在 .procmailrc 中的标题中检测来自随机域名的垃圾邮件

Question 1

这是一个 Procmail 配方，它实现了我思考你可能会问。

它用得分这是一个有点晦涩但偶尔有用的功能。简而言之，如果From:标头带有域名（因为总是有域名），我们会分配 1 分，然后如果Reply-To:或Message-Id:标头在后有相同的字符串，则从分数中减去 1 分@。

:0:
*    1^0 ^From:.*@\/[^@<>   ]+
* $ -1^0 ^Message-Id:.*@$\MATCH\>
* $ -1^0 ^Reply-To:.*@$\MATCH\>
suspicious

我预测这将有相当高的误报率，但如果你收到大量包含这种特定模式的垃圾邮件，也许它可以为你提供价值，特别是如果你能将它与白名单结合起来。

我仍然建议您suspicious定期检查文件夹，并将任何误报找出并放回到您的常规收件箱中。

这是使用您提供的示例进行的演示，/dev/null仅供演示使用。

bash$ procmail -m VERBOSE=yes /tmp/procmailrc </tmp/sample 
procmail: [16] Fri Mar 19 09:06:29 2021
procmail: Rcfile: "/tmp/procmailrc"
procmail: Assigning "MAILDIR=/home/tripleee"
procmail: Assigning "MATCH="
procmail: Matched "namebrandwigs.com"
procmail: Score:       1       1 "^From:.*@\/[^@<>  ]+"
procmail: Score:       0       1 "^Message-Id:.*@()namebrandwigs\.com\>"
procmail: Score:       0       1 "^Reply-To:.*@()namebrandwigs\.com\>"
procmail: Assigning "LASTFOLDER=/dev/null"
procmail: Opening "/dev/null"
 Subject: drone with new features
  Folder: /dev/null                            1373

一个具体的复杂之处在于，这不允许子域名命中；允许发送者并不难，但相反的情况要棘手得多，因为在一般情况下，你无法真正知道域名是（例如在和TLD 中）还是（例如在等 TLD 中）或者甚至更长（就像和日本的一些县的情况一样，等等）。Message-id: <[email protected]>From: real name <[email protected]>From: sender <[email protected]>labels.here.com.frmany.labels.here.co.uk.com.auk12.place.name.us

更详细地说，为第一个配方行中的第一个匹配1^0分配一个1分数，而其他匹配则不加分。标记从匹配的字符串中捕获其后的字符串，即标题中\/最后一个符号后的所有内容。然后在以下配方行中使用该变量来引用此捕获的字符串；语法生成与文字字符串匹配的正则表达式转义模式。后续配方有一个标志，用于告诉 Procmail 将任何变量（即）插入配方条件，以及一个计分指令，用于为条件的第一次匹配减一，然后如果再次匹配则不减一。@MATCH$\MATCH$$MATCH-1^0

手册页解释了所有这些构造，但可能相当复杂；也许还可以参阅Procmail 快速参考虽然其内容更加密集，但或许也更容易阅读和理解。

我将其作为一个单独的答案发布，以免将此处的内容与我的其他答案混淆，该答案基本上是试图阻止您仅使用 Procmail 创建自己的垃圾邮件过滤器。

Answer

这是一个 Procmail 配方，它实现了我思考你可能会问。

它用得分这是一个有点晦涩但偶尔有用的功能。简而言之，如果From:标头带有域名（因为总是有域名），我们会分配 1 分，然后如果Reply-To:或Message-Id:标头在后有相同的字符串，则从分数中减去 1 分@。

:0:
*    1^0 ^From:.*@\/[^@<>   ]+
* $ -1^0 ^Message-Id:.*@$\MATCH\>
* $ -1^0 ^Reply-To:.*@$\MATCH\>
suspicious

我预测这将有相当高的误报率，但如果你收到大量包含这种特定模式的垃圾邮件，也许它可以为你提供价值，特别是如果你能将它与白名单结合起来。

我仍然建议您suspicious定期检查文件夹，并将任何误报找出并放回到您的常规收件箱中。

这是使用您提供的示例进行的演示，/dev/null仅供演示使用。

bash$ procmail -m VERBOSE=yes /tmp/procmailrc </tmp/sample 
procmail: [16] Fri Mar 19 09:06:29 2021
procmail: Rcfile: "/tmp/procmailrc"
procmail: Assigning "MAILDIR=/home/tripleee"
procmail: Assigning "MATCH="
procmail: Matched "namebrandwigs.com"
procmail: Score:       1       1 "^From:.*@\/[^@<>  ]+"
procmail: Score:       0       1 "^Message-Id:.*@()namebrandwigs\.com\>"
procmail: Score:       0       1 "^Reply-To:.*@()namebrandwigs\.com\>"
procmail: Assigning "LASTFOLDER=/dev/null"
procmail: Opening "/dev/null"
 Subject: drone with new features
  Folder: /dev/null                            1373

一个具体的复杂之处在于，这不允许子域名命中；允许发送者并不难，但相反的情况要棘手得多，因为在一般情况下，你无法真正知道域名是（例如在和TLD 中）还是（例如在等 TLD 中）或者甚至更长（就像和日本的一些县的情况一样，等等）。Message-id: <[email protected]>From: real name <[email protected]>From: sender <[email protected]>labels.here.com.frmany.labels.here.co.uk.com.auk12.place.name.us

更详细地说，为第一个配方行中的第一个匹配1^0分配一个1分数，而其他匹配则不加分。标记从匹配的字符串中捕获其后的字符串，即标题中\/最后一个符号后的所有内容。然后在以下配方行中使用该变量来引用此捕获的字符串；语法生成与文字字符串匹配的正则表达式转义模式。后续配方有一个标志，用于告诉 Procmail 将任何变量（即）插入配方条件，以及一个计分指令，用于为条件的第一次匹配减一，然后如果再次匹配则不减一。@MATCH$\MATCH$$MATCH-1^0

手册页解释了所有这些构造，但可能相当复杂；也许还可以参阅Procmail 快速参考虽然其内容更加密集，但或许也更容易阅读和理解。

我将其作为一个单独的答案发布，以免将此处的内容与我的其他答案混淆，该答案基本上是试图阻止您仅使用 Procmail 创建自己的垃圾邮件过滤器。

Question 2

基于一些有限的例子，很难想出任何具体的东西，今天行之有效，明天继续有效。如果你的实际的问题实际上是“我如何才能防止 Procmail 发送垃圾邮件”，对此的明显、简单且有据可查的答案是“运行像 SpamAssassin 这样的全光谱垃圾邮件过滤器并检查其结果”。即便如此，您的准确率可能永远不会达到 100%；但对于一个您只需配置并忘记的工具来说，SpamAssassin 做得不错。它广泛依赖于外部服务，这些服务为垃圾邮件发送者使用的 IP 地址、URL 和其他网络资源提供动态信誉信息，因此实际上在幕后进行了大量操作。

SpamAssassin wiki 上的 UsedViaProcmail有更多说明。简而言之，安装并配置好 SpamAssassin 后，请尝试以下操作

:0fw
* < 512000
| spamassassin

:0:
* ^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
almost-certainly-spam

:0:
* ^X-Spam-Status: Yes
probably-spam

第二个冒号:0:只有在您向需要锁定的邮箱发送邮件时才是正确的（例如 mbox 文件，但绝对不是 Maildir 目录；但根据您问题中的示例，您似乎在 mbox 上）。如果您经常收到大垃圾邮件，也许可以删除大小条件* < 512000或调整数字。SpamAssassin 标准 Procmail 样板包含一个锁定文件，这在您的个人系统上是不必要的，在共享主机上可能是可疑的，还有一些围绕断线的奇怪的货物崇拜巫术，From我认为这实际上从来都不正确。

如果您想要针对您提供的样本的具体建议，请理解，即使经过深入研究且绝对真实的事实可以让您完全有信心地丢弃这些特定消息，不会出现误报，但对于处理任何其他消息几乎毫无用处，和/或明天或下周就会过时。

Answer

基于一些有限的例子，很难想出任何具体的东西，今天行之有效，明天继续有效。如果你的实际的问题实际上是“我如何才能防止 Procmail 发送垃圾邮件”，对此的明显、简单且有据可查的答案是“运行像 SpamAssassin 这样的全光谱垃圾邮件过滤器并检查其结果”。即便如此，您的准确率可能永远不会达到 100%；但对于一个您只需配置并忘记的工具来说，SpamAssassin 做得不错。它广泛依赖于外部服务，这些服务为垃圾邮件发送者使用的 IP 地址、URL 和其他网络资源提供动态信誉信息，因此实际上在幕后进行了大量操作。

SpamAssassin wiki 上的 UsedViaProcmail有更多说明。简而言之，安装并配置好 SpamAssassin 后，请尝试以下操作

:0fw
* < 512000
| spamassassin

:0:
* ^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
almost-certainly-spam

:0:
* ^X-Spam-Status: Yes
probably-spam

第二个冒号:0:只有在您向需要锁定的邮箱发送邮件时才是正确的（例如 mbox 文件，但绝对不是 Maildir 目录；但根据您问题中的示例，您似乎在 mbox 上）。如果您经常收到大垃圾邮件，也许可以删除大小条件* < 512000或调整数字。SpamAssassin 标准 Procmail 样板包含一个锁定文件，这在您的个人系统上是不必要的，在共享主机上可能是可疑的，还有一些围绕断线的奇怪的货物崇拜巫术，From我认为这实际上从来都不正确。

如果您想要针对您提供的样本的具体建议，请理解，即使经过深入研究且绝对真实的事实可以让您完全有信心地丢弃这些特定消息，不会出现误报，但对于处理任何其他消息几乎毫无用处，和/或明天或下周就会过时。

在 .procmailrc 中的标题中检测来自随机域名的垃圾邮件

答案1

答案2

相关内容