[exim-conf] acls/check_rcpt.m4 updated for spamtrap using

Victor Ustugov victor на corvax.kiev.ua
Вс Мар 11 13:39:17 EET 2007 

Victor Ustugov wrote:

> if $h_X-Quarantine-Rcpt: matches "Host sending message to spamtrap 
> blacklisted" then
>    if
>      not $h_X-Spam-Report: contains "BAYES_99"
>      and not $h_X-Spam-Status: contains "autolearn=spam"
>      and not $h_X-Spam-Report: contains "FUZZY_OCR"
>    then
>      logwrite "$tod_log $message_id saved for learning; original 
> recipients: $recipients"
>      unseen save /var/vmail/localhost/admin/.spam.sa-learn-spam/ 640
>    endif
> endif

есть мысль модифицировать приведенное выше условие для 
site/system_filter_top, добавив туда

and not $h_X-Spam-Report: contains "TVD_FW_GRAPHIC"

это поможет не доставлять в фолдер для обучалки письма с картинками, 
которые набрали больше 10 баллов и поэтому не получившие оценки FuzzyOCR 
плагина, либо нераспознанные gocr'ом из-за сильной зашумленности

> p. s. в качестве спамтрапа можно использовать и такую запись в access-rcpt:
> 
> \N^[\da-f]{8}\.\d{3,7}@\N : submit_rbl reject quarantine : User unknown 
> : Host sending message to spamtrap blacklisted
> 
> видимо, это ошибка в каком-то спамомете. ибо под данный регексп обычно 
> попают части Message-ID до символа "@". цифирек после точки обычно 
> бывает 7. видел вариант с 3-мя и 4-мя цифрами.

еще несколько регулярных выражений:

\N^(?=[\dA-F]{16,32}@)(?=([^\.]*\d){5,}@)\N
данный регексп позволяет выловить адреса, мейлбоксы которых содержат от 
16 до 32 16-ричных цифр, пять из которых не более 9.
примеры:
2D30E646DA30886E0C2 на falbi.kiev.ua
0058efe06fe1f8cacc4132d3d76f6be5 на abbyy.ua
00604ac9f5d50e3801feab92ce2ee400 на abbyy.ua
00C4315354F11951C13 на abbyy.ua
00d959a5545c556ac5a8d853f3af1431 на abbyy.ua
02BDCF24E5F76096F86 на abbyy.com.ua
B7F7CE8EDCBA18E2875 на abbyy.com.ua
BAFA75D97DC187BA186 на abbyy.com.ua
BCF758423F5F9639A52 на abbyy.com.ua
BD1BB24CCB3947431EC на abbyy.com.ua
BEB043F8DE9E4613BF6 на abbyy.com.ua
F3A5597775457678 на abbyy.ua
F7DBF3D1C91FC7A5008 на abbyy.com.ua
F9262221D193C94C4C3 на abbyy.com.ua

\N^3D.+ на .+$\N
сюда попадут адреса, при сборе которых произошли какие-то глюки 
сборщика. чаще всего это реальные адреса, в начало которых добавлены 
символы "3D". на сколько я понял, "3D" добавляется, если адрес найдет в 
html части письма.

\N^\d{8,11}\.\d{14}@\N
адреса, начинающиеся на 8-11 цифр, дальше идет точка, потом еще 14 цифр. 
14 цифр в конце локальной части адреса похожи на дату и время в формате 
YYYYMMDDhhmmss.
примеры:
105802359.20040203174555 на vpc.kiev.ua
14225025078.20040511171801 на vpc.kiev.ua
1482103765.20040203180737 на vpc.kiev.ua
1531442500.20040223105417 на vpc.kiev.ua
16220534968.20040312154718 на vpc.kiev.ua
1962169859.20040601145442 на vpc.kiev.ua

\N^\d{14}\.[\da-f]{10}@\N
адрес начинается на 14 цифр (как и в прошлом примере эти цифры похожи на 
дату и время), далее следует точка, далее - 10-ть 16-ричных цифр
примеры:
20050831064516.b85b81cd57 на design.kiev.ua
20050909080352.8af541ccd1 на design.kiev.ua


такие криво сгенеренные спамометами адреса или криво собранные с веба 
или из писем адреса вполне можно использовать для доставки в карантин с 
целью обучения статистического фильтра

-- 
Best wishes Victor Ustugov   mailto:victor на corvax.kiev.ua
public GnuPG/PGP key:        http://victor.corvax.kiev.ua/corvax.asc
ICQ UIN: 77186900, 32418694  nic-handle: CRV2-RIPE, CRV-UANIC

Подробная информация о списке рассылки exim-conf