+ /articles/2016/04/20/hardcore-mail-relay-5/

9 years ago · f95b9a1c10
4 changed files with 102 additions and 2 deletions
--- a/articles/2016/04/10/hardcore-mail-relay-1/index.markdown
+++ b/articles/2016/04/10/hardcore-mail-relay-1/index.markdown
@ -20,7 +20,7 @@ tags: mail, spam, exim, zabbix, rspamd, репост
  * DKIM
  * антиспам
  * антивирус
- Обратная связь и переобучение системы
+- [Обратная связь и переобучение системы](/articles/2016/04/10/hardcore-mail-relay-1/)
  * переобучение антиспама
  * репутация доменов
 - Базовая настройка rspamd
--- a/articles/2016/04/15/hardcore-mail-relay-4/index.markdown
+++ b/articles/2016/04/15/hardcore-mail-relay-4/index.markdown
@ -232,6 +232,7 @@ spamassassin прикручивается почти так же, надо по

 ---

-[К оглавлению](/articles/2016/04/10/hardcore-mail-relay-1/)
+[К оглавлению](/articles/2016/04/10/hardcore-mail-relay-1/),
+[Далее: Обратная связь и переобучение системы](/articles/2016/04/10/hardcore-mail-relay-1/)

 [^fn1]: Себя не попиаришь - так и помрёшь в безвестности.
--- a/articles/2016/04/20/hardcore-mail-relay-5/index.markdown
+++ b/articles/2016/04/20/hardcore-mail-relay-5/index.markdown
@ -0,0 +1,99 @@
+---
+title: Почтовый шлюз: задание со звёздочкой (Обратная связь и переобучение системы)
+tags: mail, spam, exim
+---
+
+Антиспам - это конечно хорошо, но это всего лишь тупой робот с набором правил.
+Ошибки в настройке случаются и у наших корреспондентов.
+
+Типовая ситуация: юзеру лень писать тему в письме из 2х pdf'ок.
+Антиспам про лень юзера ничего не знает и видя отсутствие Subject'а - задирает ему итоговый балл.
+
+Ещё пример: секретарша Марина херачит рассылку на всех 200 клиентов компании одним письмом.
+Может ей домой побыстрее надо, или курить - не важно, получается письмо с 200 адресами.
+Антиспам опять отреагирует в меру своего разумения: задерёт балл такому письму.
+
+---
+
+Репутация доменов
+-----------------
+
+Так вот, чтобы такого не случалось - можно привлечь к переобучению системы самих пользователей,
+причём не требуя от них ничего сверх их обычной работы - писать письма и отвечать на них.
+
+Логика такая: если юзер регулярно пишет почту на какой-нибудь домен - давать этому домену определённый бонус на антиспаме.
+Если писать перестал - через какое-то время удалять.
+
+Вот небольшой [скриптик](update-known-domains.pl.gz), который на основе логов exim'а ведёт базу "хороших" доменов,
+по окончании работы выгружая результат в файлик, который может быть использован в качестве domainlist'а exim'а.
+
+Запускать в самом конце дня, но перед ротацией логов. Схему sqlite-базы смотри в самом файле, в конце.
+Все настройки - в начале скрипта.
+
+Останется в антиспаме добавить правило, которое будет искать заголовок `X-Known-Domain` и реагировать соответственно.
+
+Настройки exim'а смотри ниже.
+
+Хранилище спама
+---------------
+
+Для удобства обслуживания и контроля работы неплохо бы периодически мониторить систему в части "какие письма попадают в спам".
+Здесь показывается, как донастроить exim, что он откладывал копию подозрительных писем в отдельный ящик.
+
+В данном случае ящик в виде стандартного maildir находится на пересылающем сервере.
+К нему можно подцепиться mutt'ом или отдавать по pop3/imap через dovecot наружу.
+Это очень удобно -- в почтовом клиенте рядом с "рабочей" просто заводится вторая учётка.
+С утра проглядел "улов" за ночь, если надо - поправил настройки, Ctrl-A, Del.
+
+В секцию с роутерами. Порядок роутеров важен, так что их нужно вставить ДО роутера, который непосредственно доставляет почту.
+``no_verify`` - не проверять получателя, ``unseen`` - продолжать поиск роута дальше.
+
+    # отлавливаем подозрительное для последующего разбора
+    # с этим роутом совпадает всё, что а) идёт в нашу сторону, б) мы посчитали спамом в check_data
+    gw_possible_spam:
+      driver = manualroute
+      condition = ${if eq{$header_x-spam-status:}{Yes} {yes}{no}}
+      domains = +our_domains
+      route_list = * localhost
+      transport = spamarchive
+      no_verify
+      unseen
+
+    # отлавливаем заведимо "хорошие" письма (ham), с ограниченного набора хостов, для обучения байеса
+    gw_certainly_ham:
+      driver = manualroute
+      condition = ${if match_ip{$sender_host_address}{+relay_from_hosts}  {yes}{no}}
+      condition = ${if match_domain{$sender_address_domain}{+our_domains} {yes}{no}}
+      condition = ${if <{$message_body_size}{512K} {yes}{no}}
+      domains = !+our_domains
+      route_list = * localhost
+      transport = hamarchive
+      no_verify
+      unseen
+
+В секцию с транспортами:
+
+    hamarchive:
+      driver = appendfile
+      user  = spamarchive
+      group = spamarchive
+      create_directory = true
+      maildir_format = true
+      directory = /usr/home/spamarchive/ham/
+
+    spamarchive:
+      driver = pipe
+      user  = spamarchive
+      group = spamarchive
+      delivery_date_add
+      envelope_to_add
+      command = /usr/lib/dovecot/deliver -d spamarchive -f $sender_address
+      temp_errors = 64 : 69 : 70 : 71 : 72 : 73 : 74 : 75 : 78
+      log_output
+
+Последний тоже можно заменить на ``appendfile``, но я предпочитаю отдать его dovecot'у с sieve.
+Тот же dovecot потом используется для копания в архиве по imap'у, и управления правилами sieve.
+
+---
+
+[К оглавлению](/articles/2016/04/10/hardcore-mail-relay-1/)
--- a/articles/2016/04/20/hardcore-mail-relay-5/update-known-domains.pl.gz
+++ b/articles/2016/04/20/hardcore-mail-relay-5/update-known-domains.pl.gz