Spamassassin Aktivität fragwürdig

K

Kaimane

New Member
Hallo Forum!

Ich habe auf meinem Server VHCS2 im Zusammenhang mit Amavis, ClamAV und SA installiert. Der Server läuft ziemlich stabil, nur der MTA macht mir ein wenig Sorgen.
Ich gehe davon aus, dass Spamassassin nicht korrekt funktioniert. Tests wie
Code: 
tuxbox:~# spamassassin --debug --lint
verlaufen fehlerfrei. Ein direkter Spamtest mit
Code: 
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
verlief in sofern, dass Amavis diese E-Mail direkt als Spam erkannt hat und gelöscht wurde.
Code: 
Feb 29 23:28:44 tuxbox amavis[10092]: (10092-02) Blocked SPAM, [213.165.64.20] [89.245.195.17] <spamcheck@gmx.net> -> <mail@meinedomain.de>, Message-ID: <20080229222839.75520@gmx.net>, Hits: 998.763, 4027 ms
Bei einer spamfreien EMail wird sie zwar durchgelassen, im E-Mail-Header findet man hingegen keinen Hinweis darauf, dass SA die EMail gescannt hat
Code: 
Return-Path: <spamcheck@gmx.net>
X-Original-To: mail@meinedomain.de
Delivered-To: mail@meinedomain.de
Received: from localhost (tuxbox.local [127.0.0.1])
	by server.meinedomain.de (Postfix) with ESMTP id 25325710C3F
	for <mail@meinedomain.de>; Fri, 29 Feb 2008 23:32:46 +0100 (CET)
Received: from server.meinedomain.de ([127.0.0.1])
 by localhost (server.meinedomain.de [127.0.0.1]) (amavisd-maia, port 10024)
 with ESMTP id 10091-03 for <mail@meinedomain.de>;
 Fri, 29 Feb 2008 23:32:41 +0100 (CET)
Received: from mail.gmx.net (mail.gmx.net [213.165.64.20])
	by server.meinedomain.de (Postfix) with SMTP id DF023710AE7
	for <mail@meinedomain.de>; Fri, 29 Feb 2008 23:32:41 +0100 (CET)
Received: (qmail 22726 invoked by uid 0); 29 Feb 2008 22:32:41 -0000
Received: from 89.245.195.17 by www061.gmx.net with HTTP;
 Fri, 29 Feb 2008 23:32:41 +0100 (CET)
Content-Type: text/plain; charset="us-ascii"
Date: Fri, 29 Feb 2008 23:32:41 +0100
From: "Spamcheck" <spamcheck@gmx.net>
Message-ID: <20080229223241.75520@gmx.net>
MIME-Version: 1.0
Subject: Spammail
To: mail@meinedomain.de
X-Authenticated: #14521665
X-Flags: 0001
X-Mailer: WWW-Mail 6100 (Global Message Exchange)
X-Priority: 3
X-Provags-ID: V01U2FsdGVkX18XjKocPPIXmC+cM+7uThJAQoN1eGTn6gsx90bEuK
 7B3ZR9Q2QCVmMBjXHrKUsRtrtUPKbn8J+G3Q== 
Content-Transfer-Encoding: 7bit
X-GMX-UID: b+ygCrt8bHIhWjOt5DQ0frIiJihyapD0
X-Virus-Scanned: Maia Mailguard 1.0.2

Ist das normal, dass kein Hinweis auf SA im Mailheader zu finden ist, wenn die EMail 'clean' ist?
Oder müsste jede eingehende EMail (ob Spam oder nicht) einen SA-Hinweis im Header haben? Falls ja, denke ich, dass Spamassassin falsch in Amavis eingebunden wurde. Welche Zeilen müsste ich der /etc/amavisd.conf hinzufügen, damit SA vernünftig läuft?

Danke im Voraus!
Kaimane

-- EDIT --

Ich habe in einigen Beiträgen gelesen, dass bei virtuellen Domains (was bei mir der Fall ist) in der /etc/amavisd.conf die Domains der @local_domains_maps hinzugefügt werden:
Code: 
Bsp.: @local_domains_maps = ( [ ".$mydomain", '.domain1.de', '.domain2.de' ] );
Müsste ich meine Domains ebenfalls dort eintragen, oder wird das über die DB kontrolliert?
 
Last edited by a moderator:
Kaimane said:
Received: from server.meinedomain.de ([127.0.0.1])
by localhost (server.meinedomain.de [127.0.0.1]) (amavisd-maia, port 10024)
Click to expand...
Also durch amavisd ist die Email gegangen.

Ist das normal, dass kein Hinweis auf SA im Mailheader zu finden ist, wenn die EMail 'clean' ist?
Click to expand...
Nein, normalerweise sollte er "X-Spam-..." setzten.
Schau doch einfach im Maillog nach, was mit der Mail wirklich passiert ist.

Müsste ich meine Domains ebenfalls dort eintragen, oder wird das über die DB kontrolliert?
Click to expand...
Hierbei geht es um ausgehende Mails. Wenn Du z.B. eine hohe Anzahl ausgehender Emails hast (Newsletter-Versand, Mailling-Listen, etc.) dann macht es Sinn den Scanner für ausgehende Mails zu unterdrücken, da sonst der Server insgesamt überlastet wird.

huschi.
 
Hallo Huschi!

Danke schon mal im Voraus für deine Hilfe!
Hier ist ein Auszug aus der Maillog bzgl. einer Spammail. Erst nachdem ich in amavisd.conf das LogLevel etwas höher gesetzt habe, sehe ich auf einmal etwas von SA:
Code: 
Mar  3 15:43:31 tuxbox amavis[29249]: (29249-01) SPAM, <azrael@job-buzz.com> -> <mail@meinedomain.de>, Yes, hits=22.358 tag=5 tag2=5 kill=5 tests=BAYES_99=3.5, DATE_IN_FUTURE_12_24=2.189, DRUGS_ERECTILE=0.282, DYN_RDNS_SHORT_HELO_HTML=0.499, HTML_MESSAGE=0.001, RCVD_IN_PBL=0.905, RCVD_IN_XBL=3.033, RDNS_DYNAMIC=0.1, SPAMMY_XMAILER=2.337, URIBL_BLACK=1.955, URIBL_JP_SURBL=1.501, URIBL_OB_SURBL=1.5, URIBL_RHS_DOB=1.083, URIBL_SBL=1.499, URIBL_SC_SURBL=0.474, URIBL_WS_SURBL=1.5, quarantine spam-69868 (maia-spam-quarantine)
Mar  3 15:43:31 tuxbox amavis[29249]: (29249-01) Blocked SPAM, [89.190.244.131] [89.190.244.131] <azrael@job-buzz.com> -> <mail@meinedomain.de>, Message-ID: <01c87e16$d51eb980$83f4be59@azrael>, Hits: 22.358, 12957 ms
Mar  3 15:43:31 tuxbox amavis[29249]: (29249-01) extra modules loaded: Mail/SpamAssassin/Locales.pm, Mail/SpamAssassin/Plugin/Bayes.pm, Mail/SpamAssassin/Plugin/BodyEval.pm, Mail/SpamAssassin/Plugin/Check.pm, Mail/SpamAssassin/Plugin/DNSEval.pm, Mail/SpamAssassin/Plugin/HTMLEval.pm, Mail/SpamAssassin/Plugin/HTTPSMismatch.pm, Mail/SpamAssassin/Plugin/HeaderEval.pm, Mail/SpamAssassin/Plugin/ImageInfo.pm, Mail/SpamAssassin/Plugin/MIMEEval.pm, Mail/SpamAssassin/Plugin/RelayEval.pm, Mail/SpamAssassin/Plugin/TextCat.pm, Mail/SpamAssassin/Plugin/URIDetail.pm, Mail/SpamAssassin/Plugin/URIEval.pm, Mail/SpamAssassin/Plugin/VBounce.pm, Mail/SpamAssassin/Plugin/WLBLEval.pm
Mar  3 15:43:31 tuxbox postfix/smtp[29268]: 634A17109BD: to=<mail@meinedomain.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=19, delays=5.8/0.01/0.02/13, dsn=2.7.1, status=sent (250 2.7.1 Ok, discarded, UBE, id=29249-01)
Mar  3 15:43:31 tuxbox postfix/qmgr[29257]: 634A17109BD: removed
Somit ist klar, dass SA bei der Überprüfung mitwirkt. Jedoch befindet sich immer noch kein X-Spam-... im Header der EMails :(

Weitere Frage: Wie kann ich eigentlich sehen, dass SA die Emails, die ich als Spam markiere (benutze MaiaMailguard) lernt? Die SA-Tabelle (Bayes_Token) in der DB hat schon mehr als 180.000 Einträge. Sind das die gelernten Spams bzw. Teile der Spammails?

Vielen Dank!!
Kaimane
 
Evtl. ist der SA so konfiguriert, daß er die Header nicht umschreibt.
spamassassin: --remove-markup
Amavisd.conf: remove_existing_spam_headers

huschi.
 
SA mit --remove-markup starten.
In amavisd.conf remove_existing_spam_headers einfügen, oder suchen und entfernen?! :)
 
Kaimane said:
In amavisd.conf remove_existing_spam_headers einfügen, oder suchen und entfernen?! :)
Click to expand...
Danach suchen hättest Du inzwischen schon mal machen können, oder?

Letztendlich wollte ich Dich nur darauf hinweisen, wie man SA bzw. Amavisd so starten kann, daß keine X-Spam-Header geschrieben werden.
Was Du daraus machst ist nun Deine eigene Transfer-Aufgabe.

huschi.
 
You must log in or register to reply here.
Back
Top