The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск системы фильтрации спама SpamAssassin 3.4.5 с устранением уязвимости

25.03.2021 10:49

Доступен релиз платформы для фильтрации спама - SpamAssassin 3.4.5. В SpamAssassin реализован комплексный подход в принятии решения о блокировании: сообщение подвергается ряду проверок (контекстный анализ, чёрные и белые списки DNSBL, обучаемые байесовские классификаторы, проверка по сигнатурам, аутентификация отправителя по SPF и DKIM и т.п.). После оценки сообщения разными методами, накапливается определенный весовой коэффициент. Если вычисленный коэффициент превышает определенный порог - сообщение блокируется или помечается как спам. Поддерживаются средства автоматического обновления правил фильтрации. Пакет может использоваться как на клиентских, так и на серверных системах. Код SpamAssassin написан на языке Perl и распространяется под лицензией Apache.

В новом выпуске устранена уязвимость (CVE-2020-1946), позволяющая атакующему выполнить системные команды на сервере при установке непроверенных правил блокировки, полученных из сторонних источников.

Среди изменений, не связанных с безопасностью упоминается улучшение работы плагинов OLEVBMacro и AskDNS, улучшение процесса сопоставления данных в заголовках Received и EnvelopeFrom, исправления в SQL-схеме userpref, улучшение кода для проверок в rbl и hashbl, решение проблемы с тегами TxRep.

Отмечается, что разработка серии 3.4.x прекращена и изменения в данную ветку больше помещаться не будут. Исключением сделано только для исправлений уязвимостей, в случае появления которых будет сформирован выпуск 3.4.6. Вся активность разработчиков сосредоточена на разработке ветки 4.0, в которой будет реализована полноценная встроенная обработка UTF-8.

  1. Главная ссылка к новости (https://spamassassin.apache.or...)
  2. OpenNews: Выпуск системы фильтрации спама SpamAssassin 3.4.3
  3. OpenNews: Доступна система фильтрации спама Rspamd 2.0
  4. OpenNews: Выпуск системы фильтрации спама SpamAssassin 3.4.2
  5. OpenNews: В рамках проекта Spamnesty развивается бот для увеличения затрат спамеров
  6. OpenNews: Сканировние портов привело к блокировке подсети провайдером из-за попадания в список UCEPROTECT
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/54826-spamassassin
Ключевые слова: spamassassin, spam
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (25) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:52, 25/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    защити меня от спама, Альтаир! xD
     
  • 1.2, Аноним (2), 11:16, 25/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Гулг уничтожил почту заказными спамами
     
  • 1.3, Атон (?), 11:17, 25/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > на сервере при установке непроверенных правил блокировки, полученных из сторонних источников.

    Это что теперь, нельзя свои правила добавлять пока их не одобрит добрый дядя?

    Сколько стоит?

     
     
  • 2.9, YetAnotherOnanym (ok), 17:04, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Можно.
    Я, наверное, отстал от жизни, ибо не очень понимаю, что значит "правила блокировки, полученные из сторонних источников" - SA научили на ходу при каких-то условиях подгружать правила из сторонних источников или речь идёт о том, что нерадивый админ взял невесть откуда правила и добавил в конфиг?
     
     
  • 3.11, Атон (?), 17:46, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Можно.
    > Я, наверное, отстал от жизни, ибо не очень понимаю, что значит "правила
    > блокировки, полученные из сторонних источников"

    вооот!

     
  • 3.15, Аноним (15), 22:01, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Поддерживаются средства автоматического обновления правил фильтрации.

    Список откуда можно загружать правила можно дополнять и другими источниками в том чисте и "непроверенные". (да и в общем никто не застрахован что самый нараспроверенный источник в один непрекрасный момент поломают и подложат бяку).. и тогда эта бяка сможет выполнить чтото на вашей машине изх под юзера, от которого работает спамассассин..

     
     
  • 4.22, YetAnotherOnanym (ok), 12:26, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ааа, я, кажется, понял - в конфиге можно указать URL, и SA при старте, или если стукнуть SIGHUP'ом, вытянет оттуда (предположительно) свежую версию неких правил, причём для таких правил есть какие-то ограничения, и уязвимость, о которой идёт речь, состоит в том, что эти ограничения можно обойти.


     
  • 3.16, onanim (?), 23:05, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >  нерадивый админ взял невесть откуда правила и добавил в конфиг?

    это

     
     
  • 4.21, YetAnotherOnanym (ok), 12:15, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ещё админы, которым патч Бармина не прилетал...
     

  • 1.5, Rev (?), 13:08, 25/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Зачем он нужен, если существует Rspamd?
     
     
  • 2.6, Аноним (6), 13:34, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Всеволод, перелогиньтесь)
     
  • 2.12, BrainFucker (ok), 19:40, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем он нужен, если существует Rspamd?

    Оба убогие. Юзал последние лет пять Rspamd на паре серверов, в конце концов выкинул к чертям и написал себе на питоне под свои нужды. Последней каплей стало то что после какого-то обновления стал помечать как спам локальные уведомления из крона. И на это ему надо 150МБ памяти в простое и "lightweight" режиме.

     
     
  • 3.13, Аноним (13), 21:05, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Последней каплей стало то что после какого-то обновления стал помечать как спам локальные уведомления из крона.

    Ты так говоришь, будто это что-то плохое

     
     
  • 4.14, BrainFucker (ok), 21:48, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно плохо, можно случайно важные сообщения от системы пропустить. А в друг у тебя там обновление сертификатов отвалилось, например?
     
     
  • 5.20, Аноним (-), 01:06, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вообще-то большая часть уведомлений от крона именно спамом и является. А важные сообщения, очевидно, не должны отсылаться как спам-мессаги, с периодическим гадежом в ящик бесполезным мусором. Как раз этот спам через неделю все уже и перестают читать. Сдалось тратить время на чтение спама за роботом...
     
     
  • 6.23, YetAnotherOnanym (ok), 12:30, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > большая часть уведомлений от крона именно спамом и является

    Ээээ... а настроить, чтобы крон не слал уведомления, если они не нужны?


     
     
  • 7.24, Michael Shigorin (ok), 21:16, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> большая часть уведомлений от крона именно спамом и является
    > Ээээ... а настроить, чтобы крон не слал уведомления, если они не нужны?

    У торчка лапки.

     
  • 6.25, BrainFucker (ok), 21:47, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще-то большая часть уведомлений от крона именно спамом и является.

    Схрена ли это? Все сообщения, отправленные сендмейлом пользователям этого же хоста не являются спамом в принципе. Тем более письма имеют валидный DKIM.

     
  • 3.17, Vsevolod Stakhov (?), 23:42, 25/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем же вы пять лет-то так мучались?
    Насчет памяти - статическое потребление Rspamd памяти зависит в основном от таких вещей как Hyperscan (быстрые регулярки), public suffix от mozilla (чтобы отличить org.ru от какого-нибудь новомодного "крым.руc" - реальный esld), статических данных language detector и таблицы перекодировки и всяких там emoji от libicu. Ну и вообще, email - это трудно, потому что там груз legacy на много десятилетий.
    Я писал Rspamd для решения задач фильтрации спама в больших системах, которым SA просто мешал развиваться своей, гм, скоростью. На мелкие системы я никогда особо не ориентировался по ряду причин. Наверняка и проблемы с вашим кроном решались довольно легко, но раз вы все выкинули к чертям, то легче и вам, и мне - думаю так.
     
     
  • 4.26, BrainFucker (ok), 21:52, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Наверняка и проблемы с вашим кроном решались довольно легко

    Не факт. Я даже как-то создавал тикет на Гитхабе с проблемой что не получается заставить игнорировать локальную почту, но вы закрыли ишую мол тут не сапорт ))

     
     
  • 5.27, Vsevolod Stakhov (?), 23:53, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, тут я признаю за собой проблему, что мои манеры общения с community далеки от совершенства. тут, как говорится, "мы работаем над этим".

    Бывает, что чисто эмоционально закрываешь тикеты с похожими проблемами. Например, в случае крона это проблема того, что письмо, сгенерированное кроном, очень часто похоже на автоматически созданное письмо ботом: не хватает Content-Type, Content-Transfer-Encoding и так далее. Понятно, что по rfc это все необязательно, но так обычно делает очередной x-php-originating-script, поэтому на этот счет делаются правила, возможно, неправильные в некоторых случаях. Сейчас в гитхабе есть discussions, куда я обычно перевожу подобные баг репорты. В таком случае можно собрать мнение других пользователей Rspamd и сделать правильные изменения, а не закрывать тикеты без вменяемого ответа. В SA работа с правилами делается гораздо более серьезная, но SA вырос, по сути, из набора правил на перле, которые написал администратор почты. Я бы очень хотел, чтобы подход к правилам в Rspamd был бы лучше, чем, как минимум, есть сейчас, и у меня есть определенные мысли, как это в итоге сделать.

    Но вот текущая проблема с обновлением правил в SA подтвердила мое убеждение, что правила надо распространять очень аккуратно, чтобы не допустить явных RCE через каналы обновления - поэтому я несколько лет назад полностью отключил динамические обновления правил.

     

  • 1.8, Аноним (8), 13:52, 25/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уязвимость: пропускает спам?
     
     
  • 2.19, Аноним (-), 01:04, 26/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Пропускает системные команды если их в спамфильтр впихали, лол.
     

  • 1.18, Аноним (-), 01:03, 26/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > позволяющая атакующему выполнить системные команды на сервере
    > при установке непроверенных правил блокировки

    Killer feature!

     
  • 1.28, Аноним (28), 17:41, 27/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А postscreen нативный в Postfix-е уже не подходит?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру