Rspamd正则表达式规则编写:自定义过滤规则的完整指南
Rspamd正则表达式规则编写:自定义过滤规则的完整指南
【免费下载链接】rspamdRapid spam filtering system.项目地址: https://gitcode.com/gh_mirrors/rs/rspamd
Rspamd是一款高效的垃圾邮件过滤系统,通过自定义正则表达式规则,您可以精准识别和拦截特定模式的垃圾邮件。本文将详细介绍如何为Rspamd编写正则表达式过滤规则,从基础语法到高级应用,帮助您构建强大的垃圾邮件防御系统。
Rspamd垃圾邮件过滤系统logo
正则表达式规则基础
规则文件位置与格式
Rspamd的正则表达式规则主要存储在以下路径:
- 核心规则:
rules/目录下的.lua文件,如rules/regexp/ - 自定义规则:
local.d/url_filter.lua(用户本地规则) - 配置文件:
conf/modules.d/regexp.conf(正则模块配置)
规则文件采用Lua语法,典型结构包含符号注册、正则表达式定义和评分设置三部分。
基本规则结构
一个简单的正则表达式规则示例:
-- 匹配包含"免费中奖"的主题 rspamd_config:register_symbol({ name = 'FREE_PRIZE_SUBJECT', score = 5.0, callback = function(task) local subject = task:get_header('Subject') if subject and subject:find('免费中奖', 1, true) then return true end return false end })常用正则表达式语法
基础模式匹配
| 语法 | 说明 | 示例 |
|---|---|---|
. | 匹配任意单个字符 | a.c匹配 "abc"、"a1c" |
* | 匹配前一个元素0次或多次 | ab*c匹配 "ac"、"abc"、"abbc" |
+ | 匹配前一个元素1次或多次 | ab+c匹配 "abc"、"abbc" |
? | 匹配前一个元素0次或1次 | ab?c匹配 "ac"、"abc" |
[] | 字符集 | [a-zA-Z0-9]匹配字母和数字 |
() | 分组 | (ab)+匹配 "ab"、"abab" |
Rspamd特殊正则函数
Rspamd提供专用的正则处理模块rspamd_regexp:
local re = rspamd_regexp.create('^From: .*@example\\.com$') if re:match(header_value) then -- 匹配处理逻辑 end实战案例:常见垃圾邮件模式过滤
1. 钓鱼邮件检测
匹配伪装成银行的发件人:
-- 在multimap模块中配置 local rule = { type = 'from', filter = 'email:domain', regexp = true, map = '/etc/rspamd/phishing_domains.re', symbol = 'PHISHING_DOMAIN', score = 7.5 }对应的正则文件phishing_domains.re内容:
bank-[0-9]{4}\.example\.com .*paypal.*\.xyz2. 恶意URL识别
在local.d/url_filter.lua中添加:
rspamd_config.URLC_HEURISTIC = { callback = function(task) local urls = task:get_urls() local re = rspamd_regexp.create('https?://[^/]+\\.tk/') for _, url in ipairs(urls) do if re:match(url:get_text()) then return 1.0 end end return 0 end, score = 4.0, description = '检测可疑.tk域名URL' }3. 垃圾邮件主题过滤
在rules/subject_checks.lua中添加:
rspamd_config:register_symbol({ name = 'SPAM_SUBJECT', score = 3.0, callback = function(task) local subject = task:get_header('Subject') if not subject then return false end local patterns = { '^【.*】$', -- 匹配【】包围的主题 '^赢取.*$', -- 匹配以"赢取"开头的主题 '.*优惠.*$' -- 匹配包含"优惠"的主题 } for _, pat in ipairs(patterns) do local re = rspamd_regexp.create(pat) if re:match(subject) then return true end end return false end })规则调试与优化
测试正则表达式
使用rspamc工具测试规则:
rspamc -d example.com --mime < test_email.eml性能优化建议
- 限制匹配范围:使用
^和$锚定正则表达式 - 避免贪婪匹配:优先使用
*?非贪婪模式 - 预编译正则:使用
rspamd_regexp.create_cached()缓存常用表达式 - 规则分组:将相似规则合并,减少重复匹配
规则评分调整
在conf/scores.d/目录下创建评分文件,如conf/scores.d/custom_group.conf:
PHISHING_DOMAIN 7.5 SPAM_SUBJECT 3.0 URLC_HEURISTIC 4.0高级应用:复合规则与元规则
使用逻辑表达式组合规则
在src/plugins/lua/multimap.lua中支持通过表达式组合多个规则:
-- 元规则示例 sa_meta_rules['HIGHLY_SUSPICIOUS'] = { symbol = 'HIGHLY_SUSPICIOUS', expression = 'PHISHING_DOMAIN + (SPAM_SUBJECT * 2) + URLC_HEURISTIC >= 10', score = 15.0 }动态评分调整
根据发件人信誉动态调整评分:
callback = function(task) local from_ip = task:get_from_ip() local reputation = task:get_mempool():get_variable('reputation') or 0 if re:match(subject) then local score = 5.0 -- 如果发件人信誉良好,降低评分 if reputation > 0.8 then score = score * 0.3 end return score end return 0 end规则管理最佳实践
规则版本控制
建议将自定义规则纳入版本控制:
git add local.d/url_filter.lua conf/scores.d/custom_group.conf git commit -m "Add phishing detection rules"定期更新规则
建立规则更新机制,定期从可信来源更新正则表达式库:
# 示例:定期更新钓鱼域名列表 curl https://example.com/phishing_domains.re -o /etc/rspamd/phishing_domains.re systemctl reload rspamd监控规则效果
通过Rspamd Web界面监控规则命中情况,路径通常为http://localhost:11334,在界面中可以查看各规则的命中次数和评分贡献,帮助优化规则。
通过本文介绍的方法,您可以构建适应自身需求的垃圾邮件过滤规则。记住,有效的规则集需要不断调整和优化,建议定期分析误判案例并更新正则表达式模式。
【免费下载链接】rspamdRapid spam filtering system.项目地址: https://gitcode.com/gh_mirrors/rs/rspamd
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考