SpamAssassin 3.1系で利用できるsa-updateを試してみました。sa-updateとは何か、使い方の手順、効果を簡単にまとめてみました。

sa-updateとは何か
=================

これまでのSpamAssassinは、新リリースのたびに標準のルールセットが更新されていました。言い替えると、新しいスパムに対応するためのルールセットの更新頻度は、プログラム自体のリリースに縛られていた、ということができます。

この欠点を補うための試みとして、SAREというルールセットがSpamAssassinユーザによってメンテナンスされています。薬剤の名前を集めたルールセットなど、メンテナンスしている人の興味(?)によってユニークなルールセットがいくつも存在し、一定の効果が期待できます。また、Rules Du Jourというシェルスクリプトを使うと、定期的に更新されたSAREルールセットをダウンロードして更新できます。

sa-updateは、ルールセットの更新とプログラム自体のリリースを分離するために作られた、ルールセットの更新システムです。

sa-updateが動作するように設定を行って、cronジョブなどで自動実行するようにしておけば、SpamAssassin開発システムで十分にテストされた最新のルールセットを定期的に入手できるようになるのです。

sa-updateの設定方法
===================

(1) 前提知識

SpamAssassinのパッケージには、そのバージョンのリリース時点における標準提供のルールセットが含まれています。通常/usr/share/spamassassinなどのディレクトリにインストールされるファイルです。

sa-updateでダウンロードできるルールセットは、このディレクトリには保存しません。代わりに、デフォルトでは/var/lib/spamassassin/%RELEASE% (%RELEASE%はSpamAssassinのバージョンを示す番号で、3.1.4では3.001004という名前になります)ディレクトリにダウンロードされます。このディレクトリにはさらにサブディレクトリがあり、実際のルールファイル更新版はここに格納されます。

spamassassinコマンドのソースを見ればわかりますが、Mail::SpamAssassinでは$LOCAL_STATE_DIRに"/var/lib"を指定しています。この変数が、上記のディレクトリと対応していますので、特別な理由がない限り、sa-updateのデフォルトのダウンロード先ディレクトリは変更しないでください。また、Mail::SpamAssassinを呼び出しているPerlプログラム(amavisd-newなど)では、LOCAL_STATE_DIRに"/var/lib"を指定して初期化しないと、sa-updateの御利益は得られません。

(2) sa-updateを実行するための準備

sa-updateが正しいルールセットをダウンロードしたことを確認するために、sa-updateのオプションにgpgのキーを指定するか、キーを保存したファイル名をオプションに指定することが強く推奨されます。

私は毎回キーをタイプするのが面倒なので、キーを保存したファイルを作成する方法を選びました。今のところ、次の２行を適当なファイルに保存し、ファイル名をsa-updateの--gpgkeyfileオプションに指定するといいようです。



(3) sa-updateを実行する

sa-updateは次のような形式で実行します。/var/libディレクトリ(OSやLinuxディストリビューションによって異なるかもしれません)に対する書き込み権限があるユーザ権限で実行してください。



<ファイル名>には、上記のgpgキーを保存したファイル名を指定します。

どうです、実に簡単でしょう。

(4) 実行結果の確認

/var/lib/spamassassin/3.001004/ (3.1.4の場合)ディレクトリに、updates_spamassassin_orgディレクトリ、updates_spamassassin_org.cf、updates_spamassassin_org.preというファイルができていれば、sa-updateは正常に動作したことになります。

(5) SAREルールセットの更新

sa-updateの--channelfileオプションを使うと、SAREルールセットもsa-updateで更新できるようになるそうです。まだこれは試していません。

sa-updateの効果
===============

最近、たとえば投資を呼びかける英文のスパムが多く、私のルールセットではスパムと判定されない(false negative)ケースが多くなっています。

実際にすり抜けてきたこのタイプのスパムを、sa-update実施後にspamassassinコマンドで再度チェックしてみました。

その結果、新たにTVD_STOCK1、KAM_STOCKOTCというルールがマッチし、それぞれ2.4、1.0というスコアが付けられました。ベイズフィルタのスコア(3.5)その他と合計して5.0以上のスコアを獲得し、みごとにスパムと正しく認識されるようになりました。

このように、sa-updateを使うことによって、スパムの手口が新しくなってもそれに追随しやすくなり、高い検出力を維持しやすくなります。

一方、sa-updateを使い始めると、スパムと判断する閾値をデフォルトの5.0点にするのが望ましい、という傾向も強まるのではないかと思われます。もちろん独自の閾値を設定するのは自由ですし、その閾値に合わせて自分自身のルールセットを追加することも自由です。しかしSpamAssassinの開発グループからタイムリーにルールセットが更新されるようになったので、それをメインとして使って、補完のために独自のルールセットを追加する、という運用を選ぶなら、5.0という閾値をベースにする方が調整しやすくなるのではないかと思っています。

以上

----------------
久保 元治 (株)サードウェア
Motoharu Kubo 274-0815 千葉県船橋市西習志野3-39-8
mkubo@3ware.co.jp URL: http://www.3ware.co.jp/
Phone: 047-496-3341 Fax: 047-496-3370
携帯: 090-6...

私の勘違い＆やりかたがまずいのかも知れませんけど
>(2) sa-updateを実行するための準備
のやりかたでsa-updateをデバックモードで実施すると
(gpgkeyfile.txtにgpgのキーを格納）
sa-update -D --gpgkeyfile gpgkeyfile.txt

[12669] dbg: gpg: invalid key id 26C900A46DD40CD5AD24F6D7DEE01987265FA05B
[12669] dbg: gpg: invalid key id 5244EC45
と
invalid key 扱いされている様です。

MANを見るとデフォルトでSHA1とgpgのチェックはされるようで、
/etc/spamassassin/sa-update-keys
にsa-updateの為の公開鍵が設定される様ですが、このためのキーを
指定するということで良いのですよね？


export GNUPGHOME=/etc/spamassassin/sa-update-keys
gpg --fingerprint
/etc/spamassassin/sa-update-keys/pubring.gpg
--------------------------------------------
pub 4096R/5244EC45 2005-12-20
指紋 = 5E54 1DC9 59CB 8BAC 7C78 DFDC 4056 A61A 5244 EC45
uid updates.spamassassin.org Signing Key <release@spamassassin.org>
sub 4096R/24F434CE 2005-12-20