L'avantage de K9 en tant que programme de filtrage de spams est qu'il ne nécessite pas la mise à jour d'une liste de règles en évolution permanente. Cependant, il y a des cas où l'utilisation de règles simples pour s'adapter au contenu des e-mails peut être utile. Elles s'avèrent particulièrement utiles lors de la première utilisation de K9 et durant sa phase d'apprentissage ou par exemple, si vous désirez toujours classer l'e-mail d'une certaine personne comme non-spam.

Les règles sont composées de deux fichiers textes auxquels on peut accéder, soit par le gestionnaire de fichiers, soit plus simplement en cliquant sur le bouton Editer... pour la liste blanche ou la liste noire dans la page Avancé.

Pour rendre encore plus facile la création des règles de filtrage, vous pouvez cliquer à droite sur n'importe quel message de la fenêtre (par exemple Emails récents) et sélectionner Liste blanche ou Liste noire dans le menu, puis ajouter les règles voulues en appliquant les procédures qui suivent.

Les règles de liste blanche ont toujours la priorité sur les règles de liste noire et quand une occurence se présente, l'e-mail est noté comme le plus haut (100 %) ou le plus bas (0 %) dans le classement des spams suivant que l'occurence a lieu sur la règle de liste noire ou de liste blanche. Une occurence sur une règle de liste l'emportera toujours sur l'analyse statistique (les bases de données de K9 seront toujours mises à jour). Vous pouvez donc être sûrs que les règles que vous créez ne sont pas sujettes à des erreurs d'orientation des messages. Si vous créez des règles dans le fichier de liste noire, il est recommandé de créer également des règles de liste blanche afin d'éviter de marquer l'e-mail d'un ami comme spam.

Il doit aussi être noté que si vous essayez de reclasser un e-mail identifié en utilisant les listes d'occurrences de mots ou expressions, K9 les reclassera ultérieurement, mais si vous donnez un nouveau Score aux e-mails, ils afficheront toujours 0 % ou 100 % suivant la règle de liste. C'est parce que, comme précisé plus haut, les règles de mots/expressions priment sur les règles statistiques. Dans le cas où un e-mail a ainsi mal été identifié, vous devez analyser vos listes de règles et supprimer ou modifier l'expression correspondante de façon que cette erreur ne se reproduise pas.

Une ligne dans la liste blanche se présente comme suit :

La ligne comprend un mot-clé (dans ce cas Subject) suivi par plusieurs modificateurs facultatifs, séparés par un ou plusieurs espaces, et suivi par deux-points. Le mot ou l'expression que vous cherchez se trouve immédiatement après les deux-points. Ne placez pas d'espace après les deux-points à moins qu'ils fassent partie du mot ou l'expression vous cherchez. Si vous avez des doutes concernant la syntaxe d'une règle lors de la mise au point directe du fichier, il est fortement recommandé d'utiliser le menu contextuel en cliquant sur le bouton droit (voir ci-dessus). Dans ce cas, le travail délicat est automatiquement fait pour vous .

Les mots-clés sont utilisés pour limiter la zone réservée de l'e-mail dans laquelle est effectuée la recherche. K9 utilise 6 mots-clés particuliers :

Any

Parcourir la totalité de l'e-mail, y compris l'en-tête.

Header

Parcourir uniquement la section d'en-tête.

Subject

Parcourir uniquement la ligne Subject.

From

Parcourir uniquement la ligne From.

To

Parcourir uniquement la ligne To.

Cc

Parcourir uniquement la ligne Cc.

Bcc

Parcourir uniquement la ligne Bcc.

Body

Parcourir uniquement la corps du message. L'en-tête n'est pas parcouru.

Les modificateurs de mots-clés sont utilisés pour préciser comment est effectuée la recherche.

Contains

Une occurence est établie si le mot/expression est trouvé n'importe où dans la zone de recherche. C'est l'action par défaut.

Equals

Le mot/expression entier doit correspondre à la totalité du secteur de recherche.

Starts

Une occurence est établie si le secteur de recherche débute par le mot/expression donné.

Ends

Une occurence est établie si le secteur de recherche finit par le mot/expression donné.

Matches

Une occurence est établie si l'expression régulière correspond au texte recherché. Voir plus bas comment apprendre à établir et utiliser des expressions régulières.

Case

La casse (majuscules ou minuscules) du mot/expression doit correspondre exactement.

Nocase

La casse (majuscules ou minuscules) du mot/expression ne correspond pas. C'est le modificateur par défaut.

Not

Inverse la logique du test.

Voici quelques exemples.

Any :sildenafil
Recherche des occurrences du mot sildenafil dans tout l'e-mail et quelque soit sa casse.

Body case :CLICK HERE
Recherche des occurrences de l'expression CLICK HERE dans le corps d'e-mail (pas dans l'en-tête) et seulement si la casse est la même. Sachez que la recherche de longues expressions dans le corps d'un e-mail peut ne pas aboutir comme prévu parce que les expressions dans l'e-mail peuvent être interrompues à l'intérieur des paragraphes, ou séparés par des commentaires HTML ou par d'autres éléments de camouflage. En cas de doute, n'ajoutez pas la règle puisque l'e-mail sera très probablement correctement noté par la seule analyse statistique.

From :<big@boss.com>
Recherche des occurrences du mot <big@boss.com> s'il est contenu dans le champ From de l'en-tête d'e-mail.

Header :X-YahooFilteredBulk
Recherche des occurences du mot X-YahooFilteredBulk se trouvant n'importe où dans la section d'en-tête de l'e-mail, quelque soit la casse.

Subject :à
Recherche des occurences de la lettre simple à se trouvant n'importe où dans le champ Subject de l'en-tête d'e-mail.

Header case :FROM: "Microsoft
Recherche des occurences de l'expression FROM: "Microsoft se trouvant n'importe où dans la section d'en-tête de l'email, mais seulement si la casse est identique.

Subject :     
Cette expression n'apparaît pas de façon évidente, mais 5 espaces ont été placés après les deux-points . Cette règle recherche les lignes Subject contenant 5 espaces ou plus - singularité de spams.

Header case not contains :To:
Recherche les occurences des sections d'en-tête de l'e-mail ne contenant pas le mot exact To:

Enfin, vous pouvez ajouter des commentaires aux fichiers de listes de filtres pour rappeler à quoi servent les règles dans le cas où ce n'est pas évident. Pour entrer un commentaire, il suffit de commencer la ligne par le caractère #, comme suit :

# C'est une règle de liste blanche destinée à accepter tous les e-mails de Fred.
From :fred@hotmail.com

Expressions régulières

Dans K9, il est possible d'utiliser des expressions régulières à l'aide d'un 3ème type de bibliothèque gratuite, appelée PCRE. Avant de pouvoir utiliser des expressions régulières avec K9, vous devez télécharger l'empaquetage PCRE et placer le fichier pcre.dll dans le dossier de K9. Pour ce faire, télécharger depuis cette page, l'empaquetage Binaries. Vous pouvez choisir soit la version installation, soit la version ZIP.

http://gnuwin32.sourceforge.net/packages/pcre.htm

Si vous choisissez l'empaquetage ZIP, ouvrez le fichier ZIP extrayez le fichier pcre.dll dans le dossier bin et placez le dans le dossier de K9. K9 est généralement installé dans C:\Program Files\KeirNet\K9.

Si vous choisissez l'empaquetage Setup, lancez le programme pour installer l'empaquetage, puis localisez où a été installé le dossier, C:\Program Files\GnuWin32 par défaut . À cet emplacement, dans le dossier bin, copiez le fichier pcre.dll et placez le dans le dossier de K9. K9 est généralement installé dans C:\Program Files\KeirNet\K9.

Une fois le fichier pcre.dll placé dans le dossier de K9, relancez K9 qui pourra alors utiliser plein d'expressions régulières en plaçant le mot-clé "matches"dans les fichiers de liste blanche et de liste noire. Vous pouvez rapidement vérifier si les "regexes" fonctionnent en cliquant sur le bouton Tester une expression régulière... à la page Avancé.

Une expression régulière, ou simplement "regex" est une "formule" permettant d'identifier un extrait de texte dans une zone de texte. Des expressions régulières peuvent aider lorsqu'il y a plusieurs possibilités pour le type de chaîne de caractères que vous recherchez. Par exemple, si vous désirez savoir si la chaîne de caractères viagra est contenue dans la ligne objet d'un e-mail, vous pouvez entrer la règle de K9

Cette expression représente aussi bien le mot en majuscules que celui en casse mixte puisque le modificateur par défaut fait ignorer la casse. Cependant, qu'en est-il si le sujet de l'e-mail contient le mot V1AGRA (la lettre 'I' a été remplacée d'un chiffre '1') ? Pour vous comme pour moi, il est évident que le mot est toujours censé être VIAGRA mais la règle nous avons créée plus haut ne peut pas le deviner. Nous pourrions ajouter une autre règle pour rechercher le mot "V1AGRA", mais alors peut-être le mot a été orthographié "V1AGR@". Nous en finirions par créer des douzaines de règles pour essayer d'identifier toutes les combinaisons possibles. C'est l'intérêt des expressions régulières ! Un exemple très simple de regex pour trouver la première serait

Ceci signifie simplement rechercher un "v" suivi par un "i" ou par un "1" suivi des lettres "agra".

Il n'est pas dans mes intentions de vous apprendre comment créer des expressions régulières. Certaines peuvent être simples comme la précédente, tandis que d'autres peuvent sembler très compliquées et indigestes. Je vous suggère de rechercher sur Google les expressions régulières pour en savoir davantage.

Si cela vous intéresse, voici une selection d'expressions régulières pour détecter de nombreuses variantes de spams classiques et de pièces jointes nuisibles. Vous pouvez copier et coller cette section de texte directement dans votre fichier blacklist.txt si vous le désirez, en sachant que si vous vous comptez recevoir l'un de ces mots dans vos e-mails non-spams habituels, ils sera placé dans la liste noire. Aussi, utilisez ces expressions avec précautions.

# Fausses pièces jointes Microsoft
Any nocase matches :(?s)From:[\s]*[\S]*\@microsoft.com\r\n.*\[Attachment\!

# Xanax
Any nocase matches :x.{0,2}[a@].{0,2}n.{0,2}[a@].{0,2}x
Any nocase matches :[a@].{0,2}x.{0,2}[a@].{0,2}n.{0,2}x

# Cialis
Any nocase matches :c.{0,2}[\|li1í\!].{0,2}[a@].{0,2}[\|li1í\!].{0,2}[\|li1í\!].{0,2}s

# P*nis
Any nocase matches :p[\W_]{0,2}[e3][\W_]{0,2}[n][\W_]{0,2}[\|li1í\!][\W_]{0,2}[s5]

# Viagra
Any nocase matches :v.{0,2}[\|li1í\!].{0,2}[a@].{0,2}g.{0,2}r.{0,2}[a@]

# Exécutables classiques en pièces jointes 
Body nocase matches :\[Attachment!(exe|bat|cmd|pif|scr|com):

Les expressions régulières sont fournies dans l'empaquetage de la bibliothèque PCRE, qui est un programme source ouvert, écrit par Philip Hazel et protégé par un copyright détenu par l'Université de Cambridge, en Angleterre.
Des informations sur PCRE peuvent être trouvées à l'adresse http://www.pcre.org/
Le code source peut être trouvé à l'adresse ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/