiste.fr/dotclear/
Fourre-tout : http://perso.wanadoo.fr/frederic.bezies/pratique/

On Sat, 04 Dec 2004 08:41:42 +0100
Frederic Bezies <mozjf@nospam-alussinan.org> wrote:

DENY=^Subject:.*pain

J'espère que personne ne t'enverra un mail:

<<<<
Subject: Pense à acheter du pain en rentrant

Je suis célibataire, donc ;)

DENY=^Subject:.*sex

C'est pour ça que tu n'a pas été informé que ta cousine avait eu des
sextuplés?

Je n'ai pas de cousine en age de procréer en ce moment ;)

Plus sérieusement, tes regexps sont trop simplistes pour être
utilisables. Il faudrait au moins imposer que les mots que tu donnes
correspondent à des mots complets.

Je suis nul à pleurer pour les regex.

D'autre part, si je greppe sur viagra ou cialis dans mon spam, je ne
trouve presque rien, parce que tous les spammeurs l'écrivent
différemment (en remplaçant les I par des 1, etc).

Une solution m'a été donné précédemment.

DENY=^Content-Type:.*multipart/alternative

Tu refuses donc pas mal de pièces jointes, y compris quand celles-ci
sont en texte?

Ouille :(

Mais je vais essayer de modifier cela :)

--
Frédéric Béziès - mozjf@alussinan.org

Site Perso : http://perso.wanadoo.fr/frederic.bezies/
Weblog : http://fredbezies.jexiste.fr/dotclear/
Fourre-tout : http://perso.wanadoo.fr/frederic.bezies/pratique/

[...]

Des idées pour améliorer le filtrage ? ;)

Dans quel sens ? Temps, efficacité ?

Les deux, mon colonel :)

C'est tout de même un peu antinomique, et dépend aussi du contexte, RTC
ou liaison permanente.

[...]

En RTC, j'ai un script à la joe_bouzille_son_mail_avec.perl qui ne
charge les en-têtes qu'au dessus de 8K, ça va beaucoup plus vite, et les
virus sont assez facilement filtrables.

Ah ? ;)

Bah oui, j'ai commencé en hac^Wbidouillant le swendeleter de Xavier
Noria, et ajouté un filtre de blagues de bureau, etc.

C'est aussi facile de faire un TOP 50 des renvois de mailer-daemon avant
de les détruire --- depuis j'ai laissé tomber, c'est bidon à plus de 99%
alors que j'avais moins d'un vrai rejet par mois.

Pour le spam, je trouve que ça n'en vaut plus trop la peine après un
premier filtrage par mfilter.free.fr : spam moyen souvent vers 3-4 Ko,
message de ML vers 4-5 Ko ...

Quoique j'ai vu des spams de 10 ko, bien que ce soit assez rare :)

Mon record, c'est une galerie d'art du VIeme à plus de 300 Ko :[

MAXSIZE_DENY000

Il me semble qu'il y a des virus vers 10-12 Ko ...

Pas franchement les plus nombreux :)

Non, ces temps-ci la mode semble pencher pour le calibre 77 Ko (comme en
quatorze).

[spam asiatique]

Mais c'est surtout le co.kr qui semble être appellé :)

DENY=^From:[^@]+@[^@]+.co.(kr|jp)>

En fait, on les attrape avec le jeu de caractères

DENY=^(From|Subject|Content-Type):.*=["?]?(euc-kr|big5|ks_c_|gb2312)

mais certains peuvent aussi être utilisés en ascii dans des messages en anglais.

# mot clés fréquemment rencontrés dans les spams

DENY=^Subject:.*sex

# Le Sussex, innocente victime d'un antispam aveugle ...
DENY=^Subject:.*<sex>

Je ne suis pas un professionnel des regex ;)

Moi non plus, mais trois lettres courantes, c'est un peu maigre --- si
tu n'as pas de cousine enceinte de sextuplés, il y a peut-être des
sexagénaires dans tes relations.

[...]

DENY=^Content-Type:.*text/html

# quelques très rares faux-positifs

Quasiment jamais ;)

Parfois des webmails, ou ma $¤*@!$ banque

# et pour les spammeurs "malins" :)

DENY=^Content-Type:.*multipart/alternative

# Il y a là aussi des utilisateurs lambdas.

Assez rare cependant :)

Ça dépend --- même sur des ML Linux, j'en trouvais près de 20%.

Pour ma part, grâce au nouveau système de score de mfilter.free.fr, j'ai

Je n'ai qu'un compte sur free, et il est plus que spammé :[

Essaie le scoring de mfilter ? Je détruis au-dessus de 250, puis range
dans un dossier à partir de 150. Il faut toutefois accepter les ML en
anglais d'abord.

[...]

Cela va nettoyer sec :)

¡No pasaran!
--
Jacques L'helgoualc'h

Dans le message:41b16a47$0$11748$8fcfb975@news.wanadoo.fr,
Frederic Bezies <mozjf@nospam-alussinan.org> a tapoté:

Bonjour.

Voici la partie de "filtrage tuant" de mon .mailfilterrc.

Des idées pour améliorer le filtrage ? ;)
.....

je n'en rajouterai pas sur tes filtres un peu trop serré qui envoie bouler
christian qui te demande d'amener du pain pour féter la naissance de ses
sextuplés... ;-))))

Mais un truc tout bête qui marche bien: rejettes tout message qui ne
contient pas ton adresse dans les champs To et Cc, tu va déblayer pas mal.

Tu peux aussi rejeter si le champs To contient plus de x fois @free.fr...
caractéristique fréquente des spams que d'être envoyé ainsi.

Et pour les Regex:
http://www.sri.ucl.ac.be/SRI/jpk/manuelMacSOUP/regex.html

--
Eric
Reply-to valide, laissez tel quel !
Texte brut vivement conseillé !!

Frederic Bezies a écrit le samedi 04 Décembre 2004 08:41 :

Bonjour.

Voici la partie de "filtrage tuant" de mon .mailfilterrc.

Des idées pour améliorer le filtrage ? ;)

#Absence de Mid
DENY<>^Message-ID:
#
DENY=^Date-warning:.*
#To vide
DENY=^To:$
#Subject est en majuscule
DENY_CASE=^SUBJECT:.*
#
DENY=^if-filter0: Y
# Il y a plus 4 ou plus destinataire chez free
DENY=^To:(.*@free.fr){4,}
#
DENY=.*boundary=.*NextPart.*NextPart.*
#
DENY=^From: "".*
#Il y a plus de 3 thomas comme destinataire (pour toi, tu doit mettre
#frederic :-) )
DENY=^To:(.*<thomas>.*@.*){3,}

@+
--
Jean TAMLOTRE (signature aléatoire)
Si l'argent n'achète pas l'amour, ça facilite
nettement les négociations

Frederic Bezies a écrit le samedi 04 Décembre 2004 08:41 :
[...]

Des idées pour améliorer le filtrage ? ;)

#Absence de Mid
DENY<>^Message-ID:

Il faut mettre (mailer-daemon|postmaster) en ALLOW si on tient encore à
recevoir les renvois sur erreur...

#
DENY=^Date-warning:.*

Tous les éléments facultatifs de fin de regexp sont inutiles ici.

#To vide
DENY=^To:$

# vide ou blanc
DENY=^To: *$

# Il y a plus 4 ou plus destinataire chez free
DENY=^To:(.*@free.fr){4,}

# Quatre (ou plus) destinataires free consécutifs
DENY=^(To|Cc):.*([^@]*@free.fr>){4}

#Il y a plus de 3 thomas comme destinataire (pour toi, tu doit mettre
#frederic :-) )
DENY=^To:(.*<thomas>.*@.*){3,}

# /au moins/ trois :)
DENY=^To:(.*<thomas>[^@]*@){3}

--
Jacques L'helgoualc'h

Jacques L'helgoualc'h a écrit le lundi 06 Décembre 2004 12:06 :

Frederic Bezies a écrit le samedi 04 Décembre 2004 08:41 :
[...]

Des idées pour améliorer le filtrage ? ;)

#Absence de Mid
DENY<>^Message-ID:
Il faut mettre (mailer-daemon|postmaster) en ALLOW si on tient encore à

recevoir les renvois sur erreur...

Je n'y tiens pas :-)

# Quatre (ou plus) destinataires free consécutifs
DENY=^(To|Cc):.*([^@]*@free.fr>){4}
# /au moins/ trois :)
DENY=^To:(.*<thomas>[^@]*@){3}

Je ne comprends pas le [^@]

@+
--
Guy OTINE (signature aléatoire)
"Si tu dis couic-couic quand tu marches, les gens pensent que t'as des
chaussures neuves."
Jean-Claude V.

Jacques L'helgoualc'h a écrit le lundi 06 Décembre 2004 12:06 :

[...]

#Absence de Mid
DENY<>^Message-ID:
Il faut mettre (mailer-daemon|postmaster) en ALLOW si on tient encore à

recevoir les renvois sur erreur...

Je n'y tiens pas :-)

moi non plus, il y en a trop ...

# Quatre (ou plus) destinataires free consécutifs
DENY=^(To|Cc):.*([^@]*@free.fr>){4}
# /au moins/ trois :)
DENY=^To:(.*<thomas>[^@]*@){3}

Je ne comprends pas le [^@]

C'est un non-@, la regexp de départ avait un peu trop de .* ; il vaut
mieux éviter de multiplier les possibilités à essayer.

D'ailleurs on devrait plutôt mettre [^@ ]* (ni @, ni espace répété) pour
assurer que le mot <thomas> fasse partie du login, à gauche du @. On
pourrait sinon trouver un thomas dans la partie domaine, du genre
xxx@thomas.va --- ou encore en commentaire.

Au vu de ce que je reçois, on pourrait peut-être filtrer au moins trois
adresses consécutives commençant par t chez le même FAI :

DENY=^(To|Cc):.*([ <]t[^@ ]*@free.fr>[^@<]*){3}

--
Jacques L'helgoualc'h