mache Mails werden nicht auf Spam untersucht

[Dono]

Hallo!

Manche spams passieren das Mailgateway ohne das es zu Spam-Punkten kommt.
(postfix amavisd-new spamassassin)
scannt man diese direkt mit spamassassin, so gibt es Punkte.

via postfix/amavis
X-Spam-Status: No, score=0.9 required=4.9 tests=SUBJECT_ENCODED_TWICE

spamassassin -L
X-Spam-Status: Yes, score=8.7 required=4.9 tests=HTML_MESSAGE,
HTML_SHORT_COMMENT,MSGID_DOLLARS,RATWARE_MS_HASH,R ATWARE_OUTLOOK_NONAME
autolearn=disabled version=3.1.8

als würde dieser Check fast immer übersprungen oder so ?!?!
do_notify_and_quar: ccat=CleanTag (1,1)

Ich haben nicht mal eine Idee, wo ich anfangen soll zu suchen.

Kennt jemand so ein Verhalten?

 

[LinuxAdmin]

Kennt jemand so ein Verhalten?

Lass mich raten: Diese Mails gehen alle an Postmaster, oder?

Postfix nimmt es mit den RFCs ziemlich genau; in diesem Fall die Vorgabe, dass Mails an Postmaster auf jeden Fall ankommen müssen -- daher finden da dann keinerlei Checks statt.

Ca. 90% des SPAMs, der bei mir ankommt, kommt nur deshalb durch, weil er an Postmaster gerichtet war....

 

[Dono]

Schöne Idee Leider gingen die spams an normale Benutzer. Ich frage mich nur, wann diese Überspringen passiert.
Mail --> postfix --> amavis --> spamassassin/vscan

 

[Marco]

Das könnten dir und uns die "Received by" Header verraten

 

[Dono]

ok, hier der header

MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----_=_NextPart_001_01C88F64.989D3400"
Received: from mail.mailserver.de ([1.1.1.1]) by internerserver with Microsoft (würg) SMTPSVC(6.0.3790.3959); Wed, 26 Mar 2008 18:12:39 +0100
Received: from localhost (localhost [127.0.0.1]) by mail.mailserver.de (mailgateway) with ESMTP id 9BC35303897; Wed, 26 Mar 2008 18:12:39 +0100 (CET)
Received: from mail.mailserver.de ([127.0.0.1]) by localhost (mail.mailserver.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id rZD7bNZxWwyB; Wed, 26 Mar 2008 18:12:36 +0100 (CET)
Received: from [79.146.14.2] (unknown [79.146.14.2]) by mail.mailserver.de (mailgateway) with ESMTP id 5C4E03038A1; Wed, 26 Mar 2008 18:11:45 +0100 (CET)
Received: from [79.146.14.2] by server61.appriver.com; Wed, 26 Mar 2008 18:11:44 +0100
Content-class: urn:content-classes:message
Subject: Adobe Acrobat 8, AutoCAD 2008, Photoshop CS3
Date: Wed, 26 Mar 2008 18:11:44 +0100

 

[Huschi]

Kurze Klärungsfrage:
Wo und wann wird SA eingebunden?
Im Amavis, oder per procmail/Dovecot, oder sonstwo?
Und wie (spamc oder spamassassin)?

huschi.

 

[Dono]

via amavis
amavis[3552]: SpamControl: initializing Mail::SpamAssassin

 

[Huschi]

Hast Du evtl. mehr Info's im Logfiles dazu?
Schon mal den Loglevel im Amavis hoch gesetzt?
User-Spezifische Einstellungen scheiden ja aus, wenn Amavis per Perl-SA scannt.

Aber nochmal ne Klärung:
Die Mails werden dennoch gescannt, also haben einen X-Spam-Header. Lediglich der Score ist nicht ausreichend. Das meinst Du doch, oder?
Weil laut Deinem Titel würden diese Mails gar keinen X-Spam-Header enthalten.

huschi.

 

[Dono]

Hallo!

Den loglevel habe ich hoch gesetzt, aber ohne das ich daran etwas erkennen konnte.
Einen X-Spam header haben die Mails, siehe oben, aber nicht alle. Die Überschrift ist etwas unglücklich, leider. Im Grunde gibt es 2 Arten:

1) wie ganz oben, es gibt weniger Punkte (z.B. RATWARE wird übersprungen)
(Beispiel: ganz oben)

2) mache bekommen gar nichts. Am Anfang steht dann meist: do_notify_and_quar: ccat=CleanTag (1,1) (Beispiel: Mail mit Subject: Adobe Acrobat 8, AutoCAD 2008, Photoshop CS3)
[UPDATE] die gleiche spammail kam heute wieder und bekam von Razor Punkte und wurde somit erkannt.

 

[Dono]

Ich habe auch noch ein anderes Problem. Wie zeige ich mirt den header einer Mail an speicher sie so, dass sie dem Orignal entspricht?
Sehe ich mir den header einer Mail an, so steht bei vielen in Outlook mehr als unter kmail (v). (klingt merktwürdig, ist aber so)

 

[Huschi]

aber ohne das ich daran etwas erkennen konnte.

Und Du meinst nicht, daß wir etwas daran erkennen könnten?

Einen X-Spam header haben die Mails, siehe oben, aber nicht alle.

Was denn jetzt? Haben sie alle X-Spam-Header oder nicht?
Und wenn nicht, wie sieht der vollständige Header dieser Email dann aus?

Wie zeige ich mirt den header einer Mail an

Am Besten geht dies immer noch mit Thunderbird. Einfach [Strg]+U und Du hast den reinen Email-Text auf dem Bildschirm.

huschi.

 

[Dono]

... ich versuche mal, alles was zu einer Mail gehört zusammenzufassen, relativ viel ;-)
mailgrep findent auch nicht alles .

Nochmal: es gibt welche mit und ohne X-Spam header, 2 unterschiedliche Probleme. (siehe oben) Im Moment suche ich nach denen, die einen X-Spam header haben, aber nicht alle Punkte bekommen haben, welche sie vom spamassassin hätten bekommen können.
Ich vergleiche das mal mit Thunderbird. [UPDATE] Thunderbird zeigt das gleiche wie kmail an.

Da ich einiges verändert habe, warte ich mal auf das was da kommt.

[UPDATE] neues aktuelles Beispiel:
required ist unterschiedlich, weil im SA 4.9 und im Amanvis 3.1 steht, klar. Normal gibt es via amavis auf Razor Punkte, aber nicht immer.

via gateway 1.545 Punkte, via spamassasin Aufruf 7.4 Punkte

X-Spam-Status: No, score=1.545 tagged_above=-999 required=3.1
tests=[HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.001,
SUBJECT_ENCODED_TWICE=1.543]

spamassassin direkt:
Inhaltsanalyse im Detail: (7.4 Punkte, 4.9 benötigt)

Pkte Regelname Beschreibung
---- ---------------------- --------------------------------------------------
1.5 SUBJECT_ENCODED_TWICE Subject: MIME encoded twice
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML
1.5 RAZOR2_CF_RANGE_E4_51_100 Razor2 gives engine 4 confidence level
above 50%
[cf: 51]
0.5 RAZOR2_CHECK Gelistet im "Razor2"-System (http://razor.sf.net/)
0.5 RAZOR2_CF_RANGE_51_100 Razor2 Spam-Bewertung liegt zwischen 51 und
100
[cf: 51]
3.1 DCC_CHECK Gelistet im DCC-System (http://rhyolite.com/anti-spam/dcc/)
0.2 DIGEST_MULTIPLE Mehrere Internettests (Razor, DCC, Pyzor, etc.)
treffen zu

Auszug aus dem log: ich bin info@mail.com

Apr 3 11:56:16 mail amavis[30199]: (30199-03-2) ESMTP::10024 /var/spool/amavis/tmp/amavis-20080403T115536-30199: <moistenedtv41@aquageeks.
com> -> <info@mail.com> SIZE=1264 BODY=8BITMIME Received: from mail.mail.de ([127.0.0.1]) by localhost (mail.mail.de [127.0.0.1])
(amavisd-new, port 10024) with ESMTP for <info@mail.com>; Thu, 3 Apr 2008 11:56:16 +0200 (CEST)
Apr 3 11:56:19 mail amavis[30199]: (30199-03-2) spam_scan: score=1.545 tests=[HTML_MESSAGE=0.001,MIME_HTML_ONLY=0.001,SUBJECT_ENCODED_TWIC
E=1.543]
Apr 3 11:56:19 mail amavis[30199]: (30199-03-2) do_notify_and_quar: ccat=CleanTag (1,1) ("1,1":CleanTag, "1":Clean, "0":CatchAll), q_mth=,
qar_mth=
Apr 3 11:56:19 mail amavis[30199]: (30199-03-2) SPAM-TAG, <moistenedtv41@aquageeks.com> -> <info@mail.com>, No, score=1.545 tagged_abov
e=-999 required=3.1 tests=[HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.001, SUBJECT_ENCODED_TWICE=1.543]
Apr 3 11:56:19 mail postfix/smtpd[30380]: connect from localhost[127.0.0.1]
Apr 3 11:56:19 mail amavis[30199]: (30199-03-2) AUTH not needed, user='', MTA offers ''
Apr 3 11:56:19 mail postfix/smtpd[30380]: B5462253009: client=localhost[127.0.0.1]
Apr 3 11:56:19 mail amavis[30199]: (30199-03-2) response to RCPT TO for <info@mail.com>: "250 2.1.5 Ok"
Apr 3 11:56:19 mail postfix/smtpd[28334]: lost connection after DATA from unknown[82.193.155.224]
Apr 3 11:56:19 mail postfix/smtpd[28334]: disconnect from unknown[82.193.155.224]
Apr 3 11:56:19 mail postfix/cleanup[29836]: B5462253009: message-id=<878597420.72438283111918@aquageeks.com>
Apr 3 11:56:19 mail postfix/smtpd[30325]: connect from unknown[78.165.102.241]
Apr 3 11:56:19 mail postfix/qmgr[25999]: B5462253009: from=<moistenedtv41@aquageeks.com>, size=1875, nrcpt=1 (queue active)
Apr 3 11:56:19 mail postfix/smtpd[30380]: disconnect from localhost[127.0.0.1]

 

[Huschi]

Ich schätze dann mal, das SA (als root? gestartet) und SA-Perl/Amavis wohl auf unterschiedliche Konfigurationen zugreifen.

Da aber Amavis einige Parameter aus seiner Conf an SA-Perl weiter gibt, können wir es noch nicht mal annähernd erraten.

huschi.

 

[Dono]

Nein,

ich mache alles mit dem User vscan, der amavid auch.
vscan 11598 26964 0 14:52 ? 00:00:00 amavisd (ch1-11598-01)

es gibt auch nur eine local.cf auf dem Server.

ansonsten amavisd.conf:

$sa_tag_level_deflt = -999.0; # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 3.1;
$sa_kill_level_deflt = 5000.0; # triggers spam evasive actions
$sa_mail_body_size_limit = 1024*1024*1024; # don't waste time on SA if mail is larger
$sa_local_tests_only = 0; # only tests which do not require internet access?
$sa_auto_whitelist = 1; # turn on AWL in SA 2.63 or older (irrelevant
$sa_timeout = 120;
$sa_spam_modifies_subj = 0;

MOD: Bitte Code Tags verwenden.

 

[Dono]

Ja, OK.

vielleicht ist es auch nur einfach ein bug im amavisd

 

[Dono]

Merkwürdig: die gleiche Mail (So. 6.4 19:32) Betreff: so right

mit Outlook betrachtet:

discontinuing traditional activity might be - or if it will

C A 1N A D/0AN     P 2 7H A RM A 5CY 

V/A \G _RA - $1.47 
C 8/ A L / S - $2.29
S3 O M A - $0.64
L E7 V / T R A - $3.60
FEMALE V-AGR -A - $1.53
U 0 L T 5R A M - $1.39
167 Items on Sale Today.

Internet lowest prices

global village, how is the arts the groundwork of culture and

mit thunderbird betrachtet:

Hostage: We as a group do most importantly want to beseech
that simulators of this sort need detectors to sense body motions
course I have been able to "go" all around the world. I have

der Header betrachtet mit thunderbird

X-Spam-Score: 1.59
X-Spam-Level: *
X-Spam-Status: No, score=1.59 tagged_above=-999 required=3.1
	tests=[HTML_FONT_BIG=0.256, HTML_MESSAGE=0.001, SPF_FAIL=1.333]
Received: from mail.mail.com ([127.0.0.1])
	by localhost (mail.mail.com [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id tfievL-sich7 for <info@mail.com>;
	Sun,  6 Apr 2008 19:30:38 +0200 (CEST)
Received: from 18981002100.user.veloxzone.com.br (unknown [189.81.2.100])
	by mail.mail.com (mailgateway) with SMTP id DA08F252FD8
	for <info@mail.com>; Sun,  6 Apr 2008 19:30:36 +0200 (CEST)
Received: from signe3595b03e3 ([70.161.194.50] helo=signe3595b03e3)
        by 640251bdfarmtek.com (8.12.8/8.12.8) with SMTP id 670437291E82
        for <X-Spam-Score: 1.59
X-Spam-Level: *
X-Spam-Status: No, score=1.59 tagged_above=-999 required=3.1
	tests=[HTML_FONT_BIG=0.256, HTML_MESSAGE=0.001, SPF_FAIL=1.333]
Received: from mail.mail.com ([127.0.0.1])
	by localhost (mail.mail.com [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id tfievL-sich7 for <info@mail.com>;
	Sun,  6 Apr 2008 19:30:38 +0200 (CEST)
Received: from 18981002100.user.veloxzone.com.br (unknown [189.81.2.100])
	by mail.mail.com (mailgateway) with SMTP id DA08F252FD8
	for <info@mail.com>; Sun,  6 Apr 2008 19:30:36 +0200 (CEST)
Received: from signe3595b03e3 ([70.161.194.50] helo=signe3595b03e3)
        by 640251bdfarmtek.com (8.12.8/8.12.8) with SMTP id 670437291E82
        for <info@mail.com>; Sun, 6 Apr 2008 14:31:50 -0300
Message-ID: <001701c897f2$f3de4890$06930444@signe3595b03e3>
From: Lynn <uicon@farmtek.com>
To: info@mail.com
Subject: so right
Date: Sun, 6 Apr 2008 14:31:50 -0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
  boundary="----=_NextPart_000_0014_01C897F2.F3DE4890"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.1081
X-Mimeole: Produced By Microsoft MimeOLE V6.00.2462.2869
Return-Path: uicon@farmtek.com
X-OriginalArrivalTime: 06 Apr 2008 17:30:45.0725 (UTC) FILETIME=[F24CF0D0:01C8980B]
X-Length: 3303
X-UID: 1314

This is a multi-part message in MIME format.

------=_NextPart_000_0014_01C897F2.F3DE4890
Content-Type: text/plain;
	charset="windows-1251"
Content-Transfer-Encoding: quoted-printable


Hostage: We as a group do most importantly want to beseech
that simulators of this sort need detectors to sense body motions
course I have been able to "go" all around the world. I have

------=_NextPart_000_0014_01C897F2.F3DE4890
Content-Type: text/html;
	charset="windows-1251"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Dwindows-125=
1">
<META content=3D"MSHTML 6.00.2462.0000" name=3DGENERATOR>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV>discontinuing traditional activity might be - or if it will</DIV><BR>
<P><DIV>C A 1N A D/0AN &nbsp;&nbsp;&nbsp; P 2 7H A RM A 5CY </DIV></P>
<DIV>V/A \G _RA - $1.47 </DIV>
<DIV>C 8/ A L / S - $2.29</DIV>
<DIV>S3 O M A - $0.64</DIV>
<DIV>L E7 V / T R A - $3.60</DIV>
<DIV>FEMALE V-AGR -A - $1.53</DIV>
<DIV>U 0 L T 5R A M - $1.39</DIV>
<DIV>167  Items on Sale Today.</DIV>
<P><DIV><A href=3D"http://geocities.com/devonweeks75"><b><font size=3D4>Int=
ernet lowest prices</font></b></A></DIV></P>
<DIV>global village, how is the arts the groundwork of culture and</DIV>

</BODY></HTML>

------=_NextPart_000_0014_01C897F2.F3DE4890-->

****

andere Mail, bei der der scan nicht funktionierte;
X-Virus-Scanned: amavisd-new at mymailserver.com
X-Spam-Score: 0.257
X-Spam-Level: 
X-Spam-Status: No, score=0.257 tagged_above=-999 required=3.1
	tests=[HTML_FONT_BIG=0.256, HTML_MESSAGE=0.001

schon eigenartig. Die Mail wird unterschiedlich interpretiert. spamassassin direkt gibt der mail 7.0 Punkte.

Im log steht nur, dass die Mail von postfix angenommen wurde und amavis sagt dann: X-Spam = No
Möglicherweise parst amavis falsch ?!?! Kann man eigentlich amavis von der Kommandozeile wie spamassassin aufrufen?

 

[Huschi]

Die Mail wird unterschiedlich interpretiert.

Das liegt an den unterschiedlichen Preferenzen von Outlook und Thunderbird.

spamassassin direkt gibt der mail 7.0 Punkte.

Ich denke hier sind der "mündlichen Fernwartung" mal wieder Grenzen gesetzt.

Möglicherweise parst amavis falsch ?!?!

...oder eben mit anderen Ausgangsparametern.

Kann man eigentlich amavis von der Kommandozeile wie spamassassin aufrufen?

Ja, per Telnet auf den Port connecten und dann die ganze Email rein pipen.

huschi.

 

[Dono]

telnet auf den port ist ja nicht schwer, aber wie soll ich die Mail pipen? Die Mail habe ich im ASCII Format.

 

[Huschi]

Cut&Paste?
Oder per netcat?
(Wichtig: erst die std. SMTP-Commandos eintragen.)

huschi.