[SOLVED] Spamassassin schreibt den Header nicht um

canet

New Member
Hi,

Ich hab ein Problem mit Spamassassin - Spamass-milter - postfix - Dovecot.
Spamassassin erkennt Spam, markiert ihn mit den Header Tags korrekt, aber schreibt den Subject Header nicht um.

in der local.cf ist es korrekt drinnen (rewrite_header Subject ***** SPAM *****)
Es gibt keine benutzereigenen Einstellungen.

System:
Debian 10.5
Spamassassin 3.4.2
Postfix 3.4.14

An was könnte es noch liegen? Welchen Wald sehe ich vor lauter Bäumen nicht?

Danke!
 
Last edited:

canet

New Member
Ja, froxlor.
Aber der greift nicht ins spamassassin ein.
Und ich fahre nicht über amavis.
 
Last edited:

canet

New Member
Ja, wie gesagt wird auch im Header die Spam flag gesetzt.
Nur das rewrite des Betreff Headers wird nicht gemacht.
 

canet

New Member
DKIM (openDKIM) habe ich am laufen
vollständige Header einer Beispielhaften Spam Mail:

Code:
Return-Path: <test@senderdomain.at>
Delivered-To: user@domain.com
Received: from mail.senderdomain.at (mail.senderdomain.at [BBB.CCC.DDD.EEE])
    (using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
     key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256)
    (No client certificate requested)
    by host.domain.com (Postfix) with ESMTPS id 7267E106CF9
    for <user@domain.com>; Wed, 19 Aug 2020 15:52:05 +0200 (CEST)
Authentication-Results: host.domain.com;
    dkim=pass (2048-bit key; unprotected) header.d=senderdomain.at header.i=@senderdomain.at header.b="mNHp8czy";
    dkim-atps=neutral
Received: from [192.168.0.29] (unknown [AAA.XXX.YYY.ZZZ])
    (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
    (No client certificate requested)
    by mail.senderdomain.at (Postfix) with ESMTPSA id 148BEC0FD6
    for <user@domain.com>; Wed, 19 Aug 2020 13:52:05 +0000 (UTC)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=senderdomain.at; s=mail;
    t=1597845125; bh=9VI1rSY/Y6Pc12yWezUQrjzD7vosiBUnxubcoCS+PAo=;
    h=Subject:To:References:From:Date:In-Reply-To:From;
    b=mNHp8czydPBkhUPSR7KaUu5OI5wJKJuOHCu1hgR9ZYLwNEikEVG9QRXL9R2MDsxFu
     OMyxoJ7ffdSM0/IhCJZ1seb/zWsfHZ47/lhqrUi3q9q7T6cJiyxzImOIuLhptMMEos
     fz8MWooVCmtQp7fpPRXXtJ3+dmMsKOeeS2Qh47Yx7/kpHR/vDNgMtfAVRr54e93acw
     WBp/uAdv9HX2Bmj9G81PK3eRG+eh3CN+ZM3mEmgqLTmbmpBymEOTWKm4kwKnOu6Log
     YToPH3yjOedGASL2BOuImMDxuuOQTp+IFVDMR4RSdc5I4qlQGRyiqVmYtJzfnwY85R
     vcKBDnFY6R7kw==
Subject: Re: Test
To: "My Name" <user@domain.com>
References: <db73a600-6588-0d12-0ef6-aa18e75caf90@domain.com>
From: Senderdomain Test <test@senderdomain.at>
Message-ID: <3f8ae221-8d29-6395-d993-61ef09a62867@senderdomain.at>
Date: Wed, 19 Aug 2020 15:52:11 +0200
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:68.0) Gecko/20100101
 Thunderbird/68.11.0
MIME-Version: 1.0
In-Reply-To: <db73a600-6588-0d12-0ef6-aa18e75caf90@domain.com>
Content-Type: multipart/alternative;
 boundary="------------ABAE6D4BD74350D19A50B142"
Content-Language: de-AT
X-Antivirus: AVG (VPS 200818-4, 18.08.2020), Outbound message
X-Antivirus-Status: Clean
X-Spam-Flag: YES
X-Spam-Status: Yes, score=998.4 required=5.5 tests=DKIM_SIGNED,DKIM_VALID,
    DKIM_VALID_AU,DKIM_VALID_EF,GTUBE,HTML_MESSAGE,NICE_REPLY_A,
    SPF_HELO_NONE,SPF_PASS,URIBL_BLOCKED autolearn=no autolearn_force=no
    version=3.4.2
X-Spam-Level: **************************************************
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on host.domain.com
X-Virus-Scanned: clamav-milter 0.102.4 at host
X-Virus-Status: Clean
Die X-Spam-Flag und X-Spam-Status wurden entsprechend gesetzt, aber das Subject nicht umgeschrieben.

Die Logs dazu:

Code:
Aug 19 13:52:05 host postfix/smtpd[10650]: connect from mail.senderdomain.at[AAA.BBB.CCC.DDD]
Aug 19 13:52:05 host postfix/smtpd[10650]: Anonymous TLS connection established from mail.senderdomain.at[AAA.BBB.CCC.DDD]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256
Aug 19 13:52:05 host postfix/smtpd[10650]: 7267E106CF9: client=mail.senderdomain.at[AAA.BBB.CCC.DDD]
Aug 19 13:52:05 host postfix/cleanup[10654]: 7267E106CF9: message-id=<3f8ae221-8d29-6395-d993-61ef09a62867@senderdomain.at>
Aug 19 13:52:05 host spamd[10592]: spamd: got connection over /var/spool/postfix/spamassassin/spamd.sock
Aug 19 13:52:05 host spamd[10592]: spamd: processing message <3f8ae221-8d29-6395-d993-61ef09a62867@senderdomain.at> for user:116
Aug 19 13:52:06 host spamd[10656]: util: setuid: ruid=116 euid=116 rgid=122 122 122 egid=122 122 122
Aug 19 13:52:06 host spamd[10592]: spamd: identified spam (998.4/5.5) for user:116 in 0.9 seconds, 19836 bytes.
Aug 19 13:52:06 host spamd[10592]: spamd: result: Y 998 - DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF,GTUBE,HTML_MESSAGE,NICE_REPLY_A,SPF_HELO_NONE,SPF_PASS,URIBL_BLOCKED scantime=0.9,size=19836,user=user,uid=116,required_score=5.5,rhost=localhost,raddr=127.0.0.1,rport=/var/spool/postfix/spamassassin/spamd.sock,mid=<3f8ae221-8d29-6395-d993-61ef09a62867@senderdomain.at>,autolearn=no autolearn_force=no
Aug 19 13:52:06 host spamd[10590]: prefork: child states: II
Aug 19 13:52:06 host opendkim[1546]: 7267E106CF9: mail.senderdomain.at [AAA.BBB.CCC.DDD] not internal
Aug 19 13:52:06 host opendkim[1546]: 7267E106CF9: not authenticated
Aug 19 13:52:06 host opendkim[1546]: 7267E106CF9: DKIM verification successful
Aug 19 13:52:06 host opendkim[1546]: 7267E106CF9: s=mail d=senderdomain.at SSL
Aug 19 13:52:06 host postfix/qmgr[24113]: 7267E106CF9: from=<test@senderdomain.at>, size=19991, nrcpt=1 (queue active)
Aug 19 13:52:06 host postfix/smtpd[10650]: disconnect from mail.senderdomain.at[AAA.BBB.CCC.DDD] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Aug 19 13:52:07 host dovecot: lda(user@domain.com)<10659><WaucKYYuPV+jKQAAkML63A>: msgid=<3f8ae221-8d29-6395-d993-61ef09a62867@senderdomain.at>: saved mail to INBOX
Aug 19 13:52:07 host postfix/pipe[10658]: 7267E106CF9: to=<user@domain.com>, relay=dovecot, delay=1.6, delays=1.2/0.01/0/0.36, dsn=2.0.0, status=sent (delivered via dovecot service)
Aug 19 13:52:07 host postfix/qmgr[24113]: 7267E106CF9: removed
 

Joe User

Zentrum der Macht
Da ich SA aus guten Gründen nicht nutze und keine Lust habe selbst nachzusehen:
Vielleicht ist SpamAssassin ja schlau genug, die DKIM-Signatur nicht zu zerstören?
 

canet

New Member
OPTIONS="-u spamass-milter -i 127.0.0.1 -I -- --socket=/var/spool/postfix/spamassassin/spamd.sock"

nein -m ist nicht drinnen. Vielleicht versteckt es sich noch irgendwo...

Nein, SA ist DKIM recht egal ;-)
Hatte aber noch nie ein Problem mit SA und DKIM.

@Joe User Welches Tool nutzt du? Warum nicht SA? Bin recht zufrieden damit.
 

danton

Debian User
Hast du auch mal in das systemd-Unitfile vom Spamassasin Milter geschaut, sofern der eines hat? Die Dateien unter /etc/defaults werden bei Systemd nur noch teilweise verwendet.
Ich kann es bei mir nicht mehr nachschauen, da ich Spamassassin mittlerweile erst bei der Zustellung in ein Postfach scannen lasse und vor dort direkt an den dovecot-lda weitergebe und entsprechend spamass-milter nicht mehr installiert ist
 

Joe User

Zentrum der Macht
Nein, SA ist DKIM recht egal ;-)
Hatte aber noch nie ein Problem mit SA und DKIM.
Sicher? Wenn SA den Subject-Header umschreibt, dann zerstört SA damit die DKIM-Signatur und das ist böse...

@Joe User Welches Tool nutzt du? Warum nicht SA?
Ich nutze postscreen und für den kleinen Rest der da noch durchkommt nutze ich einfach die Lösch-Funktion meines Mailclients.
SpamAssasin und Co sorgen für viel zu viel unnötige Probleme und False-Positives, das braucht kein Mensch...
Von der Ressourcenverschwendung und den Sicherheitsrisiken fange ich gar nicht erst an...
 

canet

New Member
Sicher? Wenn SA den Subject-Header umschreibt, dann zerstört SA damit die DKIM-Signatur und das ist böse...
Ja, genau so macht SA das.

Authentication-Results: host.domain.com;
dkim=fail reason="signature verification failed" (2048-bit key; unprotected) header.d=senderdomain.at header.i=@senderdomain.at header.b="fz7/4G4u";
dkim-atps=neutral
Received: from [192.168.0.29] (unknown [XXX.YYY.CCC.BBB])
(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
(No client certificate requested)
by mail.senderdomain.at (Postfix) with ESMTPSA id 0AF91C00C6
for <user@domain.com>; Thu, 20 Aug 2020 16:28:32 +0000 (UTC)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=senderdomain.at; s=mail;
t=1597940913; bh=ZwtYtRgN0lM3bGIxL0d4kZt87p3c1s4neCuxohX39MM=;
h=Subject:To:References:From:Date:In-Reply-To:From;
b=fz7/4G4uJWo+sQusO1d7vppCX+Wp8mJbOAwYiztEtJmCgorLVODwL0jI/atQMQAkz
DE9kbvWoIrSNBNTKTJ4Ei0Siq8fU/Ag0GqkBwqOitOVzcd7qk+d3cYMqxScBt4yHoB
Ot0NsqvRib+BiHeAFcH+uyhy16zyUB+NgmqyHZgi7wL8nnWyPGDuQPv6N0I5cTSZrc
b8Oa9Jzrwf33isDuAPgyOBk647Jm3hJgoy+hzNVzE1DknhfOAasWTnJuFVXq27hMgk
WITbhexse3QQYaWB+8m4K0UXJMoG9w5PQgCJPAlPJrd/wjTHnvInZdtaJafLmutWYl
+AT4uVtsITBsA==
 

Joe User

Zentrum der Macht
Dann disqualifiziert sich SA definitiv als SpamFilter...

Ein Filter soll filtern und keine Signaturen zerstören...
 

canet

New Member
Er kann es ja auch nur Filtern. Ich wollte es eigentlich anders haben. Aber vielleicht ist ja genau das der Grund, warum er es jetzt anders macht ;-)
 

Joe User

Zentrum der Macht
Er kann es ja auch nur Filtern.
Wenn dem so wäre, dann würde er keine DKIM-Signaturen zerstören.
Filtern ist passiv, da kann man nichts zerstören. Letzteres geht nur, wenn man aktiv wird, aber dann ist man kein Filter mehr...

OK, genug der Haarspalterei.

Fakt bleibt: An DKIM-Signaturen und den zugehörigen Headern fummelt man grundsätzlich nicht herum, da dies die Signatur zerstört.
 

canet

New Member
Du hättest es so lesen sollen: Er kann ja auch (unter anderem) "nur" filtern. Das macht er auch in den Standard-Einstellungen. Und dann kann man SA anweisen, den Subject Header um zu schreiben.

Damit ist das Thema hier beendet. Danke für die Mitarbeit ;-)

Schönen Abend noch!

PS.: Kurze Zusammenfassung, wenn es jemand in ein paar Jahren findet:
SA soll den Subject Header nicht umschreiben, da sonst die DKIM Signatur zerstört wird.
Wenn man es doch möchte (ich bin davon abgekommen) muss man nach "-m" in den OPTIONS suchen, das schaltet das Umgeschreibe aus.
 
Top