Frage zu Spamassassin

Dieses Thema im Forum "Web- & File-Services" wurde erstellt von karlchen, 20.10.2009.

  1. #1 karlchen, 20.10.2009
    karlchen

    karlchen Jungspund

    Dabei seit:
    04.08.2009
    Beiträge:
    18
    Zustimmungen:
    0
    Hallo,

    ich habe CentOs mit Postfix und SpamAssassin version 3.2.5 mit Clamav am laufen.
    Jetzt ist mir im Log folgendes aufgefallen das eine Email als Spam erkannt wird sie aber trotzdem weitergeleitet wird.

    Hat jemand eine Idee woran das liegen könnte?

    Code:
    Oct 20 14:18:53 srv-mail postfix/smtpd[26981]: F332F1B48094: client=unknown[78.97.174.217]
    Oct 20 14:18:54 srv-mail postfix/cleanup[26996]: F332F1B48094: hold: header Received: from [78.97.174.217] (unknown [78.97.174.217])??by postfix.***.com (Postfix) with ESMTP id F332F1B48094??for <***@***.com>; Tue, 20 Oct 2009 14:18:53 +0200 (CEST) from unknown[78.97.174.217]; from=<***@***.com> to=<***@***.com> proto=ESMTP helo=<[78.97.174.217]>
    Oct 20 14:18:54 srv-mail postfix/cleanup[26996]: F332F1B48094: warning: header Subject: New themes available from unknown[78.97.174.217]; from=<***@***.com> to=<***@***.com> proto=ESMTP helo=<[78.97.174.217]>
    Oct 20 14:18:54 srv-mail postfix/cleanup[26996]: F332F1B48094: message-id=<20091020121853.F332F1B48094@postfix.***.com>
    Oct 20 14:18:54 srv-mail postfix/smtpd[26981]: disconnect from unknown[78.97.174.217]
    Oct 20 14:18:54 srv-mail MailScanner[21252]: New Batch: Found 5 messages waiting 
    Oct 20 14:18:54 srv-mail MailScanner[21252]: New Batch: Scanning 1 messages, 12132 bytes 
    Oct 20 14:18:54 srv-mail MailScanner[21252]: Spam Checks: Starting 
    Oct 20 14:18:55 srv-mail postfix/smtpd[26270]: disconnect from unknown[187.77.244.20]
    Oct 20 14:18:55 srv-mail MailScanner[21252]: Message F332F1B48094.61224 from 78.97.174.217 (***@***.com) to ***.com is spam, SpamAssassin (not cached, score=9.5, required 6, IXHASH 2.50, LOGINHASH 4.50, LOGINHASH2 2.50) 
    Oct 20 14:18:55 srv-mail MailScanner[21252]: Spam Checks: Found 1 spam messages 
    Oct 20 14:18:55 srv-mail MailScanner[21252]: Spam Actions: message F332F1B48094.61224 actions are deliver,header 
    Oct 20 14:18:55 srv-mail MailScanner[21252]: Virus and Content Scanning: Starting 
    Oct 20 14:19:00 srv-mail MailScanner[21252]: Requeue: F332F1B48094.61224 to 2484F1B48095 
    Oct 20 14:19:00 srv-mail MailScanner[21252]: Uninfected: Delivered 1 messages 
    Oct 20 14:19:00 srv-mail postfix/qmgr[21187]: 2484F1B48095: from=<***@***.com>, size=11980, nrcpt=1 (queue active)
    Oct 20 14:19:00 srv-mail postfix/smtp[26779]: 2484F1B48095: to=<***@***.com>, relay=192.168.168.2[192.168.168.2]:25, delay=6.8, delays=6.7/0/0.05/0.03, dsn=2.0.0, status=sent (250 Ok Message queued)
    Oct 20 14:19:00 srv-mail postfix/qmgr[21187]: 2484F1B48095: removed
    Dann habe ich noch eine Frage:
    In der Datei
    Code:
    /etc/mail/spamassassin/local.cf
    habe ich nur das stehen:
    Code:
    # These values can be overridden by editing ~/.spamassassin/user_prefs.cf
    # (see spamassassin(1) for details)
    
    # These should be safe assumptions and allow for simple visual sifting
    # without risking lost emails.
    
    required_hits 5
    report_safe 0
    rewrite_header Subject [SPAM]
    
    Die Datei ~/.spamassassin/user_prefs.cf existiert nicht.
    Statt dessen habe ich diese Datei /etc/MailScanner/spam.assassin.prefs.conf

    Ist das alles so richtig?

    Vielen Dank für eine Antwort.

    Grüße
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Hallo,

    gleich mal ne Rückfrage... klappt das mit dem Einfügen von [SPAM] in den Subject-Header einer solchen Mail denn? Was da steht, sollte normalerweise folgendes bewirken: Wenn der Tag-Level über 5 steigt (in deinem Beispiel war er > 9!), wird Subj. mit der Bemerkung [SPAM] verziert. In deinem Mailprogramm kannst du danach filtern und entscheiden, ob du die Mail gleich vergessen oder lieber in einem Spam-Ordner ablegen möchtest.

    Das ist nicht wirklich "statt dessen", weil die Dateien in /etc/...ja global sind, also wie ein dort konfiguriertes Programm sich verhält, wenn es *keine* user-spezifischen Einstellungen gibt. Gäbe es welche in der genannten Datei, könntest du damit einstellen, daß du beispielsweise einen anderen Tag-Level möchtest, höher oder niedriger als 5 in dem Falle.

    Für jeden, der bei sich keine Datei hat, die etwas anderes vorschreibt, gilt halt die Standardkonfiguration.

    Na ja, je nach dem, was du haben möchtest. Was soll denn mit getaggter Mail passieren? Viele Leute wollen ja gerade eine Zustelleung, allerdings möglichst markiert, damit sie die aus dem täglichen Verkehr ziehen, aber trotzdem später noch mal nach "false positives" checken können.
     
  4. #3 karlchen, 21.10.2009
    karlchen

    karlchen Jungspund

    Dabei seit:
    04.08.2009
    Beiträge:
    18
    Zustimmungen:
    0
    Hallo und danke für Deine Antwort.

    Eigentlich funktioniert das nicht wirklich, da in der MailScanner.conf
    das steht Spam Subject Text = {Spam?} :think:

    Kann denn jemand was zu der Spamemail sagen, warum die weitergeleitet wurde?

    Danke und Grüße
     
  5. foexle

    foexle Kaiser

    Dabei seit:
    02.05.2007
    Beiträge:
    1.104
    Zustimmungen:
    0
    Ort:
    Saarbrücken
    also ich benutze spamassasin nur in combi mit procmail und in der procmail_conf stelle ich ein was mit den spammails passieren soll.
    Welchen delivery agent benutzt du denn ? dovecot ?
     
  6. #5 Jabo, 21.10.2009
    Zuletzt bearbeitet: 21.10.2009
    Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    was übrigens auch gut ist: Die Dreierkombination spamassassin, Virenscanner und amavisd-new (nicht zu verwechseln mit dem alten AMaVis!), wobei der spamd wegfällt und dafür ein amavisd läuft, der aber den gesamten Rest kontrolliert, also in einer einzigen Konfig-Datei das Verhalten von spamassassin und 3rd-party Virenscannern übernimmt.

    [Edit]
    Jedoch hier ein Vergleich zu procmail:
    [/Edit]

    Dabei werden aber trotzdem Benutzereinstellungen etwa in solchen spamassassin-Dateien im Home-Verzeichnis beachtet, weil spamassassin das von sich aus tut, nachdem es mit was für Standards auch immer aufgerufen wurde.

    Das schöne daran ist, daß man wirklich, wenn's erst mal läuft, nur noch diese eine Datei hat, in der man Grundregeln festlegt, aber auch Ausnahmen definieren kann. Es sind für viele Scanner fertige Aufrufe drin, die amavis sofort anwenden kann, aber wenn man einen Scanner hat, der nicht dabei ist, kann man dessen Aufrufparameter einfach dazu schreiben und gut.

    Schön daran ist weiterhin, daß amavis auch solche Scanner für Mailserver einsetzen kann, die nur einen Kommandozeilenaufruf haben und gar keinen eigenen Daemon! Wird ein bekannter Daemon gefunden, wird die Mail einfach an den übergeben. Hat der Scanner keinen Daemon, ruft der von amavis einfach dessen Kommandozeile auf und übergibt die Mail. Diverse Zip-Formate gehen auch, wenn der Scanner das nicht können sollte (das Teil ist in Perl und das kann mit entsprechenden Modulen so ungefähr alles auspacken).

    Das macht also in Kombi mit spamassassin jeden beliebigen Virenscanner, der aufrufbar ist, mailserver-fähig. Ich benutze z.B. gerade f-prot für Linux, das in der für privat kostenlosen Variante keinen Daemon hat und keine eigene Mailserver-Komponente (anders als die Corporate-Version).

    Bei mir übrigens mit Postfix, das sich mit der Änderung einer einzigen Config-Zeile auf den Port einstellen läßt, auf dem amavis lauscht:
    Code:
    #Original-Zeile:
    smtp   inet     n     -     n     -     -     smtpd
    
    #mit Amavis:
    smtp   inet     n     -     n     -     2     smtpd [b][i][color=red]-o content_filter=smtp:[127.0.0.1]:10024[/color][/i][/b]
    
    Dabei fällt die Loopback-IP auf: Man kann damit nämlich Arbeitsteilung machen! Die Scanner müssen gar nicht auf dem Mailserver-Rechner liegen... das habe ich aber nur irgend wo gelesen und noch nie selber probiert.

    Das Teil liegt diversen Distributionen bei, muß man nur noch nachjustieren.
     
  7. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  8. #6 bitmuncher, 21.10.2009
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Amavisd-new ist lediglich ein Interface zwischen Mailserver und Virenscanner, Spamfilter usw. Der spamd fällt daher nicht unbedingt weg, es sei denn man will die kompletten Spam-Checks tatsächlich dem trägen Amavisd-new überlassen, was zwar möglich ist, aber nicht unbedingt ratsam, da dann eine Menge Handarbeit beim Auftauchen neuen Spams notwendig wird. Im Normalfall reicht Amavisd-new die Mails daher lediglich an den spamd weiter und bekommt sie von diesem "geflagt" zurück, woraufhin sie dann z.B. an den Virenscanner o.a. gehen oder halt zurück an den Mailserver.
     
  9. Jabo

    Jabo Aufgabe ohne Minister

    Dabei seit:
    12.10.2006
    Beiträge:
    1.322
    Zustimmungen:
    0
    Ort:
    Hamburg
    Richtig, hast Recht. Das ist sehr unglücklich ausgedrückt. *Kann* wegfallen. Wie ich zu Virenscannern schrieb, wo Amavis ja auch Daemons ansprechen kann, wenn ein entsprechender da ist. Das aufrufen eines Scanners per Kommandozeile (s.u.) auch langsamer, aber einer Erwähnung wert, daß das überhaupt damit geht.

    Das verstehe ich nicht wirklich... erstens nutze ich z.B. Internet-Filterlisten (ist umstritten, ich tu's aber und die werden "fremdgepflegt") und zweitens habe ich einen cronjob laufen, der folgendes tut: Unerkannt durchgekommener Spam wird im Mailprogramm manuell in einen Spam-Ordner geschoben. Für den User war's das damit. Der Cronjob kommt regelmäßig vorbei und macht in /home/<..>/Mail ein sa-learn sowohl nach Spam als auch nach Ham (letzteres ist von enormer Bedeutung für die Trefferquote, weil das beim Ranking gegen bekannten Spam aufgewogen wird - einige Leute lassen den nur Spam lernen).

    Kann man nach Belieben auch manuell machen, aber dadurch baut jeder User in seinem Verzeichnis eine Spam/Ham-Info für Spamassassin auf, so daß der eine etwas als Spam klassifizieren kann und ein anderer nicht. Bei meiner Variante muß man einfach nur die Mail in seinen Spam-Ordner packen und der Rest passiert von selber. Das läuft seit fast 5 Jahren hier so und war vor 2-3 Jahren schon so effektiv, daß ich den Spamfilter meines damaligen GMX-Accounts übertroffen hatte. Ohne jeden weiteren Aufwand.

    Ich merke das hier natürlich kaum, aber je höher das Mailaufkommen, desto mehr wird sich die Verwendung eines Daemons auswirken, da hast du Recht.

    Mir ging's hauptsächlich darum, das Thema Amavis mal anzusprechen, es war neulich im IRC auch Thema und wir wollten es sowieso hier im UB mal vertiefen. Da dachte ich das hier wäre mal der passende Anlaß :)
     
Thema:

Frage zu Spamassassin

Die Seite wird geladen...

Frage zu Spamassassin - Ähnliche Themen

  1. Anfänger Frage: Welchen Standard wählen

    Anfänger Frage: Welchen Standard wählen: Hallo, früher wußte ich nie wie ich anfangen muß. Heute weiß ich einfach anfangen und mir alles selbst beibringen. Was ich mich aber noch...
  2. Sicherheitsfragen zu PHP-Anwendungen auf der Webseite

    Sicherheitsfragen zu PHP-Anwendungen auf der Webseite: Hallo miteinander, habe eine kleine Webseite (4 Jahre statisch, keine Sicherheitsprobleme bisher) und ich frage mich, wie sicher die Verwendung...
  3. Fragen zu find

    Fragen zu find: Hallo an alle, Ich bin ziemlich neu in der Linux Welt und habe paar frage Ich soll alle Datein im system finden die vor weniger als drei Tagen...
  4. Frage zu QNX - habe login nie gefunden

    Frage zu QNX - habe login nie gefunden: ′
  5. Kleine Frage (Solaris ein Cloud Betriebsystem?)

    Kleine Frage (Solaris ein Cloud Betriebsystem?): ′