|
Файл конфигурации spamcatcher.conf
позволяет изменить ряд дополнительных параметров, которые не
доступны в графическом интерфейсе пользователя ESET Mail Security.
Параметры в файле spamcatcher.conf
явным образом структурированы и описаны.
Имя — имя параметра
Аргументы — значения, которые могут быть
присвоены параметру, а также их синтаксис
По умолчанию — значение
параметра по умолчанию
Описание — подробное описание
параметра
Пустые строки и строки, начинающиеся с символа решетки («#»),
опускаются.
Перечень самых важных параметров, присутствующих в файле
spamcatcher.conf, приведен далее.
|
|
|
|
approved_ip_list
|
Перечень одобренных IP-адресов. Нет необходимости добавлять
список в файл spamcatcher.conf.
Сформировать его можно в графическом интерфейсе пользователя
программы (см. главу Настройка параметров ядра защиты от спама).
|
|
blocked_ip_list
|
Перечень заблокированных IP-адресов. Нет необходимости добавлять
список в файл spamcatcher.conf.
Сформировать его можно в графическом интерфейсе пользователя
программы (см. главу Настройка параметров ядра защиты от спама).
|
|
ignored_ip_list
|
Перечень пропущенных IP-адресов. Нет необходимости добавлять
список в файл spamcatcher.conf.
Сформировать его можно в графическом интерфейсе пользователя
программы (см. главу Настройка параметров ядра защиты от спама).
|
|
rbl_list
|
Перечень серверов «черных» списков реального времени, которые
следует использовать при оценке сообщений. Запрос к «черным»
спискам реального времени проверяет наличие конкретного IP-адреса
на данном сервере. Таким проверкам подвергаются IP-адреса из
раздела «Получено» в заголовке сообщения.
Используется такой формат ввода: rbl_list=сервер:ответ:коррекция,сервер2:ответ2:коррекция2,...
Значение параметров описывается далее.
1) Сервер — имя сервера «черных» списков реального
времени.
2) Ответ — ответ сервера «черных» списков реального
времени, если обнаружен IP-адрес (стандартными являются ответы
127.0.0.2, 127.0.0.3, 127.0.0.4 и т. п.). Этот параметр
является необязательным, при его отсутствии будут учитываться все
ответы.
3) Коррекция — значение от 0 до 100, которое влияет на
общую оценку нежелательности. Стандартным значением является 100,
т. е. в случае положительного результата проверки сообщению
присваивается оценка нежелательности 100, а само сообщение
считается спамом. Отрицательные значения снижают общую оценку
нежелательности сообщения. Также следует ожидать значения 0 при
обработке сообщений от отправителей из файла approvedsenders и значения 100, если сообщения
поступили от отправителей из файла blockedsenders (см. ниже).
Пример 1. rbl_list=ent.adbl.org
Для проверки в «черных» списках реального времени используется
сервер ent.adbl.org . Если
результат проверки положительный, сообщению будет присвоено
стандартное значение коррекции 100, а само сообщение будет помечено
как спам.
Пример 2. rbl_list=ent.adbl.org::60
Для проверки в «черных» списках реального времени используется
сервер ent.adbl.org . Если
результат проверки положительный, сообщению будет присвоено
значение коррекции 60, которое увеличивает общую оценку
нежелательности.
Пример 3. rbl_list=bx9.dbl.com::85,
list.dnb.org:127.0.0.4:35, req.gsender.org::-75
Для проверки в «черных» списках реального времени используются
заданные серверы (слева направо). При положительном результате
проверки по серверу bx9.dbl.com
будет добавлено значение коррекции 85. Если проверка по серверу
list.dnb.org будет положительной
с ответом 127.0.0.4, будет использоваться значение коррекции 35.
Коррекция не будет применяться, если ответы будут отличны от
127.0.0.4. При положительном результате проверки по серверу
req.gsender.org оценка
нежелательности будет уменьшена на 75 пунктов (отрицательное
значение).
|
|
rbl_max_ips
|
Максимальное количество IP-адресов, которые могут быть
отправлены для проверки на сервер «черных» списков реального
времени. Общее количество запросов на сервер «черных» списков
реального времени равняется общему количеству IP-адресов в разделах
«Получено» заголовка сообщения (до заданного в rbl_maxcheck_ips
ограничения), умноженному на количество серверов «черных» списков
реального времени, заданных в параметре rbl_list. Значение 0
означает, что не существует ограничений по максимальному количеству
IP-адресов, которые могут проверяться.
Этот параметр применяется только в том случае, если включен
параметр rbl_list (т. е. в нем есть хотя бы 1 сервер).
|
|
approved_domain_list
|
Это список доменов и IP-адресов в теле сообщения электронной
почты, которые следует считать разрешенными. Этот список не следует
использовать для внесения в «белый» список адресов электронной
почты по домену отправителя!
|
|
blocked_domain_list
|
Это список доменов и IP-адресов в теле сообщения электронной
почты, которые следует считать постоянно заблокированными. Это не
«черный» список адресов отправителей! Нет необходимости добавлять
список в файл spamcatcher.conf.
Сформировать его можно в графическом интерфейсе пользователя
программы (см. главу Настройка параметров ядра защиты от спама).
|
|
ignored_domain_list
|
Список доменов в теле сообщения электронной почты, которые
следует постоянно исключить из проверок DNSBL и игнорировать. Нет
необходимости добавлять список в файл spamcatcher.conf. Сформировать его можно в
графическом интерфейсе пользователя программы (см. главу Настройка параметров
ядра защиты от спама).
|
|
dnsbl_list
|
Список серверов DNSBL («черный» список серверов на основе DNS),
который следует использовать для проверок доменов и IP-адресов в
теле сообщения электронной почты. Используется следующий формат
записи: dnsbl_list=сервер:ответ:коррекция,сервер2:ответ2:коррекция2,...
Используемые параметры описаны далее.
1) Сервер — имя сервера DNSBL.
2) Ответ — ответ сервера DNSBL, если обнаружен IP-адрес или
домен (стандартными являются ответы 127.0.0.2, 127.0.0.3, 127.0.0.4
и т. п.). Этот параметр является необязательным, при его
отсутствии будут учитываться все ответы.
3) Коррекция — значение от 0 до 100, которое влияет на
общую оценку нежелательности. Стандартным значением является 100,
т. е. в случае положительного результата проверки сообщению
присваивается оценка нежелательности 100, а само сообщение
считается спамом. Отрицательные значения снижают общую оценку
нежелательности сообщения. Также следует ожидать значения 0 при
обработке сообщений от отправителей из файла approvedsenders и значения 100, если сообщения
поступили от отправителей из файла blockedsenders (см. ниже).
Проверки DNSBL могут отрицательно повлиять на производительность
сервера в связи с тем, что каждый домен/IP-адрес из тела сообщения
проверяется по всем заданным серверам DNSBL, причем для каждой
проверки нужно обработать запрос к DNS-серверу. Сократить
потребление системных ресурсов можно, развернув для этой цели
DNS-сервер кэширования. По той же причине IP-адреса без поддержки
маршрутизации (10.x.x.x, 127.x.x.x, 192.168.x.x) также опускаются
при проверках DNSBL.
Пример 1. dnsbl_list=ent.adbl.org
Проверка DNSBL выполняется по серверу ent.adbl.org . При положительном результате
проверки сообщению присваивается значение коррекции по умолчанию
100 (сообщение будет помечено как спам).
Пример 2. dnsbl_list=ent.adbl.org::60
Для проверки DNSBL используется сервер ent.adbl.org . Если результат проверки
положительный, сообщению будет присвоено значение коррекции 60,
которое увеличивает общую оценку нежелательности.
Пример 3. dnsbl_list=bx9.dbl.com::85,
list.dnb.org:127.0.0.4:35, req.gsender.org::-75
Для проверки DNSBL используются заданные серверы (слева
направо). При положительном результате проверки по серверу
bx9.dbl.com будет добавлено
значение коррекции 85. Если проверка по серверу list.dnb.org будет положительной с ответом
127.0.0.4 , то будет
использоваться значение коррекции 35. Коррекция не будет
применяться, если ответы будут отличны от 127.0.0.4. При
положительном результате проверки по серверу req.gsender.org оценка нежелательности будет
уменьшена на 75 пунктов (отрицательное значение).
|
|
home_country_list
|
Список стран, которые будут считаться страной проживания.
Сообщения, маршрутизируемые через страну, отсутствующую в этом
списке, будут оцениваться с использованием более жестких правил
(будет применена более высокая оценка нежелательности). В качестве
формата записи стран используется их двузначный код в соответствии
с ISO 3166.
|
|
home_language_list
|
Список предпочтительных языков, т. е. тех языков, которые
чаще всего используются в сообщениях электронной почты. Такие
сообщения будут оцениваться с применением менее жестких правил
(более низкая оценка нежелательности). В качестве формата записи
языков используется их двузначный код в соответствии с ISO 639.
|
|
custom_rules_list
|
Позволяет задать пользовательские списки правил и хранить каждый
список в отдельном файле. Каждое правило записывается в отдельной
строке файла в следующем формате.
Фраза, тип, вероятность,
УчетРегистра
Фраза — любой текст без
запятых (,).
Тип: может иметь одно из значений:
SPAM, PHISH, BOUNCE, ADULT, FRAUD. Если ввести отличное от
перечисленных значение, автоматически будет использоваться значение
SPAM. Значение SPAM задает фразы, которые встречаются в типичных
нежелательных сообщениях (предложения товаров и услуг).
PHISH — это фразы, содержащиеся в мошеннических сообщениях
(фишинг), целью которых является получение конфиденциальных данных
(имена, пароли, номера кредитных карт и т. п.) от
пользователей. BOUNCE — это фразы, используемые в
автоматических ответах сервера, таких как уведомления о
невозможности доставки (используются при подделках адреса
отправителя). ADULT представляет фразы, часто встречающиеся в
сообщениях, в которых предлагаются порнографические материалы.
FRAUD обозначает фразы, используемые в мошеннических сообщениях
электронной почты, в которых предлагаются подозрительные банковские
операции (денежный перевод через счет пользователя и т. п.).
Типичным примером такого типа спама являются так называемые
нигерийские письма.
Вероятность — значение от 0 до 100.
Определяет вероятность принадлежности фразы к конкретной категории
спама (одной из перечисленных выше). Если для типа PHISH
вероятность составляет 90, очень высока вероятность того, что
данная фраза используется в сообщениях фишинга. Чем выше
вероятность, тем больше она влияет на общую оценку нежелательности
сообщения. Существует особый случай, когда значение вероятности
равно 100, причем оценка нежелательности сообщения также равна 100,
т. е. сообщение будет помечено как спам с точностью
100 %. Точно так же в случае, когда данное значение равно 0,
сообщение будет помечено как не спам.
УчетРегистра — значение 0 или 1. Если 0, то
фраза используется без учета регистра. 1 показывает, что фраза
используется с учетом регистра.
Примеры
реплика, SPAM, 100, 0
Уважаемый пользователь eBay,
PHISH, 90, 1
return to sender, BOUNCE, 80,
0
|
Дополнительные параметры для работы с «черным»/«белым» списками
(ESET Mail Security 4.3.10025) доступны в файлах approvedsenders и blockedsenders, которые находятся в
папкеC:\Documents and Settings\All
Users\Application Data\ESET\ESET Mail
Security\ServerAntispam на сервере Windows Server 2000 и
2003, а также на сервере Windows Server 2008 в папке C:\ProgramData\ESET\ESET Mail
Security\ServerAntispam. В эти списки можно добавить адреса
или домены отправителя, причем файл approvedsenders представляет собой список
разрешенных адресов/доменов, а в файле blockedsenders перечисляются заблокированные
адреса/домены.
ПРИМЕЧАНИЕ.: При выполнении
переноса/обновления ESET Mail Security с версии 4.3.10023 (и ниже)
на версию 4.3.10025 важно создать файлы резервной копии
approvedsenders и blockedsenders в папке:
C:\Documents and
Settings\All Users\Application Data\ESET\ESET Mail
Security\MailServer (применяется к Windows Server 2000 и
2003);
C:\ProgramData\ESET\ESET Mail Security\MailServer (применяется к
Windows Server 2008, 2008 R2).
После установки новой версии
(4.3.10025 и выше) ESET
Mail Security разархивируйте файлы approvedsenders и blockedsenders в папку:
C:\Documents and
Settings\All Users\Application Data\ESET\ESET Mail
Security\ServerAntispam
(применяется к Windows Server 2000 and
2003);
C:\ProgramData\ESET\ESET Mail Security\ServerAntispam (применяется к Windows Server 2008, 2008
R2).
Внимание:
Поскольку очень часто используются методы подделки адресов
отправителей (они изменяются так, чтобы сообщения казались
отправленными тем, кто их якобы отправил), не рекомендуется
использовать файлы approvedsenders и
blockedsenders как средства работы с
«белым» и «черным» списками. В этих целях намного надежнее и
безопаснее использовать разрешенные и заблокированные IP-адреса.
Если нужно добавить отправителя в «белый» список по адресу/домену
(файл approvedsenders), всегда следует
применять дополнительный метод проверки сообщения (например,
инфраструктуру политики отправителей).
Прочие параметры
|
enable_spf
|
Этот параметр включает/отключает проверку по инфраструктуре
политики отправителей. Этот метод проверки проверяет общие правила
домена (политику домена), чтобы определить, разрешено ли
отправителю рассылать сообщения с этого домена.
|
|
enable_all_spf
|
Этот параметр определяет, могут ли домены, отсутствующие в
параметре spf_list и файле Mailshell, обойти проверку по
инфраструктуре политики отправителей. Для корректной работы этого
параметра у параметра enable_realtime_spf должно быть значение
«yes».
|
|
enable_realtime_spf
|
Если этот параметр включен, DNS-запросы будут отправляться в
режиме реального времени в ходе проверки по инфраструктуре политики
отправителей. Это может негативно сказаться на производительности
(задержки при оценке сообщений).
|
|
spf_list
|
Этот параметр позволяет назначить значимость конкретной записи
инфраструктуры политики отправителей, тем самым повлияв на общую
оценку нежелательности сообщения.
|
|
spf_*_weight
|
Символ «звездочка» (*) здесь представляет 14 возможных
результатов проверки по инфраструктуре политики отправителей
(дополнительные сведения см. в разделе spamcatcher.conf). Значение, введенное для этого
параметра, представляет собой значение коррекции, которое затем
применяется к оценке нежелательности в соответствии с конкретными
типами результатов. Если проверка по инфраструктуре политики
отправителей имеет результат «fail», будет применено значение
коррекции из параметра spf_fail_weight. В зависимости от значения
коррекции может увеличиться или уменьшиться итоговая оценка
нежелательности.
|
|
spf_recursion_depth
|
Максимальная глубина вложенности (с применением механизма
«include»). По норме RFC 4408 это ограничение равно 10 (для
предотвращения атак типа «отказ в обслуживании»), но в некоторых
записях инфраструктуры политики отправителей это ограничение больше
не соблюдается, так как нужно применить большее количество уровней
вложенности для выполнения запроса инфраструктуры политики
отправителей.
|
|
enable_livefeed_sender_repute
|
Если этот параметр отключен, информация инфраструктуры политики
отправителей из LiveFeed будет
игнорироваться.
|
|