La version de la plateforme de filtrage anti-spam est disponible - SpamAssassin 3.4.5. SpamAssassin met en œuvre une approche intégrée pour décider du blocage : le message est soumis à un certain nombre de contrôles (analyse contextuelle, listes noire et blanche DNSBL, classificateurs bayésiens entraînés, vérification de signature, authentification de l'expéditeur via SPF et DKIM, etc.). Après avoir évalué le message selon différentes méthodes, un certain coefficient de pondération est accumulé. Si le coefficient calculé dépasse un certain seuil, le message est bloqué ou marqué comme spam. Les outils de mise à jour automatique des règles de filtrage sont pris en charge. Le package peut être utilisé sur les systèmes client et serveur. Le code SpamAssassin est écrit en Perl et distribué sous licence Apache.
La nouvelle version corrige une vulnérabilité (CVE-2020-1946) qui permet à un attaquant d'exécuter des commandes système sur le serveur lors de l'installation de règles de blocage non vérifiées obtenues à partir de sources tierces.
Parmi les changements non liés à la sécurité figurent des améliorations du fonctionnement des plugins OLEVBMacro et AskDNS, des améliorations du processus de correspondance des données dans les en-têtes Receiver et EnvelopeFrom, des corrections du schéma SQL userpref, un code amélioré pour les vérifications dans rbl et hashbl, et un solution au problème des balises TxRep.
Il est à noter que le développement de la série 3.4.x a été interrompu et que les modifications ne seront plus apportées à cette branche. Une exception est faite uniquement pour les correctifs de vulnérabilités, dans le cas où la version 3.4.6 sera générée. Toute l'activité des développeurs est concentrée sur le développement de la branche 4.0, qui mettra en œuvre un traitement UTF-8 intégré à part entière.
Source: opennet.ru