Spamassassin hits=? required=?

stevie

New Member
[solved] Spamassassin hits=? required=?

Hallo an Alle,

ich habe eigentlich ein erfolgreiches Qmail-System mit Spamassassin und ClamAV am laufen. Für die Übergabe an SA und ClamAV benutzte ich Qmail-Scanner.
99% der Mails werden gescanned und alles ist in Ordnung, nur bei manchen Spams gibt SA keinen Score ab, wahrscheinlich wegen eines Timeouts.

Die Frage ist warum der SA bei diesen Spams kein Scoring errechnet werden kann?

Die mail wird über 30 Sekunden gescanned, obwohl sie sehr klein ist.
Hat jemand eine Idee?

SpamAssassin version 3.2.5
running on Perl version 5.8.8
Qmail-Scanner 2.0.5st

Die Mail + Header:
Code:
Return-Path: <[email protected]>
Received: (qmail 14346 invoked by uid 104); 21 Apr 2009 20:52:52 +0200
Received: from y.y.y.y ([email protected]@y.y.y.y) by mail.XXXXXXXX.com (envelope-from <[email protected]>, uid 64011) with qmail-scanner-2.05st
 (clamdscan: 0.93.1/7878. spamassassin: 3.2.4. perlscan: 2.05st.  
 Clear:RC:0(y.y.y.y):SA:0(?/?):. 
 Processed in 30.040541 secs); 21 Apr 2009 18:52:52 -0000
X-Spam-Status: No, hits=? required=?
Received: from unknown (HELO YYYYY-SERV1.YYYYY.hamburg.local) ([email protected]@y.y.y.y)
  by mail.XXXXXXXX.com with RC4-MD5 encrypted SMTP; 21 Apr 2009 20:52:22 +0200
Received: from YYYYY-Serv1.YYYYY.local ([127.0.0.1]) by YYYYY-SERV1.YYYYY.hamburg.local with Microsoft SMTPSVC(6.0.3790.3959);
	 Tue, 21 Apr 2009 20:40:41 +0200
Received: from mail.XXXXXXXX.com ([x.x.x.x]) by YYYYY-Serv1.YYYYY.local over TLS secured channel with Microsoft SMTPSVC(6.0.3790.3959);
	 Tue, 21 Apr 2009 20:40:41 +0200
Received: (qmail 14136 invoked by uid 104); 21 Apr 2009 20:40:40 +0200
Received: from 87.205.202.185 by mail.XXXXXXXX.com (envelope-from <[email protected]>, uid 64011) with qmail-scanner-2.05st
 (clamdscan: 0.93.1/7878. spamassassin: 3.2.4. perlscan: 2.05st.  
 Clear:RC:0(87.205.202.185):SA:0(?/?):. 
 Processed in 30.056664 secs); 21 Apr 2009 18:40:40 -0000
X-Qmail-Scanner-MOVED-X-Spam-Status: No, hits=? required=?
Received: from unknown (HELO 87-205-202-185.adsl.inetia.pl) (87.205.202.185)
  by mail.XXXXXXXX.com with SMTP; 21 Apr 2009 20:40:09 +0200
Received-SPF: none (mail.XXXXXXXX.com: domain at boydfuneralhome.com does not designate permitted sender hosts)
Received: from [87.205.202.185] by mailhost.funeralnet.com; Tue, 21 Apr 2009 19:40:09 +0100
From: "Sheryl Hudson" <[email protected]>
To: <[email protected]>
Subject: Please their partner, increasing your size!
Date: Tue, 21 Apr 2009 19:40:09 +0100
MIME-Version: 1.0
Content-Type: text/plain;
	charset="Windows-1252"
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
Thread-Index: Aca6QX59PSTLIWPKGUK9PTL68D22ZT==
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1437
Message-ID: <01c9c2b8$fa8bb280$b9cacd57@qxhio>
Return-Path: [email protected]
X-OriginalArrivalTime: 21 Apr 2009 18:40:41.0354 (UTC) FILETIME=[AC101EA0:01C9C2B0]

You don't need a dangerous surgery to increase your size. Use a safe method taking this absolutely amazing product - POWER Gain+. All the results are permanent. Security of your information is essential and guaranteed. 

Feel like a real man having really big penis. 

http://wavetray.com

Log vom Qmail-Scanner:
Code:
Tue, 21 Apr 2009 16:15:21 CEST:3687: +++ starting debugging for process 3687 (ppid=3686) by uid=64011
Tue, 21 Apr 2009 16:15:22 CEST:3687: c_a_g: found URL in message - maybe phishy - better scan it
Tue, 21 Apr 2009 16:15:22 CEST:3687: w_c: Total time between DATA command and "." was 0.844508 secs
Tue, 21 Apr 2009 16:15:22 CEST:3687: g_e_h: return-path='[email protected]', recips='[email protected]'
Tue, 21 Apr 2009 16:15:22 CEST:3687: from='"Leon Mcclellan" <[email protected]>', subj='Don¦t hesitate, privacy is above all.', via SMTP from 91.187.11.100
Tue, 21 Apr 2009 16:15:22 CEST:3687: s_p_d: domain_rcpt match 'yyyy.de', scanners 'clamdscan_scanner,spamassassin,perlscan_scanner'
Tue, 21 Apr 2009 16:15:22 CEST:3687: clamdscan: finished scan in 0.005791 secs
Tue, 21 Apr 2009 16:15:52 CEST:3687: SA: finished scan in 30.014024 secs - hits=?/?
Tue, 21 Apr 2009 16:15:52 CEST:3687: p_s: finished scan in 0.005786 secs
Tue, 21 Apr 2009 16:15:52 CEST:3687: ini_sc: finished scan of "/var/spool/qscan/tmp/mail.xxxxxx.com12403233217853687"...
Tue, 21 Apr 2009 16:15:52 CEST:3687: ------ Process 3687 finished. Total of 30.057682 secs
 
Last edited by a moderator:
Wenn es immer exakt 30 Sekunden sind dann richt das verdächtig nach einem Timeout. Und zwar den zum spamd. Der ist wahrscheinlich überlastet oder läuft nicht.

huschi.
 
Hast du einen Idee wie ich das Überprüfen kann? Gehe eigentlich nicht davon aus das spamd nicht läuft.
 
Last edited by a moderator:
Normalerweise schreibt auch spamd in die Maillogs.
Einfach mal mitzählen wieviel Connections er gleichzeitig hat... ;)

huschi.
 
Ich habe mal die maillog untersucht.

und folgenden eintrag gefunden:
Code:
Apr 21 20:40:10 mail spamd[1737]: spamd: connection from localhost [127.0.0.1] at port 35370
Apr 21 20:40:10 mail spamd[1737]: spamd: checking message <01c9c2b8$fa8bb280$b9cacd57@qxhio> for qscand:103
Apr 21 20:40:40 mail spamd[1737]: Argument "▒▒▒" isn't numeric in umask at /usr/share/perl5/Mail/SpamAssassin/Locker/UnixNFSSafe.pm line 75.
Apr 21 20:40:40 mail spamd[1737]: spamd: identified spam (36.3/5.0) for qscand:103 in 30.1 seconds, 1148 bytes.
Apr 21 20:40:40 mail spamd[1737]: spamd: result: Y 36 - BAYES_99,CTYME_IXHASH,DCC_CHECK,DIGEST_MULTIPLE,DNS_FROM_RFC_BOGUSMX,FH_HELO_EQ_D_D_D_D,GENERIC_IXHASH,HELO_DYNAMIC_HCC,HELO_DYNAMIC_IPADDR2,HOSTEUROPE
_IXHASH,NIXSPAM_IXHASH,PYZOR_CHECK,RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E4_51_100,RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK,RCVD_IN_PBL,RCVD_IN_SORBS_WEB,RDNS_NONE,SARE_ADULT2,URIBL_AB_SURBL,URIBL_JP_SURBL,UR
IBL_OB_SURBL,URIBL_RHS_DOB,URIBL_SBL,URIBL_WS_SURBL,XMAILER_MIMEOLE_OL_F3B05 scantime=30.1,size=1148,user=qscand,uid=103,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=35370,mid=<01c9c2b8$fa8bb280$
b9cacd57@qxhio>,bayes=0.999991,autolearn=spam
Apr 21 20:40:40 mail qmail-scanner-queue.pl: qmail-scanner[14125]:Clear:RC:0(87.205.202.185):SA:0(?/?): 30.05204 1105 [email protected] [email protected] Please_their_partner,_increasing_your_size
! <01c9c2b8$fa8bb280$b9cacd57@qxhio> 1240339210.14127-0.mail.xxxxxxx.com:290
Der Argument Fehler kann ignoriert werden, den habe ich seit dem letzten Spamassassin update. (Update: Das Problem ist behoben wenn man in der local.cf den bayes_file_mode von XXX auf zB 0XXX ändert) https://issues.apache.org/SpamAssassin/show_bug.cgi?id=5771


Interessant ist, das SA ein Scoring errechnet, aber nach 30.1 Sekunden. Ich vermute: zu spät für QMail-Scanner.

Ich muss mal nachschauen ob ich ein Timeout setzen kann.

Ich frage mich aber, warum SA so lange brauch für diese kleine SPAM-Mail?
 
Last edited by a moderator:
kleines update.

ich habe den timeout von 30 sekunden auf 50 sekunden erhöht.
Das führt dazu, das die SPAMS nun 50 sekunden gescanned werden und danach keine punkte bekommen. Scheinbar ist das ein bug oder die Spammails sind vielleicht extra fehlerhaft damit dies passiert.

Es betrifft nur sehr wenige Spam mails, vielleicht 1%.

Beispiel:
Code:
May  1 14:36:30 mail qmail-scanner-queue.pl: qmail-scanner[13153]: Clear:RC:0(212.129.113.175):SA:0(?/?): 50.03262 1403 [email protected] [email protected] Ein_Nebenjob_bedeutet_ein_Ne
benverdienst! <000d01c9ca58$cd799580$6400a8c0@jaromilinane> 1241181340.13180-0.mail.DOMAINSERVER.com:547
 
Solange du kein NFS verwendest auf dass Spamasssassin schreibt würde ich in der Konfig folgendes setzen:
lock_method flock

Das hat bei mir die Scantime von 30 Sekunden auf 0.1 Sekunde beschleunigt und den Fehler mit manchmal keine Score behoben.
 
Back
Top