2007年08月13日
SpamAssassinでspamメール対策 (8/n) : blacklist_fromは癖があるので要注意
|
|
|
info@example.comから送られてくるspamメールが
false negativeになってしまう話。
▼環境
■false negative判定されたサンプルメール
▼生Fromフィールド
▼デコードされたFromフィールド
黒でしかないので、blaclistに登録していた
しかし、上記メールだとblackであると判定してくれない。
何故かfalse negative。
もっと詳細にチェック項目が出くれればいいのにね。
出す方法があるのかも知れないけど、今は判らない。
さて困った。
▼仮説
・blacklist_fromは <local-part@domain> である事を期待している
・Fromフィールドが複数となっている場合、blacklist_fromが期待した判定をしてくれない
▼検証
上記のように、file-glob-styleパターンで"*info@example.com"としてみた。
▼結果
true negative判定。
USER_IN_BLACKLISTが効いている。
要らないメールドメイン名なら *@example.com としてしまう方が良さそう。
▼まとめ
・blacklist_fromは期待する動きをしてくれない時がある
何故blacklist_fromにマッチしなかったかを詳細に出せたらイイのに。
blacklist_fromの癖を判らない人は、とことんはめられそう。
false negativeになってしまう話。
▼環境
X-Spam-Checker-Version: SpamAssassin 3.1.7-deb (2006-10-05)
■false negative判定されたサンプルメール
▼生Fromフィールド
From: =?iso-2022-jp?Q?=1B=24B!Z=1B=28BSexi!=29Prem?= =?iso-2022-jp?Q?iere!=29=1B
=24B!=5B=255=25=5D!=3C=25HIt=1B=28B?= <info@example.com>
=24B!=5B=255=25=5D!=3C=25HIt=1B=28B?= <info@example.com>
▼デコードされたFromフィールド
From: 【Sexi!)Premiere!)】サポート部 <info@example.com>
黒でしかないので、blaclistに登録していた
blacklist_from info@example.com
しかし、上記メールだとblackであると判定してくれない。
Content preview: 【Sexi】をいつもご利用頂き誠にありがとうございます☆
━━━━━━━━━━━━━━━━━ 8/13は☆大抽選会
━━━━━━━━━━━━━━━━━
現金プレゼント総額 [...]
Content analysis details: (3.4 points, 10.0 required)
pts rule name description
---- ---------------------- --------------------------------------------------
-0.1 CONTENT_TYPE_PRESENT exists:Content-Type
-0.1 ISO2022JP_CHARSET ISO-2022-JP message
0.7 SARE_SUB_CASH_CHAR Subject has letter then $ then letter
0.1 STAR *
-6.0 USER_IN_WHITELIST_TO User is listed in 'whitelist_to'
4.0 MISSING_HEADERS Missing To: header
1.0 LONG_WORD BODY: Long word more than 40 characters
-0.1 ISO2022JP_BODY BODY: ISO-2022-JP message
0.1 TOUFU1 BODY: Toufu Moji
0.2 MIMEQENC FULL: Quoted-Printable mime definition
0.2 QENCPTR2 FULL: Quoted-Printable mime pattern
0.2 QENCPTR1 FULL: Quoted-Printable mime pattern
3.0 QENCTXT FULL: quoted-printable
0.1 TO_CC_NONE No To: or Cc: header
━━━━━━━━━━━━━━━━━ 8/13は☆大抽選会
━━━━━━━━━━━━━━━━━
現金プレゼント総額 [...]
Content analysis details: (3.4 points, 10.0 required)
pts rule name description
---- ---------------------- --------------------------------------------------
-0.1 CONTENT_TYPE_PRESENT exists:Content-Type
-0.1 ISO2022JP_CHARSET ISO-2022-JP message
0.7 SARE_SUB_CASH_CHAR Subject has letter then $ then letter
0.1 STAR *
-6.0 USER_IN_WHITELIST_TO User is listed in 'whitelist_to'
4.0 MISSING_HEADERS Missing To: header
1.0 LONG_WORD BODY: Long word more than 40 characters
-0.1 ISO2022JP_BODY BODY: ISO-2022-JP message
0.1 TOUFU1 BODY: Toufu Moji
0.2 MIMEQENC FULL: Quoted-Printable mime definition
0.2 QENCPTR2 FULL: Quoted-Printable mime pattern
0.2 QENCPTR1 FULL: Quoted-Printable mime pattern
3.0 QENCTXT FULL: quoted-printable
0.1 TO_CC_NONE No To: or Cc: header
何故かfalse negative。
もっと詳細にチェック項目が出くれればいいのにね。
出す方法があるのかも知れないけど、今は判らない。
さて困った。
▼仮説
・blacklist_fromは <local-part@domain> である事を期待している
・Fromフィールドが複数となっている場合、blacklist_fromが期待した判定をしてくれない
▼検証
blacklist_from info@exmaple.com
blacklist_from *info@example.com
blacklist_from *info@example.com
上記のように、file-glob-styleパターンで"*info@example.com"としてみた。
▼結果
Content preview: 【Sexi】をいつもご利用頂き誠にありがとうございます☆
━━━━━━━━━━━━━━━━━ 8/13は☆大抽選会
━━━━━━━━━━━━━━━━━
現金プレゼント総額 [...]
Content analysis details: (103.4 points, 10.0 required)
pts rule name description
---- ---------------------- --------------------------------------------------
-0.1 CONTENT_TYPE_PRESENT exists:Content-Type
-0.1 ISO2022JP_CHARSET ISO-2022-JP message
0.7 SARE_SUB_CASH_CHAR Subject has letter then $ then letter
0.1 STAR *
100 From: address is in the user's black-list
-6.0 USER_IN_WHITELIST_TO User is listed in 'whitelist_to'
4.0 MISSING_HEADERS Missing To: header
1.0 LONG_WORD BODY: Long word more than 40 characters
-0.1 ISO2022JP_BODY BODY: ISO-2022-JP message
0.1 TOUFU1 BODY: Toufu Moji
0.2 MIMEQENC FULL: Quoted-Printable mime definition
0.2 QENCPTR2 FULL: Quoted-Printable mime pattern
0.2 QENCPTR1 FULL: Quoted-Printable mime pattern
3.0 QENCTXT FULL: quoted-printable
0.1 TO_CC_NONE No To: or Cc: header
━━━━━━━━━━━━━━━━━ 8/13は☆大抽選会
━━━━━━━━━━━━━━━━━
現金プレゼント総額 [...]
Content analysis details: (103.4 points, 10.0 required)
pts rule name description
---- ---------------------- --------------------------------------------------
-0.1 CONTENT_TYPE_PRESENT exists:Content-Type
-0.1 ISO2022JP_CHARSET ISO-2022-JP message
0.7 SARE_SUB_CASH_CHAR Subject has letter then $ then letter
0.1 STAR *
100 From: address is in the user's black-list
-6.0 USER_IN_WHITELIST_TO User is listed in 'whitelist_to'
4.0 MISSING_HEADERS Missing To: header
1.0 LONG_WORD BODY: Long word more than 40 characters
-0.1 ISO2022JP_BODY BODY: ISO-2022-JP message
0.1 TOUFU1 BODY: Toufu Moji
0.2 MIMEQENC FULL: Quoted-Printable mime definition
0.2 QENCPTR2 FULL: Quoted-Printable mime pattern
0.2 QENCPTR1 FULL: Quoted-Printable mime pattern
3.0 QENCTXT FULL: quoted-printable
0.1 TO_CC_NONE No To: or Cc: header
true negative判定。
USER_IN_BLACKLISTが効いている。
要らないメールドメイン名なら *@example.com としてしまう方が良さそう。
▼まとめ
・blacklist_fromは期待する動きをしてくれない時がある
何故blacklist_fromにマッチしなかったかを詳細に出せたらイイのに。
blacklist_fromの癖を判らない人は、とことんはめられそう。
