ブログ - SpamAssasinでIPアドレスがブラックリストにあった時のスコアを上げる
SpamAssasinでIPアドレスがブラックリストにあった時のスコアを上げる
- ブロガー :
- ujpblog 2023/9/27 16:07
X-Spam-Statusを必ず記載する設定をしたけれど,例えば今日,大量に送信されているスパムメールでもSpamAssasinでスパム判定されないパターンがある.
メールヘッダを確認してみる.
この例のメールヘッダを確認してみると,X-Spam-Score=2.064とスコアは低いけど,RCVD_IN_BL_SPAMCOP_NETが1.347と設定されていて,SpamCopによるスパムメールを送信しているIPアドレスとして認定されている.
メールヘッダを確認してみる.
この例のメールヘッダを確認してみると,X-Spam-Score=2.064とスコアは低いけど,RCVD_IN_BL_SPAMCOP_NETが1.347と設定されていて,SpamCopによるスパムメールを送信しているIPアドレスとして認定されている.
いくつかウチにくるスパムメールを確認すると,このブラックリストサービスに登録されているものはスパム率100%に近いので,フォルスポジティブを恐れずに獲得できるスコアを高くするようにした.
まずは現在設定(デフォルト)を調べる.
local.cfに以下を設定.
Scoreの数値は,次の条件によって利用される模様.
1番目の数値:ベイズテスト:無効/ネットワークテスト:無効
2番目の数値:ベイズテスト:無効/ネットワークテスト:有効
3番目の数値:ベイズテスト:有効/ネットワークテスト:無効
4番目の数値:ベイズテスト:有効/ネットワークテスト:有効
追記2023/09/28
SpamAsassinのデフォルト設定で,required_score 5.0としており,スコアが5以上だとスパム判定しているのだけれど,ブラックリストIPアドレスからの配信を7にしていると一発アウト.
フォルスポジティブ(過検知)が2件発生.原因を調べると,エンバーポイント社のメルマガ配信システム Mail PublisherのメールサーバのIPアドレスが1つと,AWSのIPアドレス1つが,それぞれが別のブラックリスト登録されていた.
これを軽減させるためにはブラックリストIPアドレスの場合のスコアを7から3.5に変更.
これによって同時に2つのブラックリストに登録されていれば7になるので1発アウト.1つだけだと3.5+アルファで,他のスコアで5を越えなければセーフという感じ.
フォルスポジティブになったメールのスパムスコアは7.667と7.318だったので,過検知に当たらなくなるでしょう.
追記2023/09/29
ブラックリストのスコアだと足りないけどすり抜けてくるメールがあった. うちの場合,FUZZY _AMAZONというフラグがついたAmazonを騙るフィッシングメールで一部すり抜けるので,スコアを0.001を3に変更.
またこれでフォルスネガティブ(検知漏れ)を少なくできるか検証.
その他のブラックリスト情報を信じることにしてみた.
どれか1つのブラックリストに入っていれば3.5.2つだと7になるのでSPAM判定.集合知ってことで.
まずは現在設定(デフォルト)を調べる.
$ grep RCVD_IN_BL_SPAMCOP_NET 50_scores.cf🆑
score RCVD_IN_BL_SPAMCOP_NET 0 1.246 0 1.347 # n=0 n=2
$ grep RCVD_IN_VALIDITY_RPBL 50_scores.cf🆑
score RCVD_IN_VALIDITY_RPBL 0 1.284 0 1.310 # n=0 n=2
$ grep URIBL_ABUSE_SURBL 50_scores.cf🆑
score URIBL_ABUSE_SURBL 0 1.948 0 1.250 # n=0 n=2
$
score RCVD_IN_BL_SPAMCOP_NET 0 1.246 0 7
score RCVD_IN_VALIDITY_RPBL 0 1.284 0 7
score URIBL_ABUSE_SURBL 0 1.948 0 7Scoreの数値は,次の条件によって利用される模様.
1番目の数値:ベイズテスト:無効/ネットワークテスト:無効
2番目の数値:ベイズテスト:無効/ネットワークテスト:有効
3番目の数値:ベイズテスト:有効/ネットワークテスト:無効
4番目の数値:ベイズテスト:有効/ネットワークテスト:有効
追記2023/09/28
SpamAsassinのデフォルト設定で,required_score 5.0としており,スコアが5以上だとスパム判定しているのだけれど,ブラックリストIPアドレスからの配信を7にしていると一発アウト.
フォルスポジティブ(過検知)が2件発生.原因を調べると,エンバーポイント社のメルマガ配信システム Mail PublisherのメールサーバのIPアドレスが1つと,AWSのIPアドレス1つが,それぞれが別のブラックリスト登録されていた.
これを軽減させるためにはブラックリストIPアドレスの場合のスコアを7から3.5に変更.
これによって同時に2つのブラックリストに登録されていれば7になるので1発アウト.1つだけだと3.5+アルファで,他のスコアで5を越えなければセーフという感じ.
フォルスポジティブになったメールのスパムスコアは7.667と7.318だったので,過検知に当たらなくなるでしょう.
追記2023/09/29
ブラックリストのスコアだと足りないけどすり抜けてくるメールがあった. うちの場合,FUZZY _AMAZONというフラグがついたAmazonを騙るフィッシングメールで一部すり抜けるので,スコアを0.001を3に変更.
またこれでフォルスネガティブ(検知漏れ)を少なくできるか検証.
その他のブラックリスト情報を信じることにしてみた.
score FUZZY_AMAZON 3 0.001 0.001 3
score RCVD_IN_MSPIKE_BL 3.5 0.001 0.001 3.5
score RCVD_IN_DNSWL_BLOCKED 3.5 0.001 0.001 3.5
score URIBL_BLOCKED 3.5 0.001 0.001 3.5
