Frage zu Spamassassin

K

karlchen

Jungspund
Hallo,

ich habe CentOs mit Postfix und SpamAssassin version 3.2.5 mit Clamav am laufen.
Jetzt ist mir im Log folgendes aufgefallen das eine Email als Spam erkannt wird sie aber trotzdem weitergeleitet wird.

Hat jemand eine Idee woran das liegen könnte?

Code:
Oct 20 14:18:53 srv-mail postfix/smtpd[26981]: F332F1B48094: client=unknown[78.97.174.217]
Oct 20 14:18:54 srv-mail postfix/cleanup[26996]: F332F1B48094: hold: header Received: from [78.97.174.217] (unknown [78.97.174.217])??by postfix.***.com (Postfix) with ESMTP id F332F1B48094??for <***@***.com>; Tue, 20 Oct 2009 14:18:53 +0200 (CEST) from unknown[78.97.174.217]; from=<***@***.com> to=<***@***.com> proto=ESMTP helo=<[78.97.174.217]>
Oct 20 14:18:54 srv-mail postfix/cleanup[26996]: F332F1B48094: warning: header Subject: New themes available from unknown[78.97.174.217]; from=<***@***.com> to=<***@***.com> proto=ESMTP helo=<[78.97.174.217]>
Oct 20 14:18:54 srv-mail postfix/cleanup[26996]: F332F1B48094: message-id=<20091020121853.F332F1B48094@postfix.***.com>
Oct 20 14:18:54 srv-mail postfix/smtpd[26981]: disconnect from unknown[78.97.174.217]
Oct 20 14:18:54 srv-mail MailScanner[21252]: New Batch: Found 5 messages waiting 
Oct 20 14:18:54 srv-mail MailScanner[21252]: New Batch: Scanning 1 messages, 12132 bytes 
Oct 20 14:18:54 srv-mail MailScanner[21252]: Spam Checks: Starting 
Oct 20 14:18:55 srv-mail postfix/smtpd[26270]: disconnect from unknown[187.77.244.20]
Oct 20 14:18:55 srv-mail MailScanner[21252]: Message F332F1B48094.61224 from 78.97.174.217 (***@***.com) to ***.com is spam, SpamAssassin (not cached, score=9.5, required 6, IXHASH 2.50, LOGINHASH 4.50, LOGINHASH2 2.50) 
Oct 20 14:18:55 srv-mail MailScanner[21252]: Spam Checks: Found 1 spam messages 
Oct 20 14:18:55 srv-mail MailScanner[21252]: Spam Actions: message F332F1B48094.61224 actions are deliver,header 
Oct 20 14:18:55 srv-mail MailScanner[21252]: Virus and Content Scanning: Starting 
Oct 20 14:19:00 srv-mail MailScanner[21252]: Requeue: F332F1B48094.61224 to 2484F1B48095 
Oct 20 14:19:00 srv-mail MailScanner[21252]: Uninfected: Delivered 1 messages 
Oct 20 14:19:00 srv-mail postfix/qmgr[21187]: 2484F1B48095: from=<***@***.com>, size=11980, nrcpt=1 (queue active)
Oct 20 14:19:00 srv-mail postfix/smtp[26779]: 2484F1B48095: to=<***@***.com>, relay=192.168.168.2[192.168.168.2]:25, delay=6.8, delays=6.7/0/0.05/0.03, dsn=2.0.0, status=sent (250 Ok Message queued)
Oct 20 14:19:00 srv-mail postfix/qmgr[21187]: 2484F1B48095: removed

Dann habe ich noch eine Frage:
In der Datei
Code:
/etc/mail/spamassassin/local.cf
habe ich nur das stehen:
Code:
# These values can be overridden by editing ~/.spamassassin/user_prefs.cf
# (see spamassassin(1) for details)

# These should be safe assumptions and allow for simple visual sifting
# without risking lost emails.

required_hits 5
report_safe 0
rewrite_header Subject [SPAM]

Die Datei ~/.spamassassin/user_prefs.cf existiert nicht.
Statt dessen habe ich diese Datei /etc/MailScanner/spam.assassin.prefs.conf

Ist das alles so richtig?

Vielen Dank für eine Antwort.

Grüße
 
Jetzt ist mir im Log folgendes aufgefallen das eine Email als Spam erkannt wird sie aber trotzdem weitergeleitet wird.

[... snip ... ]

Code:
# These values can be overridden by editing ~/.spamassassin/user_prefs.cf
# (see spamassassin(1) for details)

# These should be safe assumptions and allow for simple visual sifting
# without risking lost emails.

required_hits 5
report_safe 0
[color=red]rewrite_header Subject [SPAM][/color]
Hallo,

gleich mal ne Rückfrage... klappt das mit dem Einfügen von [SPAM] in den Subject-Header einer solchen Mail denn? Was da steht, sollte normalerweise folgendes bewirken: Wenn der Tag-Level über 5 steigt (in deinem Beispiel war er > 9!), wird Subj. mit der Bemerkung [SPAM] verziert. In deinem Mailprogramm kannst du danach filtern und entscheiden, ob du die Mail gleich vergessen oder lieber in einem Spam-Ordner ablegen möchtest.

Die Datei ~/.spamassassin/user_prefs.cf existiert nicht.
Statt dessen habe ich diese Datei /etc/MailScanner/spam.assassin.prefs.conf
Das ist nicht wirklich "statt dessen", weil die Dateien in /etc/...ja global sind, also wie ein dort konfiguriertes Programm sich verhält, wenn es *keine* user-spezifischen Einstellungen gibt. Gäbe es welche in der genannten Datei, könntest du damit einstellen, daß du beispielsweise einen anderen Tag-Level möchtest, höher oder niedriger als 5 in dem Falle.

Für jeden, der bei sich keine Datei hat, die etwas anderes vorschreibt, gilt halt die Standardkonfiguration.

Ist das alles so richtig?
Na ja, je nach dem, was du haben möchtest. Was soll denn mit getaggter Mail passieren? Viele Leute wollen ja gerade eine Zustelleung, allerdings möglichst markiert, damit sie die aus dem täglichen Verkehr ziehen, aber trotzdem später noch mal nach "false positives" checken können.
 
Hallo,

gleich mal ne Rückfrage... klappt das mit dem Einfügen von [SPAM] in den Subject-Header einer solchen Mail denn? Was da steht, sollte normalerweise folgendes bewirken: Wenn der Tag-Level über 5 steigt (in deinem Beispiel war er > 9!), wird Subj. mit der Bemerkung [SPAM] verziert. In deinem Mailprogramm kannst du danach filtern und entscheiden, ob du die Mail gleich vergessen oder lieber in einem Spam-Ordner ablegen möchtest.


Das ist nicht wirklich "statt dessen", weil die Dateien in /etc/...ja global sind, also wie ein dort konfiguriertes Programm sich verhält, wenn es *keine* user-spezifischen Einstellungen gibt. Gäbe es welche in der genannten Datei, könntest du damit einstellen, daß du beispielsweise einen anderen Tag-Level möchtest, höher oder niedriger als 5 in dem Falle.

Für jeden, der bei sich keine Datei hat, die etwas anderes vorschreibt, gilt halt die Standardkonfiguration.


Na ja, je nach dem, was du haben möchtest. Was soll denn mit getaggter Mail passieren? Viele Leute wollen ja gerade eine Zustelleung, allerdings möglichst markiert, damit sie die aus dem täglichen Verkehr ziehen, aber trotzdem später noch mal nach "false positives" checken können.

Hallo und danke für Deine Antwort.

Eigentlich funktioniert das nicht wirklich, da in der MailScanner.conf
das steht Spam Subject Text = {Spam?} :think:

Kann denn jemand was zu der Spamemail sagen, warum die weitergeleitet wurde?

Danke und Grüße
 
also ich benutze spamassasin nur in combi mit procmail und in der procmail_conf stelle ich ein was mit den spammails passieren soll.
Welchen delivery agent benutzt du denn ? dovecot ?
 
also ich benutze spamassasin nur in combi mit procmail und in der procmail_conf stelle ich ein was mit den spammails passieren soll.
Welchen delivery agent benutzt du denn ? dovecot ?

was übrigens auch gut ist: Die Dreierkombination spamassassin, Virenscanner und amavisd-new (nicht zu verwechseln mit dem alten AMaVis!), wobei der spamd wegfällt und dafür ein amavisd läuft, der aber den gesamten Rest kontrolliert, also in einer einzigen Konfig-Datei das Verhalten von spamassassin und 3rd-party Virenscannern übernimmt.

[Edit]
Jedoch hier ein Vergleich zu procmail:
http://amavisd.de.postfix.org/ schrieb:
It is normally positioned at or near a central mailer, not necessarily where users' mailboxes and final delivery takes place. If looking for a per-user and low-message-rate solution to be placed at the final stage of mail delivery (e.g. called from procmail or in place of a local delivery agent), there may be other solutions more appropriate.
[/Edit]

Dabei werden aber trotzdem Benutzereinstellungen etwa in solchen spamassassin-Dateien im Home-Verzeichnis beachtet, weil spamassassin das von sich aus tut, nachdem es mit was für Standards auch immer aufgerufen wurde.

Das schöne daran ist, daß man wirklich, wenn's erst mal läuft, nur noch diese eine Datei hat, in der man Grundregeln festlegt, aber auch Ausnahmen definieren kann. Es sind für viele Scanner fertige Aufrufe drin, die amavis sofort anwenden kann, aber wenn man einen Scanner hat, der nicht dabei ist, kann man dessen Aufrufparameter einfach dazu schreiben und gut.

Schön daran ist weiterhin, daß amavis auch solche Scanner für Mailserver einsetzen kann, die nur einen Kommandozeilenaufruf haben und gar keinen eigenen Daemon! Wird ein bekannter Daemon gefunden, wird die Mail einfach an den übergeben. Hat der Scanner keinen Daemon, ruft der von amavis einfach dessen Kommandozeile auf und übergibt die Mail. Diverse Zip-Formate gehen auch, wenn der Scanner das nicht können sollte (das Teil ist in Perl und das kann mit entsprechenden Modulen so ungefähr alles auspacken).

Das macht also in Kombi mit spamassassin jeden beliebigen Virenscanner, der aufrufbar ist, mailserver-fähig. Ich benutze z.B. gerade f-prot für Linux, das in der für privat kostenlosen Variante keinen Daemon hat und keine eigene Mailserver-Komponente (anders als die Corporate-Version).

Bei mir übrigens mit Postfix, das sich mit der Änderung einer einzigen Config-Zeile auf den Port einstellen läßt, auf dem amavis lauscht:
Code:
#Original-Zeile:
smtp   inet     n     -     n     -     -     smtpd

#mit Amavis:
smtp   inet     n     -     n     -     2     smtpd [b][i][color=red]-o content_filter=smtp:[127.0.0.1]:10024[/color][/i][/b]
Dabei fällt die Loopback-IP auf: Man kann damit nämlich Arbeitsteilung machen! Die Scanner müssen gar nicht auf dem Mailserver-Rechner liegen... das habe ich aber nur irgend wo gelesen und noch nie selber probiert.

Das Teil liegt diversen Distributionen bei, muß man nur noch nachjustieren.
 
Zuletzt bearbeitet:
wobei der spamd wegfällt und dafür ein amavisd läuft

Amavisd-new ist lediglich ein Interface zwischen Mailserver und Virenscanner, Spamfilter usw. Der spamd fällt daher nicht unbedingt weg, es sei denn man will die kompletten Spam-Checks tatsächlich dem trägen Amavisd-new überlassen, was zwar möglich ist, aber nicht unbedingt ratsam, da dann eine Menge Handarbeit beim Auftauchen neuen Spams notwendig wird. Im Normalfall reicht Amavisd-new die Mails daher lediglich an den spamd weiter und bekommt sie von diesem "geflagt" zurück, woraufhin sie dann z.B. an den Virenscanner o.a. gehen oder halt zurück an den Mailserver.
 
Amavisd-new ist lediglich ein Interface zwischen Mailserver und Virenscanner, Spamfilter usw. Der spamd fällt daher nicht unbedingt weg, es sei denn man will die kompletten Spam-Checks tatsächlich dem trägen Amavisd-new überlassen,
Richtig, hast Recht. Das ist sehr unglücklich ausgedrückt. *Kann* wegfallen. Wie ich zu Virenscannern schrieb, wo Amavis ja auch Daemons ansprechen kann, wenn ein entsprechender da ist. Das aufrufen eines Scanners per Kommandozeile (s.u.) auch langsamer, aber einer Erwähnung wert, daß das überhaupt damit geht.

was zwar möglich ist, aber nicht unbedingt ratsam, da dann eine Menge Handarbeit beim Auftauchen neuen Spams notwendig wird.
Das verstehe ich nicht wirklich... erstens nutze ich z.B. Internet-Filterlisten (ist umstritten, ich tu's aber und die werden "fremdgepflegt") und zweitens habe ich einen cronjob laufen, der folgendes tut: Unerkannt durchgekommener Spam wird im Mailprogramm manuell in einen Spam-Ordner geschoben. Für den User war's das damit. Der Cronjob kommt regelmäßig vorbei und macht in /home/<..>/Mail ein sa-learn sowohl nach Spam als auch nach Ham (letzteres ist von enormer Bedeutung für die Trefferquote, weil das beim Ranking gegen bekannten Spam aufgewogen wird - einige Leute lassen den nur Spam lernen).

Kann man nach Belieben auch manuell machen, aber dadurch baut jeder User in seinem Verzeichnis eine Spam/Ham-Info für Spamassassin auf, so daß der eine etwas als Spam klassifizieren kann und ein anderer nicht. Bei meiner Variante muß man einfach nur die Mail in seinen Spam-Ordner packen und der Rest passiert von selber. Das läuft seit fast 5 Jahren hier so und war vor 2-3 Jahren schon so effektiv, daß ich den Spamfilter meines damaligen GMX-Accounts übertroffen hatte. Ohne jeden weiteren Aufwand.

Im Normalfall reicht Amavisd-new die Mails daher lediglich an den spamd weiter und bekommt sie von diesem "geflagt" zurück, woraufhin sie dann z.B. an den Virenscanner o.a. gehen oder halt zurück an den Mailserver.
Ich merke das hier natürlich kaum, aber je höher das Mailaufkommen, desto mehr wird sich die Verwendung eines Daemons auswirken, da hast du Recht.

Mir ging's hauptsächlich darum, das Thema Amavis mal anzusprechen, es war neulich im IRC auch Thema und wir wollten es sowieso hier im UB mal vertiefen. Da dachte ich das hier wäre mal der passende Anlaß :)
 

Ähnliche Themen

Mein Server versendet SPAM in Massen

dovecot und postfix Konfiguration Problem

postfix whitelist IP

procmail problem

Samba 4 Gast Zugang unter Ubuntu funktioniert nicht

Zurück
Oben