Спам фильтр по телу письма

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Спам фильтр по телу письма

Непрочитанное сообщение mediamag » 2010-12-08 12:54:09

Доброго времени суток, возникла проблема со спамом, а именно: создал я блеклист для некоторых локальных адресов, но почта всё равно проходит через блеклист, хм - думал неправильно я блеклист придумал и проверил на gmail.com (заблочил всю почту от gmail к локальному адресу) - все пашет....полез в тело письма и начал смотреть хидеры обоих писем (спама и gmail). Вижу следущее:
у гугла хидер From: и хидер Return-path совпадает, а у спамерского письма - нет (в спам-письме Return-path какой то левый ящик, поэтому его и пропускает блеклист). Ну думал, щас нарисую запрет и делов то. НО!!!..решил я закрепить и полез на остальные (неспамерские письма), и увидел что у 50% писем From и Return-path не совпадают (письма, присланные нашей компании от поставщиков, и т д.) ВОпрос: так как же лучше нарисовать фильтр? По каким хидерам проверять совпадение или несовпадение? Как должно быть по стандарту? Вот тело спам письма:

Код: Выделить всё

Return-path: <coachclub@da3.adamant.ua>
Envelope-to: my@domain.com
Delivery-date: Tue, 07 Dec 2010 17:21:14 +0200
Received: from da3.adamant.ua ([91.205.16.67])
        by hlzav8.dp.ua with esmtp (Exim 4.71 (FreeBSD))
        (envelope-from <coachclub@da3.adamant.ua>)
        id 1PPzLs-000LWK-08
        for my@domain.com; Tue, 07 Dec 2010 17:21:14 +0200
Received: from coachclub by da3.adamant.ua with local (Exim 4.67)
        (envelope-from <coachclub@da3.adamant.ua>)
        id 1PPzgd-0004f5-F7
        for my@domain.com; Tue, 07 Dec 2010 17:42:39 +0200
To: my@domain.com
Subject: =?utf-8?B?0JjQvdGE0L7RgNC80LDRhtC40L7QvdC90YvQuSDQtNCw0LnQtNC20LXRgdGC?=  =?utf-8?B?INC+INC60L7Rg9GH0LjQvdCz0LUgQ29hY2hpbmdNZXJpZGlhbi5vcg==?=  =?utf-8?B?ZyAtIE5vLiA2LCA3INC00LXQutCw0LHRgNGPIDIwMTAg0
X-PHP-Script: coachclub.com.ua/administrator/index.php for 95.133.73.225
Date: Tue, 7 Dec 2010 17:42:39 +0200
From: WPG <workingpg@ukr.net>
Reply-To: WPG <workingpg@ukr.net>
Message-ID: <3e6e09644be1e0b0204f49e0e0c0651d@coachclub.com.ua>
X-Priority: 3
X-Mailer: PHPMailer (phpmailer.sourceforge.net) [version 2.0.4]
MIME-Version: 1.0
Content-Type: multipart/related;
        type="text/html";
        boundary="b1_3e6e09644be1e0b0204f49e0e0c0651d"
Sender:  <coachclub@da3.adamant.ua>

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

ivan__
сержант
Сообщения: 234
Зарегистрирован: 2009-08-11 15:48:32
Откуда: Питер

Re: Спам фильтр по телу письма

Непрочитанное сообщение ivan__ » 2010-12-08 13:39:47

Настоящий адрес отправителя это Return-path

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Спам фильтр по телу письма

Непрочитанное сообщение mediamag » 2010-12-08 14:46:55

хм..у нас на предприятии мтс связь, так вот, от них приходят письма и return-path не равен from. Не думаю, что там сидят чайники....заметил такое неравенство у многих серверов

mediamag
лейтенант
Сообщения: 693
Зарегистрирован: 2008-10-02 20:49:21

Re: Спам фильтр по телу письма

Непрочитанное сообщение mediamag » 2010-12-14 9:56:43

Вот еще пришел спам..на мой взгляд очень умно сделан:

Код: Выделить всё

Return-path: <baza.info@mail.ru>
Envelope-to: my@domain.ru
Delivery-date: Tue, 14 Dec 2010 01:09:29 +0200
Received: from relay07.kiev.sovam.com ([62.64.120.198])
    by domain.ru with esmtp (Exim 4.71 (FreeBSD))
    (envelope-from <baza.info@mail.ru>)
    id 1PSHWK-0002rk-WA
    for my@domain.ru; Tue, 14 Dec 2010 01:09:29 +0200
Received: from [89.162.215.164] (helo=KOT)
    by relay07.kiev.sovam.com with esmtp (Exim 4.69 (FreeBSD))
    (envelope-from <baza.info@mail.ru>)
    id 1PSHZm-000L7i-0x
    for hr@hlzav8.dp.ua; Tue, 14 Dec 2010 01:13:02 +0200
From: "baza" <baza.info@mail.ru>
Subject: =?Windows-1251?B?zcDJ0sgtz9DOwsXQyNLc?=
To: "hr@hlzav8.dp" <hr@hlzav8.dp.ua>
Content-Type: multipart/alternative; charset="Windows-1251"; boundary="Sl18sn82SRZxz7=_XMiAt358MvkIPjv21M"
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Organization: statbaza
Date: Tue, 14 Dec 2010 02:10:05 +0300
X-Scanner-Signature: f2683d8df775da069012ccac6e6e6321
X-DrWeb-checked: yes
Единственное, что в письме от спамера - это хидер Received, остальное всё подставное. Обращаюсь к знающим гуру - как же банить таких придурков? Сначала была идея Сопоставить хидер return-path с параметром $sender_host_name, но это не вариант. Может у кого то уже есть готовые решения?