Tagesarchiv für den 01. Oktober 2007

p0f für amavisd-new unter Gentoo

p0f ist ein Programm das passiv bei einer TCP-Verbindung das Betriebsystem des anderen Rechners erkennt. Es besteht offensichtlich ein Zusammenhang zwischen Betriebsystem des Rechners der eMails einliefert und der Spamwahrscheinlichkeit. amavisd-new kann sich dies mit Hilfe von p0f zu nutze machen.
Hier eine Anleitung zur Einrichtung unter Gentoo. Ich geh davon aus, dass amavisd-new bereits komplett eingerichtet ist.

Erstmal braucht man die aktuelleste amavisd-new Version und p0f (stable reicht):

echo "mail-filter/amavisd-new ~x86" >> /etc/portage/package.keywords
emerge -u net-analyzer/p0f  mail-filter/amavisd-new


Sobald beides installiert ist, startet man p0f-analyzer:

p0f -l 'tcp dst port 25' 2>&1 | p0f-analyzer.pl 2345 &

Jetzt muss p0f in der /etc/amavisd.conf aktiviert werden, dazu folgende Zeile auskommentieren (Zeile ~115):

$os_fingerprint_method = 'p0f:127.0.0.1:2345';  # query p0f-analyzer.pl

Jetzt fehlt nur noch ein Regelsatz für SpamAssassin. Einfach eine Datei /etc/spamasassin/p0f.cf mit folgendem Inhalt erstellen und bei Bedarf anpassen:

header L_P0F_OS_WINDOWSXP   X-Amavis-OS-Fingerprint =~ /^Windows XP/
score  L_P0F_OS_WINDOWSXP   3.5
header L_P0F_OS_WINDOWS_OTHER X-Amavis-OS-Fingerprint =~ /^Windows(?! XP)/
score  L_P0F_OS_WINDOWS_OTHER 1.7
header L_P0F_OS_UNKOWN  X-Amavis-OS-Fingerprint =~ /^UNKNOWN/
score  L_P0F_OS_UNKOWN  0.8
header L_P0F_OS_LINUX  X-Amavis-OS-Fingerprint =~ /^Linux/
score  L_P0F_OS_LINUX  -0.3
header L_P0F_OS_UNIX  X-Amavis-OS-Fingerprint =~ /^((Free|Open|Net)BSD)|Solaris|HP-UX|Tru64/
score  L_P0F_OS_UNIX  -1.0
 
header L_P0F_D_1_4 X-Amavis-OS-Fingerprint =~ /\bdistance [1-4](?![0-9])/
header L_P0F_D_5_6 X-Amavis-OS-Fingerprint =~ /\bdistance [5-6](?![0-9])/
header L_P0F_D_7_9 X-Amavis-OS-Fingerprint =~ /\bdistance [7-9](?![0-9])/
header L_P0F_D_15_25 X-Amavis-OS-Fingerprint =~ /\bdistance [15-25](?![0-9])/
 
score  L_P0F_D_1_4 -0.7
score  L_P0F_D_5_6 -0.5
score  L_P0F_D_7_9 -0.3
score  L_P0F_D_15_25 0.3

Der erste Block vergibt Punkte anhand des Betriebsystems, der zweite Block anhand der “Entfernung” sprich der Hops zum einliefernden Host.

Quelle:http://mail-archives.apache.org/m….Mark.Martinec+sa@ijs.si%3E
Weitere Infos: http://lcamtuf.coredump.cx/p0f.shtml, http://www.ijs.si/software/amavisd/

bisher 2 Kommentare Mo, 01. Okt 2007 um 00:05 Uhr Christian

Kalender

Oktober 2007
M D M D F S S
« Sep   Nov »
1234567
891011121314
15161718192021
22232425262728
293031  

Monatsarchiv

Themenarchiv