Journal Spamassassin et vous.

Posté par  .
Étiquettes : aucune
0
28
sept.
2005
Comment utilisez-vous spamassassin ?

Ayant un serveur Postfix+Cyrus-imap, je me suis penché sur amavisd-new et MailScanner.

Le premier apporte comme fonctionnalités intéressantes, la possibilté de choisir les utilisateurs qui bénéficient du filtrage antispam et anti virus et la possibilité de s'interfacer avec un annuaire LDAP.
Par contre j'aime moins avec amavasid-new le traitement des virus: lorsqu'un émail vérolé est détecté il n'est pas possible de supprimer la pièce jointe et d'envoyer le message vers une boite secondaire de l'utilisateur (par boite secondaire j'entends un sous dossier IMAP).
Enfin le chemin emprunté par un mail semble un peu tortueux: postfix -> amavisd -> postfix -> cyrus-imap , le deuxième passage par Postfix me semble inutile.

L'utilisation de MailScanner avec Postfix est très controversée [1]. Les développeurs de Postfix soutenant que des émails peuvent être perdus ou dupliqués.

Enfin aucun des deux systèmes ne permet à chaque utilisateur d'avoir sa propre base de filtres bayésiens. La base est globale à tous les utilisateurs, ce qui me semble peu pratique surtout pour la détection des faux positifs.

Le dernier système que j'ai envisagé et l'utilisation d'un procmail, avec une règle globale dans le fichier /etc/procmailrc.
Dans ce cas tous mes utilisateurs (qui sont virtuels) devront avoir le filtrage antispam et je n'aime pas forcer les gens, surtout que spamassassin demande une participation des utilisateurs pour la phase d'auto apprentissage. De plus le trajet d'un mail postfix -> procmail -> cyrus ne me semble pas optimal.


Tout cela pour vous demander quelle architecture de mails alliant antispam et antivirus utilisez-vous ?
Avez-vous une base de filtres bayésiens par utilisateur, ou plutôt une base identique pour tout le monde ?

[1] http://wiki.mailscanner.info/doku.php?id=documentation:configuratio(...)
  • # dspam + dspampd

    Posté par  (site Web personnel) . Évalué à 1.

    dspam permet une base par utilisateur pour les spams (il me semble), de plus couplé avec dspampd (proxy smtp), tu redirige dans clamav (ou autre), dpsam, cequetuveux.

    fonctionne très bien avec postfix.
    http://dspam.nuclearelephant.com/(...)
    http://caspian.dotconf.net/menu/Software/DspamPD/(...)
    • [^] # Re: dspam + dspampd

      Posté par  . Évalué à 1.

      Oui, dspam peut gérer une base par utilisateur, ou alors (plus fin), une base en lecture seule comme base et une base personnelle. On peut faire des groupes aussi... Bref, c'est très souple de ce point de vue.
      La prochaine version de dspam (3.6) permettra en plus de vérifier l'authentification de l'utilisateur sur LDAP.

      En ce qui concerne l'intégration avec postfix, c'est devenu encore plus simple avec la version 3.5, qui embarque un mini serveur lmtp... Tu peux directement utiliser le lmtp transport de postfix si tu veux éviter la boucle postfix->dspam->postfix, ou juste faire un traitement par dspam en configurant un connecteur lmtp dans le master.cf.

      Dernier point, la prochaine version permet en option de rediriger aussi sur clamav (et certainement à termes d'autres AV), ce qui permet de se passer d'amavis.

      En bonus, le changelog:
      http://dspam.nuclearelephant.com/text/RELEASE-3.6.rc2.txt(...)
      • [^] # Re: dspam + dspampd

        Posté par  (site Web personnel) . Évalué à 1.

        Je me demande si c'est une solution possible pour un provider qui aurait beaucoup de domaines, et souhaiterait offrir une solution antispam configurable, par utilisateur.

        Sachant que maintenant SA permet d'utiliser dspam, il suffit d'utiliser amavis+SA pour avoir dspam (sans la partie interface web je l'entends).

        Le soucis c'est que amavis* et vraiment une bouze en terme de performance, de code, d'architecture. mailscanner est beaucoup mieux, mais c'est toujours du perl. Enfin j'ai rien trouvé d'autres.
        • [^] # Re: dspam + dspampd

          Posté par  . Évalué à 1.


          Le soucis c'est que amavis* et vraiment une bouze en terme de performance, de code, d'architecture. mailscanner est beaucoup mieux, mais c'est toujours du perl. Enfin j'ai rien trouvé d'autres.


          Il ya Sagator (http://www.salstar.sk/sagator/)(...) écrit en python, remarquablement bien écrit, avec un système de configuration permettant de très nombreuses possibilités.
        • [^] # Re: dspam + dspampd

          Posté par  . Évalué à 1.

          C'est à mon avis le but recherché par l'équipe de DSPAM. Les back-ends de données pour le stockage des tokens sont nombreux, mais l'accent est particulièrement mis sur les back-ends SGBD. A l'époque, l'auteur recommandait le back-end MySQL, qui était selon lui de loin le plus performant (il semblerait que sur la 3.6, PostgreSQL arrive à un niveau proche).
          L'avantage de ces back-ends est de pouvoir avoir en frontal X serveurs DSPAM qui se partagent la même base de données de tokens. J'ai vu passer des références à des installations de ce type chez certains providers (cf la page de garde qui parle d'une installation de 350.000 boites). C'est à mon avis à prendre un peu avec des pincettes... Je me demande surtout comment sont gérés les accès concurrents en écriture sur un même token...

          La grosse différence entre SA et Dspam va se situer au niveau performances. Même si les traitements effectués se prêtent bien à l'utilisation de Perl (parsing de messages texte), je pense qu'en termes de performances pures de traitement, Dspam est devant (100% C).
          Au point de vue efficacité de filtrage, les dernieres stats que j'ai vu sur mon serveur étaient aux alentours de 99.3% de mails correctement triés (et surtout 99.8% d'innocents correctement classés). Il s'agit d'une installation purement Dspam, même si ce résultat est un peu biaisé, car je récupère une partie des mails à l'extérieur, qui ont déjà subis un traitement avec divers SA.
          Je ne vois plus vraiment Dspam comme un complément à SA, mais plutôt comme un remplacement.

          Quant à amavis, je crois qu'on partage le même point de vue...
  • # Un article interessant

    Posté par  . Évalué à 1.

    Bonjour,

    En préalable à l'utilisation de solutions "lourde" de filtrage des spams et virus je conseille vivement la lecture de l'article "Filtering spam with Postfix - Effective ways to reduce unwelcome mail" par Kirk Strauser (c'est en anglais) disponible ici : http://www.freesoftwaremagazine.com/free_issues/issue_02/focus_spam(...)

    La mise en place de ces règles de bases me permet de filtrer une très (très) grande partie des spams (sans SPAMAssassin) . Pour les virus j'utilise aussi postfix+amavis+clamav mais encore une fois avec les règles décritent dans l'article ci-dessus très peu de messages arrivent jusque là et avec cette méthode j'économise pas mal de ressource sur le serveur.

    Les spams qui passent au travers des mailles du filet sont filtrés en bout de chaine par le client de messagerie.
    • [^] # Re: Un article interessant

      Posté par  (site Web personnel) . Évalué à 2.

      Merci du lien !
      Ca m'a aidé a reconfigurer un serveur de mail qui était devenu un monstreux openrelay.
      J'ai enfin pu enlever la ligne inet_interfaces = 127.0.0.1, [::1] du fichier /etc/postfix/main.cf :)
  • # évolution

    Posté par  . Évalué à 2.

    Heu, je suis peut-être un peu hors-sujet, mais moi sous ubuntu, j'utilise spam-assassin avec évolution (heu, disons plutôt que évolution utilise spam-assassin pour détecter les spams).
    Mais par rapport à l'anti-spam de thunderbird, je le trouve moins performant. Il y a sûrement un problème de configuration, car sur un serveur mail, il marche correctement !
    • [^] # Re: évolution

      Posté par  (site Web personnel) . Évalué à 2.

      L'idél avec spamassassin, c'est de le faire apprendre les mails qui sont des spams et ceux qui sont des courriels voulus (ham)
      sa-learn --spam
      sa-learn --ham <lecourrielsolicite>
      • [^] # Re: évolution

        Posté par  . Évalué à 2.

        évolution doit le faire automatiquement car quand je désigne un pourriel, alors il me met un message comme quoi il "apprend".
    • [^] # Re: évolution

      Posté par  (site Web personnel) . Évalué à 4.

      > mais moi sous ubuntu,

      Ca y est il l'a dit ! C'est pas vrai, mais c'est pas vrai, un complot j'vous dit !
  • # YAVR

    Posté par  (site Web personnel) . Évalué à 1.

    Si tu utilises déjà procmail, il peut être utile de pré-filtrer un certain nombre d'indésirables.
    YAVR (Yet Another antiVirus Recipe) propose un fichier à inclure dans ses règles procmail : http://freshmeat.net/projects/yavr/(...)
  • # Ma solution à la maison

    Posté par  . Évalué à 1.

    Chez moi c'est procmail/spamass. Pas de postfix mais un exim.

    J'ai pas un gros volume à traiter mais j'envisage une migration SA->dspam, plus pour le fun que pour autre chose... le temps de me documenter et de voir si la transition se fera sans dommages.

    my 0.2¤

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.