SpamAssassin能否解决mail from地址伪装问题

beautiful

一直使用SpamAssassin!近来发现部分垃圾邮件均采用了mail from地址伪装!使用SpamAssassin能否判断电子邮件的mail地址与mail from地址是否不一致.并进行打分.

Return-Path: <krajcik7@alpsteel.com>
X-Spam-Checker-Version: SpamAssassin 3.1.5 (2006-08-29) on gdca.com.cn
X-Spam-Status: No, score=-69.6 required=5.0 tests=BAYES_50,HTML_90_100,
        HTML_IMAGE_ONLY_04,HTML_MESSAGE,HTML_SHORT_LINK_IMG_1,MIME_HTML_ONLY,
        NO_REAL_NAME,RCVD_IN_SORBS_DUL,RCVD_IN_XBL,URIBL_AB_SURBL,
        URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_SBL,URIBL_SC_SURBL,URIBL_WS_SURBL,
        USER_IN_WHITELIST autolearn=no version=3.1.5
X-Spam-Level:
Delivered-To: mycompany.com.cn-ryu_lee@mycompany.com.cn
Received: (qmail 6398 invoked from network); 20 Dec 2008 18:07:45 -0000
Received: from unknown (HELO biq146.neoplus.adsl.tpnet.pl) (83.28.132.146)
  by 0 with SMTP; 20 Dec 2008 18:07:45 -0000
To: <ryu_lee@mycompany.com.cn>
Subject: When will we meet again?
From: <ryu_lee@mycompany.com.cn>
MIME-Version: 1.0
Importance: High
Content-Type: text/html

[ 本帖最后由 beautiful 于 2008-12-22 11:14 编辑 ]

anthonyfeng

Return-Path: 跟 From: 不一样就加分吧。

scyzxp

原帖由 beautiful 于 2008-12-22 11:11 发表
一直使用SpamAssassin!近来发现部分垃圾邮件均采用了mail from地址伪装!使用SpamAssassin能否判断电子邮件的mail地址与mail from地址是否不一致.并进行打分.

Return-Path:
X-Spam-Checker-Version: SpamAs ...

装spamassassin的spf插件.

beautiful

1.查找了以前install SpamAssassin时的脚本文件.里面包含有如下几行脚本.是否证明已经install了spf.

cd /home/user/SpamAssassin/
tar -xzvf Mail-SPF-Query-1.999.1.tar.gz
cd Mail-SPF-Query-1.999.1/
perl Makefile.PL
make
make install

2.开启spf

echo 3 ＞ /var/qmail/control/spfbehavior

3.除了上面两步.还须作什么.

scyzxp

原帖由 beautiful 于 2008-12-22 14:18 发表
1.查找了以前install SpamAssassin时的脚本文件.里面包含有如下几行脚本.是否证明已经install了spf.

cd /home/user/SpamAssassin/
tar -xzvf Mail-SPF-Query-1.999.1.tar.gz
cd Mail-SPF-Query-1.999.1/
...

Qmail不了解哟。spamassassin里边的几个init你可以看看撒

abel

以 SPF 目前的現況樓主機乎無解 (如果 SPF 夠普及還有解)
教人用 SPF 也得先了解 SPF 的情況,全台灣我測過只有 1%
這 1% 在實際上是沒有多少意義的

樓主用 SA 只需要了解怎在 SA 的 rule 中使用 eval
使用這個 function , check_for_matching_env_and_hdr_from
應該就可以比出來了,不過你得注意, mailing list 是普遍存在這種現象的!
Ex: mailman

此時你就要懂 eval , exist , meta 的複合使用,
Ex:
header XXX exist:List-id
header YYY eval: check_for_matching_env_and_hdr_from
meta ZZZ (!XXX && YYY)
score ZZZ ...
describe ZZZ ....
(上為舉例,自己研究看看)