Добрый день! У меня настроен сортировщик,который пишет в текстовый файл заголовки приходящих спам-писем,с тем чтобы из него выбирать IP адреса отправителей и затем банить их. Использую шаблон
%HEADERS. Можно ли с помощью регулярных выражений извлекать в лог только избранные строки из
всего заголовка,в данном случае 5 или 6 строку Received.....
Не уверен, что это необходимо делать. Вытаскиванием IP-адресов из заголовков писем и сравнением их с черными списками занимаются ряд антиспамовских программ (например SpamPal). Если вы хотите сделать свой собственный фильтр, то лучше не использовать для этого IP-адреса. Спамеры, как правило, их не повторяют. Можно использовать например такой фильтр:
$$$$ TB! Message Filter $$$$
beginFilter
UID: [99DAB140.01C70E4F.73169D03.748B6316]
Name: Новое\20правило
Filter: {\0D\0A\20`28`1`0`B5AC1180-BA7965E2-F7F34367\0D\0A{0\0D\0A\20`1`12`my@adres.ru/0D/0Amy@adres2.ru\0D\0A1`7`Received`14`from\20[/5Cw/5C./5C-]*?[/5Cd/5C-/5C.]{5,30}?./0D/0Afrom\20(.*?/5Cs)*?/5C(?unknown\0D\0A}\0D\0A}
MoveMessage folder \5C\5C\5C$JUNK$
Ignore
endFilter
Это базовая часть комплекса фильтров которые я использую, эффективность до 80%, остальные фильтры добирают еще около 15%. Регулярное выражение в этом фильтре проверяет подозрительность путей по которым шло письмо. Хотя степень подозрительности понятие субъективное и спорное, однако фильтр меня еще не подводил. Основное условие для работы этого фильтра, все нужные корреспонденты должны быть занесены в "Адресную книгу"
Спасибо за шаблон,сравнение с черными списками не будет делаться,нужно просто вырезать адреса из заголовков,для этого создан специальный ящик,на который все юзеры скидывают пришедший спам,а дальше этим занимаются соответствующие службы. И еще нет возможности принимать почту только с адресов из адресной книги.
Небольшое уточнение.Сообщение от Uncle Bens
Фильтр пропускает всю почту, но если отправителя нет в адресной книге, то письмо анализируется дополнительно на предмет спама.
Ну так что,кто-нибудь знает,как это написать?