[HOME] > PC-UNIX Tips > スパム・フィルタ

スパム・フィルタ

Created: 2005.01.30
Updated: 2006.02.04
Updated: 2006.11.10

PC-UNIX Tips

INDEX

環境
スパムフィルタ導入
スパムメールの特徴

環境

OS:: Plamo-4.01
MUA:: Mew version 3.3
POP Client:: fetchmail-6.2.2
Spam Filter:: bsfilter-1.0.6
Other:: procmail v3.14, ruby 1.8.2

スパムフィルタ導入

ホームページにメールアドレスを掲載しているせいか、最近やたらとスパムメールが多くなってきました。以前からあったのですが、最近特に多い気がします。よく言われるスパム対策が個人レベルでも必要になってきたかも。

で、fetchmail + Mewの環境にスパムフィルタを導入してみました。スパムフィルタはベイズの定理を使ったベイジアンフィルタってのが主流だそーな。あらかじめメール中のトークン(単語?)ごとのスパムである確率を学習しておき、対象となるメール中にスパム確率の高いトークンが多く含まれていたら、そのメールがスパムと判定します。そのベイジアン系の bogofilter と bsfilter を使ってみました。

bogofilter

最初、bogofilterを使ってみました。英語のスパムはちゃんと認識してくれるのですが、nkfやkakasiを使った日本語スパムの認識について、使いこなせなかったので断念。bogofilter自体は日本語対応がないので、nkfやkakasiと組合せが必要とのこと。

設定は次のようにしてみました。

fetchmailでPOPサーバからメールを取り込み
procmailにforwardして
bogofilterで判定し
スパムは$HOME/Mail/spamに
その他は$HOME/Mail/inboxに、procmailにて振り分け。

[$HOME/.forward]

"|IFS=' ' && exec /usr/bin/procmail -f- || exit 75 #username"

[$HOME/.procmailrc]

PATH=/bin:/usr/bin:/usr/local/bin
MAILDIR=$HOME/Mail
DEFAULT=$MAILDIR/inbox/.
LOGFILE=$MAILDIR/procmail.log
LOCKFILE=$HOME/.lockmail
:0 HB
* ? bogofilter
spam/.
:0:
inbox/.

bsfilter

次に、国産のbsfilterを導入。こちらは、国産ってこともあって、元もと日本語対応済み。設定はbgofofilterと同様。

fetchmailでPOPサーバからメールを取り込み(同様)
procmailにforwardして(同様)
bsfilterで判定し
スパムは$HOME/Mail/spamに(同様)
その他は$HOME/Mail/inboxに、procmailにて振り分け。(同様)

[$HOME/.forward] 変更なし

"|IFS=' ' && exec /usr/bin/procmail -f- || exit 75 #username"

[$HOME/.procmailrc] ちょいと修正

PATH=/bin:/usr/bin:/usr/local/bin
MAILDIR=$HOME/Mail
DEFAULT=$MAILDIR/inbox/.
LOGFILE=$MAILDIR/procmail.log
LOCKFILE=$HOME/.lockmail
:0 fw
| /usr/local/bin/bsfilter --pipe --insert-flag --insert-probability

:0
* ^X-Spam-Probability: *(1|0\.[89])
spam/.

:0:
inbox/.

bsfilterの育て方

bsfilter は、スパムとクリーンなメールのパターンを学習させて育てていく必要があります。学習パターンが少ない初期の頃は、まま誤認する場合がありますのでご注意ください。コマンドは下記のようになります。データベース反映を忘れないように。

スパムメール・パターンの追加

% bsfilter --add-spam -v ~/Mail/spam/*
...

クリーンメール・パターンの追加

% bsfilter --add-clean -v ~/Mail/${dir}/*
...

データベース更新 % bsfilter --update ...

スパム手動判定例: 最後のフィールドがスパムである確率

% bsfilter spam.mail
combined probability spam.mail 1 1.000000
% bsfilter clean.mail
combined probability clean.mail 1 0.000000
%

その後、bsfilterデータベースをある程度育てた段階で、ほぼ誤認はなくなり実用レベルに達しました。たまーに誤認することもありますが、うまいことスパムを排除してくれています :-) ただ、データベース更新のタイミングがしっくりきていません。現在のところ、データベース更新シェルを作成し、

気づいた時に手動で更新
tcshを利用しているので、$HOME/.logoutにシェルを設定してログアウト時に更新

を併用する運用にしています。

因みに、シェル: $HOME/bin/spamget.sh はこんな感じです。

#!/bin/sh

PATH=/usr/bin:/usr/local/bin

# get spam pattern
echo "learning spam mail ..."

bsfilter --add-spam ~/Mail/spam/*

# get normal mail pattern
echo ""
echo "learning normal mail ..."

for dir in inbox savebox savebox2;
do
 echo "${dir} processing ... "
 bsfilter --add-clean ~/Mail/${dir}/*
done

# update database
echo ""
echo "update database ..."
bsfilter --update

exit 0

もひとつおまけに、$HOME/.logout はこんな感じです。

echo ""
echo "Do you update bsfilter database ?"
echo -n "Your answer. ====> (y/N) "
set bsans = $<

if( "$bsans" == "y" ) then
        # get spam pattern for bogofilter
        $HOME/bin/spamget.sh
endif

exit 0

スパムメールの特徴

bsfilter等、MUA側で動作させるメールフィルタは、POP3等で既にメールボックスに届いたスパムには有効です。しかし、心情的には、自分のメールアドレスがスパムに利用されているだけで、いい気分はしません。

最近は、メールサーバで受信拒否する機能を実装している場合が多くなっていますので、この機能を使えばメールボックスに到着する前に拒否することができます。私が利用しているメールサーバでも、メールヘッダとメールメッセージに対して、ある条件にマッチするメールを受信拒否することができるようになり、この機能を利用してみました。

まず、Subjectヘッダのキーワードや、Fromヘッダ、メッセージのキーワード等で試してみました。以下が比較的効果がありましたが、決定打にはなりませんでした。

Subject:: 未承諾広告; 未承認広告
From:: info@*; @のないメールアドレス
Content-Type:: text/plain以外全て
X-Mailer:: The Bat(参考：スパム対策)

試行錯誤の結果、スパムをかなりの確率で見分けることができる決定的なパターンがわかりました。スパム発信元がRFCに準拠しないアホなメールを発信し、かつ経由するMTAがRFCに準拠して、ある機能を働かさないことが条件となります。既知のことかもしれませんが、あえて答えは書きません。アホなスパム業者には知られたくないので...

と、思っていたのですが、この方法だと受信したいメールでもスパムと同じパターンのものがままあることが分かりました。ってことで、別のパターンを探し続けて８ヶ月 ... やっとこれかな？と思えるパターンを発見。今回も答えは書きませんが、あるメールヘッダに注目してみてください :-) 結構効きます。

PC-UNIX Tips

Written by kabada