スパム検出

PureMessage では、スパム検出ルールのセットに従ってメッセージを解析することでスパムを特定します。各ルールにはテストとそれに対応した「数値」(weight) があります。メッセージに適合する各ルールに対応して、メッセージの合計スパムスコアに数値 (weight) が追加されます。すべてのルールが適用された後に、スパムスコアはパーセンテージに変換されます。PureMessage ポリシーは、メッセージの合計スパムスコアを表すパーセンテージに基づいて、アクション (メッセージの隔離など) を実行します。

スパム検出をコマンドラインから設定するのに使用する PureMessage アプリケーションおよび設定ファイルは以下のとおりです。

  • /opt/pmx/bin/pmx-spam:PureMessage のスパム検出コンポーネントへのインターフェースです。

    スパム検出ポリシー関連の設定ファイル

    PureMessage のスパム検出では多くの「特性グループ」を使用します。各特性グループは、異なるメッセージ解析の方法を適用します。1つまたは複数の特性グループを同時に有効に設定できます。特性グループは、/opt/pmx/etc/spam.d/compile.d ディレクトリに保存されている設定ファイルから有効にされます。

    spam.conf 設定ファイルは、すべての特性グループに対して一般的なメッセージ検索パラメータを設定します。これらの一般的な設定オプションは、他の設定ファイル内で特性グループ特有のオプションと組み合わされます。

    スパム検出設定の変更、特性グループの有効/無効化、またはルールの追加/変更を行った後、変更を反映させるために PureMessage Milter を (pmx-milter restart コマンドを使用して) 再起動する必要があります。

    • /opt/pmx/etc/spam.conf:特性グループ (解析の方法) のいずれが有効に設定されているかに関係なく適用される、一般的なスパム検出の設定アイテムを含みます。
    • /opt/pmx/etc/spam.d/compile.d/destination.conf:「Known Spam Destination」(既知のスパム送信先) 特性グループを有効にします。
    • /opt/pmx/etc/spam.d/compile.d/heuristic.conf:「Heuristic Analysis」(ヒューリスティック解析) 特性グループを有効にします。
    • /opt/pmx/etc/spam.d/compile.d/sender.conf:「Sender Reputation」(送信者の IP フィルタリング) 特性グループを有効にします。
    • /opt/pmx/etc/spam.d/net.conf:「Sender Reputation」(送信者の IP フィルタリング) 特性グループによって使用される DNS 確認のためのパラメータを設定します。
    • /opt/pmx/etc/spam.d/dnsbl.conf:「Sender Reputation」(送信者の IP フィルタリング) 特性グループ (このグループのブロックリストはデフォルトで無効に設定) で使用される DNSBL (DNS ブロックリスト) 確認のためのパラメータを設定します。
    • /opt/pmx/etc/spam.d/compile.d/site.conf:「Site Features」(サイト特性) 特性グループを有効にします。
    • /opt/pmx/etc/spam.d/sxl.conf:ソフォスのスパム対策データに対するリアルタイムの DNS ベースのクエリを有効にします。
    ルールおよびカスタムルール設定ファイル

    PureMessage は事前に定義されたスパム検出ルールのセットと共に配布されます。これらのルールは、PureMessage スパム対策ヒューリスティックアップデートの一部として定期的にアップデートされます。数値および確率の差分のみがデフォルトルールについて変更できます。これらの変更は pmx-spam プログラムを使用して実行されます (詳細については、pmx-spam の man ページをご覧ください)。

    カスタムルールは、PureMessage のデフォルトのインストールディレクトリの下の etc/spam.d ディレクトリにある re.rules ファイルに保存されます。カスタムルールのファイルは、PureMessage スパム対策ヒューリスティックのアップデートの一部としてはアップデートされません。

    ルールがメッセージに適用される場合、デフォルトおよびカスタムの両方のルールが使用されます。

    ルールのステータス (有効または無効)、値、およびスパムスコアは、ルール定義ファイルではなくデータベースに保存されます。ルールの値を変更するには、pmx-spam プログラムを使用します。

    • /opt/pmx/etc/spam.d/re.rules:カスタムルールを保存します。
    • /opt/pmx/etc/spam.d/compile.d/compiler.conf:それより低い値ではスパムを特定するルールを使用しなくなる、しきい値を設定します。
    適応型分類トレーニングの設定ファイル
    多くの場合、適応型トレーニング分類によってスパムフィルタリングの正確性が大幅に向上することはありません。セットアップおよび保守に追加の手間がかかるばかりでなく、スパムとスパムではないメッセージの定義の範囲が多様な組織においては通常あまり効果的ではありません。SophosLabs によって提供されるルールとデータのアップデートを使用して、検出されなかったスパムや誤検知を分析のためにソフォスに提出することが一般的には最善の方法です。適応型トレーニング分類は、スパムとスパムでないメッセージを区別するパータンが平均よりも大幅に明確であるような組織で使用されることを目的としています。

    PureMessage と共に配布される事前に定義済みのスパム検出ルールに加えて、独自のメッセージセットから 2つ目のルールセットを生成できます。これらのルールは、ベイジアン解析と呼ばれる統計手法を応用したトレーニングシステムである、「適応型分類」を使用して生成されます。適応型分類子は、動的な特性を使用する分類アルゴリズムです。ここでの特性に該当するものは、スパムの特徴を定義する単語 (たとえば、「Viagra」) です。ルールセットはトレーニングデータベースに含まれるメッセージの特徴について「学習」することにより作成されるため、適応型分類子の機能は「トレーニング」と説明されています。

    適応型分類機能が有効に設定されると、適応型分類のスパム対策ルールは標準スパム対策ルールと共にメッセージのスパム解析のために使用されます。適応型分類ルールを有効に設定しても、標準スパム対策ルールには影響がありません。 標準ルールへのカスタム修正として保存され、標準ルールセットには引き続きアップデートが適用されます。

    • /opt/pmx/bin/pmx-spam:「Adaptive Message Classification」(適応型メッセージ分類) 特性グループを有効にします。
    • /opt/pmx/etc/spam.d/compile.d/adaptive.conf:「Adaptive Message Classification」(適応型メッセージ分類) 特性グループを有効にします。
    • /opt/pmx/etc/spam.d/bayes.conf:「適応型分類」(ベイジアン) スパム検知ルール (pmx-spam コマンドを使用) の作成用パラメータを設定します。