SpamAssassinのルールをひとまとめにする

またも誤判定が発生しました。

メールヘッダのレポートは、次のとおりです。

Content analysis details:   (6.0 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
-0.0 SPF_HELO_PASS          SPF: HELO matches SPF record
-0.0 SPF_PASS               SPF: sender matches SPF record
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.0 URIBL_BLOCKED          ADMINISTRATOR NOTICE: The query to URIBL was
                            blocked.  See
                            http://wiki.apache.org/spamassassin/DnsBlocklists#dnsbl-block
                             for more information.
                            [URIs: xxxxxxxxxxxxxx.co.jp]
 3.5 XLS_ATTACHED_1         Attached xls or xlsx file
 2.5 DOC_ATTACHED_1         Attached doc or docx file

このメールにはEXCELとWORDの文書がそれぞれ複数添付されていました。

SpamAssassinのルールは前回設定したもので、対象部分を抜き出すと、次のようになっています。

# Torohan xls or xlsx file ############################################### START #
mimeheader __XLS_ATTACHED_CT Content-Type =~ /\.xls|\.xlsx/i
mimeheader __XLS_ATTACHED_CD Content-Disposition =~ /\.xls|\.xlsx/i

meta     XLS_ATTACHED_1     __XLS_ATTACHED_CT || __XLS_ATTACHED_CD
score    XLS_ATTACHED_1     3.5
describe XLS_ATTACHED_1     Attached xls or xlsx file
# Torohan xls or xlsx file ############################################### END   #

# Torohan doc or docx file ############################################### START #
mimeheader __DOC_ATTACHED_CT Content-Type =~ /\.DOC|\.DOCX|\.MDB|\.PPT/i
mimeheader __DOC_ATTACHED_CD Content-Disposition =~ /\.DOC|\.DOCX|\.MDB|\.PPT/i

meta     DOC_ATTACHED_1     __DOC_ATTACHED_CT || __DOC_ATTACHED_CD
score    DOC_ATTACHED_1     2.5
describe DOC_ATTACHED_1     Attached doc or docx file
# Torohan doc or docx file ############################################### END   #

このルールだと、

xlsファイルが添付されていた場合:3.5
docファイルが添付されていた場合:2.5
docとxlsが両方添付されていた場合:3.5＋2.5＝6.0

わたしのところでは、5.0位上でスパム扱いのため、このメールはスパムに判定されます。

このようにxlsとdocのルールを分けると、それぞれのスコアが合計されるので、そうならないためにはルールを１つにまとめる必要があります。

ところが１つのルールにまとめると、xlsでもdocでも同じスコアになってしまします。

xlsのほうが危険祭が高いのでdocより高いスコアをつけるにはどうすればよいでしょうか？

そこで、次のように設定してみます。

# Torohan microsoft Office files ######################################### START #
mimeheader __XLS_ATTACHED_CT Content-Type =~ /\.xls|\.xlsx/i
mimeheader __XLS_ATTACHED_CD Content-Disposition =~ /\.xls|\.xlsx/i
mimeheader __DOC_ATTACHED_CT Content-Type =~ /\.DOC|\.DOCX|\.MDB|\.PPT/i
mimeheader __DOC_ATTACHED_CD Content-Disposition =~ /\.DOC|\.DOCX|\.MDB|\.PPT/i

meta     MS_FILE_ATTACHED_1     __XLS_ATTACHED_CT || __XLS_ATTACHED_CD || __DOC_ATTACHED_CT || __DOC_ATTACHED_CD
score    MS_FILE_ATTACHED_1     2.0
describe MS_FILE_ATTACHED_1     Attached microsoft Office files
# Torohan microsoft Office files ######################################### END   #

# Torohan xls or xlsx file ############################################### START #
meta     XLS_ATTACHED_1     __XLS_ATTACHED_CT || __XLS_ATTACHED_CD
score    XLS_ATTACHED_1     1.5
describe XLS_ATTACHED_1     Attached xls or xlsx file
# Torohan xls or xlsx file ############################################### END   #

# Torohan doc or docx file ############################################### START #
meta     DOC_ATTACHED_1     __DOC_ATTACHED_CT || __DOC_ATTACHED_CD
score    DOC_ATTACHED_1     0.5
describe DOC_ATTACHED_1     Attached doc or docx file
# Torohan doc or docx file ############################################### END   #

一度MS-Office関係のルールをまとめて2.0のスコアをつけます。その後で別個にEXCELには1.5を、WORDには0.5を加算します。

添付ファイルの種類とトータルのスコアは次のようになります。

xlsファイルまたはdocファイルが添付されていた場合: 2.0なので、

添付ファイルがxlsだけの場合: 2.0＋1.5＝3.5
添付ファイルがdocだけの場合: 2.0＋0.5＝2.5
docとxlsが両方添付されていた場合: 2.0＋1.5＋0.5＝4.0

この時点ではスパム判定にはなりません。

何か他に不審な点があればスコア5.0に達して、スパム扱いになります。

これで、今回の誤判定は解消できました。

よく考えてみると、これらの他にも、危険性の高い添付ファイルの種類があります。

pdfファイルもその一つです。

Adobe Acrobatの脆弱性によるものらしいのですが、わたしのところで使っているウイルススキャナClamAVはpdfファイルには厳しくて、古いAcrobatで作られたpdfファイルが添付されてくると駆除してしまいます。

必要なpdfファイルが駆除されて、業務に支障をきたしますので、このへんは少しpdfに寛容な設定をしています。

なのでpdf対応もSpamAssassinで設定しておきます。

pdfも危険性のあるファイルであることを思い出したところで、他にも危険なファイルがあることに気づきます。

シロウト考えで添付ファイルの種類を決めていましたが、少し落ち着いて他にどのようなファイルがあるか考えてみましょう。

ネットを検索してみると、多くの情報が得られます。

信頼できそうな情報がありました。次のサイトを参考にさせてもらいます。

https://blogs.yahoo.co.jp/fireflyframer/33538130.html

これまでに対応していなかったファイルの拡張子は以下のとおりです。

.exe .docm .xlsm .hta .jar .rtf

余談になりますが、次のファイルは、それを開くソフトウエアに脆弱性が無い限り安全と考えて良いようです。

拡張子 .txt … テキスト文書
拡張子 .png .jpg .gif .bmp など … 画像、写真
拡張子 .mp4 .wmv .avi など … 動画
拡張子 .mp3 .wma .wav .mid など … 音楽、音声

今の時点では、以下のルールで様子を見てみます。

SpanAssassinのマニュアルによると、いまのところ複数行にわたるルールには対応していないので、見にくいのですが１行がながくなります。

# Torohan microsoft Office files ######################################### START #
mimeheader __XLS_ATTACHED_CT Content-Type =~ /\.xls|\.xlsx|\.xlsm/i
mimeheader __XLS_ATTACHED_CD Content-Disposition =~ /\.xls|\.xlsx|\.xlsm/i
mimeheader __DOC_ATTACHED_CT Content-Type =~ /\.DOC|\.DOCX|\.DOCM/i
mimeheader __DOC_ATTACHED_CD Content-Disposition =~ /\.DOC|\.DOCX|\.DOCM/i
mimeheader __PPT_ATTACHED_CT Content-Type =~ /\.PPT|\.PPTX/i
mimeheader __PPT_ATTACHED_CD Content-Disposition =~ /\.PPT|\.PPTX/i
mimeheader __MDB_ATTACHED_CT Content-Type =~ /\.MDB|\.MDBX/i
mimeheader __MDB_ATTACHED_CD Content-Disposition =~ /\.MDB|\.MDBX/i
mimeheader __PDF_ATTACHED_CT Content-Type =~ /\.pdf/i
mimeheader __PDF_ATTACHED_CD Content-Disposition =~ /\.pdf/i

meta     MS_FILE_ATTACHED_1     __XLS_ATTACHED_CT || __XLS_ATTACHED_CD || __DOC_ATTACHED_CT || __DOC_ATTACHED_CD || __PPT_ATTACHED_CT || __PPT_ATTACHED_CD || __MDB_ATTACHED_CT || __MDB_ATTACHED_CD || __PDF_ATTACHED_CT || __PDF_ATTACHED_CD
score    MS_FILE_ATTACHED_1     2.0
describe MS_FILE_ATTACHED_1     Attached microsoft Office files
# Torohan microsoft Office files ######################################### END   #

# Torohan xls or xlsx file ############################################### START #
meta     XLS_ATTACHED_1     __XLS_ATTACHED_CT || __XLS_ATTACHED_CD
score    XLS_ATTACHED_1     1.5
describe XLS_ATTACHED_1     Attached xls or xlsx file
# Torohan xls or xlsx file ############################################### END   #

# Torohan doc or docx file ############################################### START #
meta     DOC_ATTACHED_1     __DOC_ATTACHED_CT || __DOC_ATTACHED_CD || __PPT_ATTACHED_CT || __PPT_ATTACHED_CD || __MDB_ATTACHED_CT || __MDB_ATTACHED_CD || __PDF_ATTACHED_CT || __PDF_ATTACHED_CD
score    DOC_ATTACHED_1     0.5
describe DOC_ATTACHED_1     Attached doc or docx file
# Torohan doc or docx file ############################################### END   #

# Torohan zip or rar archive ############################################# START #
mimeheader __ZIP_ATTACHED_CT Content-Type =~ /\.zip|\.rar|\.lzh|\.cab/i
mimeheader __ZIP_ATTACHED_CD Content-Disposition =~ /\.zip|\.rar|\.lzh|\.cab/i

meta     ZIP_ATTACHED_1     __ZIP_ATTACHED_CT || __ZIP_ATTACHED_CD
score    ZIP_ATTACHED_1     3.0
describe ZIP_ATTACHED_1     Attached zip or rar files
# Torohan zip or rar archive ############################################# END   #

# Torohan vbe file ######################################################## START #
mimeheader __VBE_ATTACHED_CT Content-Type =~ /\.EXE|\.COM|\.BAT|\.CMD|\.PIF|\.SCR|\.VBS|\.HTML|\.VBE|\.WSF|\.WSH|\.hta|\.jar|\.rtf/i
mimeheader __VBE_ATTACHED_CD Content-Disposition =~ /\.EXE|\.COM|\.BAT|\.CMD|\.PIF|\.SCR|\.VBS|\.HTML|\.VBE|\.WSF|\.WSH|\.hta|\.jar|\.rtf/i

meta     VBE_ATTACHED_1     __VBE_ATTACHED_CT || __VBE_ATTACHED_CD
score    VBE_ATTACHED_1     3.5
describe VBE_ATTACHED_1     Attached vbe file
# Torohan vbe file ######################################################## END   #

どのようにルールを作るかは、一筋縄ではいきませんね。