Mails von eigener Domain als SPAM erkannt

[herbert007]

Hi Leute,

folgendes Problem: Seit ca. einem halben Jahr läuft mein Postfix auf Debian 3.1 ohne Probleme. Es verwaltet sehr viele Domains und ich hatte nie Ärger.

Ich bekomme seit heute, immer wenn ich eine eMail von einer bestimmten Adresse "info@mein-server.de" -> "mail@meine-zweite-domain.de" bzw. an irgendeine Domains des gleichen Postfix sende, 7 Spamasssassin SPAM Punkte

X-Spam-Status: Yes, hits=7.0 tagged_above=-1000.0 required=5.0 tests=AWL,

            BAYES_50, HTML_90_100, HTML_MESSAGE, MSGID_FROM_MTA_ID, RCVD_IN_DSBL,
            RCVD_IN_NJABL_DUL, RCVD_IN_SORBS_DUL
X-Spam-Level: *******

Mein Server ist KEIN open relay und steht auch nicht in der
Blacklist von DSBL.

Versand per SMTP und SMTP Authentifizierung via Outlook (von dyn. IP)

Weitere Infos
-------------
SpamAssassin version 3.0.3

Frage: Bei "tests= xxxxx" beudetet dies nur, daß diese Tests durchgeführt wurden, oder daß diese Tests negative Punkte beigesteuert haben?
Kann ich herausfinden, wie stark die einzelnen Tests das Gesamtergebnis tatsächlich beeinflusst haben?

 

[Huschi]

Die Aufzählung von "tests" liefert alle Tests die angeschlagen haben.
Hier ist z.B. der Test "AWL" (Autowhitelist") ein Test der keine Punkte sondern einen Faktor vergibt.

Aber Egal, denn ich glaube Dein SpamAssassin erkennt nicht, daß die Email direkt an den Server geliefert wurde. Das kann mehrere Gründe haben. Meine erste Vermutung aber wäre, daß sich der Sender nicht authentifiziert hat.
Schau in den Logfiles nach oder im Mailheader mit welchem HELO/EHLO er sich am Server meldet.

huschi.

 

[herbert007]

Hier das Protokoll von Postfix

Sep  4 15:28:35 localhost postfix/smtpd[7664]: connect from dslb-082-083-134-140.pools.arcor-ip.net[82.83.134.140]
Sep  4 15:28:35 localhost postfix/smtpd[7664]: CBFE45F4090: client=dslb-082-083-134-140.pools.arcor-ip.net[82.83.134.140], [B]sasl_method=LOGIN, sasl_username=info@meine-domain.de[/B]
Sep  4 15:28:36 localhost postfix/cleanup[7795]: CBFE45F4090: message-id=<20070904132835.CBFE45F4090@mail.mein-server.de>
Sep  4 15:28:36 localhost postfix/qmgr[1877]: CBFE45F4090: from=<info@meine-domain.de>, size=3855, nrcpt=1 (queue active)
Sep  4 15:28:38 localhost postfix/smtpd[7664]: disconnect from dslb-082-083-134-140.pools.arcor-ip.net[82.83.134.140]

Sep  4 15:28:39 localhost postfix/smtpd[7803]: connect from localhost[127.0.0.1]
Sep  4 15:28:39 localhost postfix/smtpd[7803]: EF0BC5F40A7: client=localhost[127.0.0.1]
Sep  4 15:28:40 localhost postfix/cleanup[7795]: EF0BC5F40A7: message-id=<20070904132835.CBFE45F4090@mail.mein-server.de>
Sep  4 15:28:40 localhost postfix/qmgr[1877]: EF0BC5F40A7: from=<info@meine-domain.de>, size=4353, nrcpt=1 (queue active)
Sep  4 15:28:40 localhost postfix/smtpd[7803]: disconnect from localhost[127.0.0.1]
Sep  4 15:28:40 localhost postfix/smtp[7796]: CBFE45F4090: to=<zweite_addy@meine-zweite-domain.de>, relay=127.0.0.1[127.0.0.1], delay=5, status=sent (250 2.6.0 Ok, id=06468-04, from MTA: 250 Ok: queued as EF0BC5F40A7)
Sep  4 15:28:40 localhost postfix/qmgr[1877]: CBFE45F4090: removed
Sep  4 15:28:40 localhost postfix/pipe[7806]: EF0BC5F40A7: to=<dritte_addy@meine-zweite-domain.de>, orig_to=<zweite_addy@meine-zweite-domain.de>, relay=maildrop, delay=1, status=sent (meine-zweite-domain.de)
Sep  4 15:28:40 localhost postfix/qmgr[1877]: EF0BC5F40A7: removed

Er scheint sich also zu authentifizieren.

Mailheader

Return-Path: <info@meine-domain.de>
Delivered-To: dritte_addy@meine-zweite-domain.de

Received: from localhost (localhost [127.0.0.1])
            by mail.mein-server.de (Postfix) with ESMTP id EF0BC5F40A7
            for <zweite_addy@meine-zweite-domain.de>; Tue,  4 Sep 2007 15:28:39 +0200 (CEST)
Received: from bueropc (dslb-082-083-134-140.pools.arcor-ip.net [82.83.134.140])
            by mail.mein-server.de (Postfix) with ESMTP id CBFE45F4090
            for <zweite_addy@meine-zweite-domain.de>; Tue,  4 Sep 2007 15:28:35 +0200 (CEST)

Ich kann das eigentlich nichts schlechtes dran erkennen und bin langsam hilflos.
Alle anderen Domains machen keine Probleme.

Müsste er nicht erkennen daß die Domain mir gehört und daher durch Autowhitelisting mir automatisch sehr viele Minus Punkte geben?

Kann ich sehen, wie stark die Tests in Gewicht gefallen sind?,
bzw. kann ich diese Option in Spamassassin für den Mailheader anschalten?

 

[Huschi]

Das ist der Grund:

Sep 4 15:28:39 localhost postfix/smtpd[7803]: connect from localhost[127.0.0.1]

Aus irgendeinem Grund schickt er die eigentlich lokal zuzustellende Email nochmal per SMTP an sich selber. Und deshalb kommt es zu den Spam-Problem.

Hast Du irgendwelche seltsame Transport- oder Relay-Einstellungen vorgenommen?

Erst Später gesehen:

durch Autowhitelisting mir automatisch sehr viele Minus Punkte geben?

Wie bereits oben erwähnt ist AWL ein Faktor, keine Punkte.

Kann ich sehen, wie stark die Tests in Gewicht gefallen sind?

Setze "report_safe 1" in die local.cf.

huschi.

 

[herbert007]

Ich dachte das kommt zustande, weil er die mail durch Amavis-new schickt,
und dieser sich nach der Viren- und Spamassassin Prüfung wieder von localhost aus meldet.

Ich hab mal Testweise nun direkt von der Konsole eine mail verschickt (also von der Maschine aus, die auch der Mailserver ist)
Auch hier scheint er doppelt zu connecten.

Sep  6 00:10:23 localhost postfix/pickup[7775]: 2936C5F40A7: uid=0 from=<root>
Sep  6 00:10:23 localhost postfix/cleanup[8374]: 2936C5F40A7: message-id=<20070905221023.2936C5F40A7@mail.mein-server.de>
Sep  6 00:10:23 localhost postfix/qmgr[1877]: 2936C5F40A7: from=<root@mail.mein-server.de>, size=320, nrcpt=1 (queue active)
[B]Sep  6 00:10:25 localhost postfix/smtpd[8379]: connect from localhost[127.0.0.1][/B]
Sep  6 00:10:26 localhost postfix/smtpd[8379]: ECAFB5F4090: client=localhost[127.0.0.1]
Sep  6 00:10:26 localhost postfix/cleanup[8374]: ECAFB5F4090: message-id=<20070905221023.2936C5F40A7@mail.mein-server.de>
[B]Sep  6 00:10:26 localhost postfix/smtpd[8379]: disconnect from localhost[127.0.0.1][/B]
Sep  6 00:10:26 localhost postfix/smtp[8375]: 2936C5F40A7: to=<mail@meine-domain.de>, relay=127.0.0.1[127.0.0.1], delay=3, status=sent (250 2.6.0 Ok, id=03386-06, from MTA: 250 Ok: queued as ECAFB5F4090)
Sep  6 00:10:26 localhost postfix/qmgr[1877]: ECAFB5F4090: from=<root@mail.mein-server.de>, size=681, nrcpt=1 (queue active)
Sep  6 00:10:26 localhost postfix/qmgr[1877]: 2936C5F40A7: removed
Sep  6 00:10:26 localhost postfix/pipe[8433]: ECAFB5F4090: to=<mail@meine-domain.de>, relay=maildrop, delay=1, status=sent (meine-domain.de)
Sep  6 00:10:26 localhost postfix/qmgr[1877]: ECAFB5F4090: removed

Diese Mail hat den Header wie ich es mir vorstelle

X-Spam-Status: No, hits=-5.6 tagged_above=-1000.0 required=5.0
	tests=ALL_TRUSTED, AWL, BAYES_00

Hier die master.cf

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       -       -       -       smtpd
#submission inet n      -       -       -       -       smtpd
#       -o smtpd_etrn_restrictions=reject
#628      inet  n       -       -       -       -       qmqpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       -       300     1       qmgr
#qmgr     fifo  n       -       -       300     1       oqmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
#
#smtp_bind_adress hinzugefuegt damit sich Postfix nach aussen beim Senden mit der richtigen IP meldet
#
smtp      unix  -       -       -       -       -       smtp
        -o smtp_bind_address=88.198.12.34
relay     unix  -       -       -       -       -       smtp
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
#
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# maildrop. See the Postfix MAILDROP_README file for details.
#
#maildrop  unix  -       n       n       -       -       pipe
#  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
#
#
# option -w 70 bedeutet eine Warnmeldung wenn mailmox zu 70prozent voll ist
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail:vmail argv=/usr/bin/maildrop -w 70 -d ${recipient}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}

# only used by postfix-tls
#tlsmgr   fifo  -       -       n       300     1       tlsmgr
#smtps    inet  n       -       n       -       -       smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
#587      inet  n       -       n       -       -       smtpd -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes

#Kontakt zu Amavis
amavis unix - - - - 2 smtp
    -o smtp_data_done_timeout=1200
    -o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n - - - - smtpd
    -o content_filter=
    -o local_recipient_maps=
    -o relay_recipient_maps=
    -o smtpd_restriction_classes=
    -o smtpd_client_restrictions=
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks=127.0.0.0/8
    -o strict_rfc821_envelopes=yes
    -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks

Also was ich abweichend vom Standard gemacht habe:

- smtp_bind_adress hinzugefuegt damit sich Postfix nach aussen beim Senden mit der richtigen IP meldet
- Postgrey
- Maildrop für die Auslieferung
- und halt Virusscan und Spamassassin über Amavisd-new
- Postfix mit MySQL Verwaltung

Danke für Deine Mühe Huschi

 

[Huschi]

weil er die mail durch Amavis-new schickt,

Ja, so ist es. Aber das konnte ich ja nicht riechen, oder?
Hast Du denn Amavisd richtig konfiguriert?
Ich denke da an "@local_domains_acl" oder "%local_domains".

- smtp_bind_adress hinzugefuegt damit sich Postfix nach aussen beim Senden mit der richtigen IP meldet

Demnach hast Du mind. 2 IP's?
Braucht man aber in der Regel dennoch nicht solange man alle Revers-PTR gesetzt hat.

huschi.

 

[kdt-berlin]

Ich habe das gleiche Problem.

Wo kann man denn einstellen, dass Mails, die von meinem eigenen Server verschickt werden überhaupt nicht geprüft werden.


Zu meiner Kiste:

eine IP Adresse, Postfix,Spamd,amavis-new,calmd

Bei mir steht im LOG:

Sep 18 21:34:30 alpha123 postfix/smtpd[31663]: connect from unknown[88.231.111.122]

Die 88.231.11.122 ist meine eigene IP.


VG
AK

 

[Huschi]

Ich habe das gleiche Problem.

Welches konkret?

Wo kann man denn einstellen, dass Mails, die von meinem eigenen Server verschickt werden überhaupt nicht geprüft werden.

Welche Prüfung soll denn nicht stattfinden?

Falls Du Amavisd meinst, dann stand die Antwort bereits da:

Ich denke da an "@local_domains_acl" oder "%local_domains".

connect from unknown[88.231.111.122]

Hierrüber würde ich mir Gedanken machen. D.h. nämlich das
a) ...nicht Localhost genommen wird,
b) ...Deine IP keinen Revers-DNS-Eintrag hat.

huschi.