Spamassassin scannt eingehende Mails nur sporadisch

[speedy66x]

Hallo liebe Foren-Gemeinde,

leider führte mich Google & Co, sowie die Suche in diversen und diesem Foren nicht zur Klärung des Problems. Da mir dieses Forum aber nach wie vor am besten gefällt, bleibe ich hier mal mit meiner Frage 'hängen'. - Ihr habt doch sicher nichts dagegen

Auf meinem Suse 9.3 (32bit) LAMP Root mit Plesk 8.3 läuft SpamAssassin 3.0.4 (neueres SA Release noch nicht von Parallels freigegeben). Zur besseren Bekämpfung von Spam habe ich vor längerer Zeit das geniale Greylisting-HowTo von Huschi befolgt. (Klappt übrigens wunderbar.)

Leider gibt es aber trotzdem Mails die durchsickern, weil SpamAssassin (obwohl aktiviert) nicht alle eingehenden Mails prüft. Bei einigen eMail-Konten klappt der Scan, bei anderen wiederum nicht.

So sollte eigentlich eine mail.info aussehen, wenn SpamAssassin aktiv wird:

Feb 20 21:28:53 hnm597530 qmail: 1203539333.109888 new msg 21075160
Feb 20 21:28:53 hnm597530 qmail: 1203539333.110141 info msg 21075160: bytes 1575 from <neodeshaqmu@jsdirects.com> qp 527 uid 2020
Feb 20 21:28:53 hnm597530 qmail: 1203539333.137074 starting delivery 65: msg 21075160 to local 29-nutzer@lokale-domain.de
Feb 20 21:28:53 hnm597530 qmail: 1203539333.137267 status: local 1/10 remote 0/20
Feb 20 21:28:53 hnm597530 spamd[31017]: got connection over /tmp/spamd_full.sock
Feb 20 21:28:53 hnm597530 spamd[31017]: Using default config for nutzer@lokale-domain.de: /var/qmail/mailnames/lokale-domain.de/nutzer/.spamassassin/user_p
Feb 20 21:28:53 hnm597530 spamd[31017]: processing message <000b01c872fb$96dcf540$cb5382d4@pc12.faraos.dk> for nutzer@lokale-domain.de:110.
Feb 20 21:28:57 hnm597530 spamd[31017]: identified spam (7.6/7.0) for nutzer@lokale-domain.de:110 in 4.3 seconds, 1575 bytes.
Feb 20 21:28:57 hnm597530 spamd[31017]: result: Y  7 - NO_REAL_NAME,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_SC_SURBL scantime=4.3,size=1575,mid=<000b01c872fb$96d
Feb 20 21:28:57 hnm597530 qmail: 1203539337.647244 delivery 65: success: did_1+0+2/did_0+0+1/
Feb 20 21:28:57 hnm597530 qmail: 1203539337.647492 status: local 0/10 remote 0/20
Feb 20 21:28:57 hnm597530 qmail: 1203539337.647661 end msg 21075160

Aber so siehts aus obwohl für die eMail-Adressen der Scanner aktiv ist:

Feb 14 03:55:04 hnm597530 qmail: 1202957704.159698 new msg 21075162
Feb 14 03:55:04 hnm597530 qmail: 1202957704.159866 info msg 21075162: bytes 288799 from <sunhome-awning@vip.163.com> qp 14804 uid 2020
Feb 14 03:55:04 hnm597530 qmail: 1202957704.174859 starting delivery 761: msg 21075162 to local 29-nutzera@lokale-domain.de
Feb 14 03:55:04 hnm597530 qmail: 1202957704.175024 status: local 1/10 remote 0/20
Feb 14 03:55:04 hnm597530 qmail: 1202957704.215875 new msg 21075164
Feb 14 03:55:04 hnm597530 qmail: 1202957704.216042 info msg 21075164: bytes 288907 from <sunhome-awning@vip.163.com> qp 14826 uid 110
Feb 14 03:55:04 hnm597530 qmail: 1202957704.237701 starting delivery 762: msg 21075164 to local 29-nutzerb@lokale-domain.de
Feb 14 03:55:04 hnm597530 qmail: 1202957704.237873 status: local 2/10 remote 0/20
Feb 14 03:55:04 hnm597530 qmail: 1202957704.237965 delivery 761: success: did_1+1+1/qp_14826/
Feb 14 03:55:04 hnm597530 qmail: 1202957704.238049 status: local 1/10 remote 0/20
Feb 14 03:55:04 hnm597530 qmail: 1202957704.238138 end msg 21075162
Feb 14 03:55:04 hnm597530 qmail: 1202957704.257508 delivery 762: success: did_1+0+2/did_0+0+1/
Feb 14 03:55:04 hnm597530 qmail: 1202957704.257669 status: local 0/10 remote 0/20
Feb 14 03:55:04 hnm597530 qmail: 1202957704.257753 end msg 21075164
Feb 14 03:55:27 hnm597530 qmail: 1202957727.136387 new msg 21075162
Feb 14 03:55:27 hnm597530 qmail: 1202957727.136642 info msg 21075162: bytes 288882 from <sunhome-awning@vip.163.com> qp 14901 uid 2020
Feb 14 03:55:27 hnm597530 qmail: 1202957727.153760 starting delivery 763: msg 21075162 to local 25-nutzerc@lokale-domain.de
Feb 14 03:55:27 hnm597530 qmail: 1202957727.154011 status: local 1/10 remote 0/20
Feb 14 03:55:27 hnm597530 qmail: 1202957727.850860 new msg 21075164
Feb 14 03:55:27 hnm597530 qmail: 1202957727.851120 info msg 21075164: bytes 289005 from <sunhome-awning@vip.163.com> qp 14921 uid 110
Feb 14 03:55:27 hnm597530 qmail: 1202957727.883170 starting delivery 764: msg 21075164 to local 29-nutzerd@lokale-domain.de
Feb 14 03:55:27 hnm597530 qmail: 1202957727.883420 status: local 2/10 remote 0/20
Feb 14 03:55:27 hnm597530 qmail: 1202957727.883606 delivery 763: success: did_1+1+2/qp_14921/did_0+0+1/
Feb 14 03:55:27 hnm597530 qmail: 1202957727.883760 status: local 1/10 remote 0/20
Feb 14 03:55:27 hnm597530 qmail: 1202957727.883910 end msg 21075162
Feb 14 03:55:27 hnm597530 qmail: 1202957727.942715 delivery 764: success: did_1+0+2/did_0+0+1/
Feb 14 03:55:27 hnm597530 qmail: 1202957727.942961 status: local 0/10 remote 0/20
Feb 14 03:55:27 hnm597530 qmail: 1202957727.943135 end msg 21075164

Ich weis nicht wie ich das Problem lösen könnte. Würde gerne auf den neuen SpamAssassin upgraden, aber leider ist das noch zu problematisch bei der Benutzung mit Plesk. Der reine Neustart von Spamassassin hat das Problem leider nicht behoben. Wer hat einen anderen Lösungsansatz für mich?

Danke im voraus
Speedy

 

[LinuxAdmin]

Falls Du einen vServer hast, könntest Du mal nachschauen, ob vielleicht ein Ressourcen-Problem vorliegt...

 

[speedy66x]

Hi LinuxAdmin,

nein, es handelt sich um einen dedizierten Server.
"ps aufx" zeigt unter anderem:

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root     13929  0.0  0.0   2292   816 ?        Ss   Feb19   0:10 /usr/sbin/xinetd
qmaild   16440  0.0  0.0   2776   708 ?        Ss   14:59   0:00  \_ /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/c
qmaild   16839  0.0  0.0   2772   704 ?        Ss   15:03   0:00  \_ /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/c
qmaild   17492  0.0  0.0   2772   872 ?        Ss   15:10   0:00  \_ /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/c
qmaild   17703  0.0  0.0   2776   708 ?        Ss   15:12   0:00  \_ /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/c
qmails    2480  0.0  0.0   1516   472 ?        S    Feb20   0:00 qmail-send
qmaill    2482  0.0  0.0   1472   428 ?        S    Feb20   0:00  \_ splogger qmail
root      2483  0.0  0.0   1500   364 ?        S    Feb20   0:00  \_ qmail-lspawn | /usr/bin/deliverquota ./Maildir
qmailr    2484  0.0  0.0   1500   376 ?        S    Feb20   0:00  \_ qmail-rspawn
qmailq    2485  0.0  0.0   1468   324 ?        S    Feb20   0:00  \_ qmail-clean
popuser  13238  0.0  2.2  25748 22436 ?        Ss   00:32   0:00 /usr/sbin/spamd --username=popuser --daemonize --nouser-config --helper-home-dir=/var/qmail
popuser  13239  0.0  2.5  28996 25696 ?        S    00:32   0:06  \_ spamd child
popuser  13240  0.0  2.4  28332 25020 ?        S    00:32   0:04  \_ spamd child
popuser  13241  0.0  2.4  28116 24792 ?        S    00:32   0:04  \_ spamd child
popuser  13242  0.0  2.6  29536 26164 ?        S    00:32   0:05  \_ spamd child
popuser  13243  0.0  2.5  28436 25112 ?        S    00:32   0:04  \_ spamd child

Es gibt keinen Eintrag mit mehr als 0.5 %CPU
und keinen Eintrag mit mehr als 2.9 %MEM

"top" zeigt nur sehr selten eine CPU-Nutzung über 15%

An ein Ressourcen-Problem hab ich auch schon gedacht, kann aber keins erkennen...
Hab auch schon getestet ob es nur bestimmte Postfächer sind, bei denen spamd nicht aktiv wird, aber leider ist dem auch nicht so. Mal gehts, mal nicht...

Freue mich über weitere Vorschläge und google währenddessen noch ein bisschen weiter...

Auf wiederlesen,
Speedy

 

[Huschi]

mit Plesk 8.3 läuft SpamAssassin 3.0.4

SpamAssassin von Plesk oder selber nachinstalliert?
Es klang nach Ersterem.

info msg 21075162: bytes 288799 from <sunhome-awning@vip.163.com> qp 14804 uid 2020
info msg 21075164: bytes 288907 from <sunhome-awning@vip.163.com> qp 14826 uid 110

Ist es immer genau bei dieser Konstellation?
Also erst Einlieferung per qmail-smtpd (== uid 2020) und dann eine Weiterleitung des MDA (== uid 110).
Wenn dem so ist, dann tippe ich darauf, daß er Weiterleitungen grundsätzlich nicht scannt. Schau halt mal in die entsprechende /var/qmail/mailnames/DOMAIN.TLD/USER/.qmail rein.

huschi.

 

[speedy66x]

SpamAssassin von Plesk oder selber nachinstalliert?
Es klang nach Ersterem.

Richtig: SpamAssassin von Plesk

Ist es immer genau bei dieser Konstellation?
Also erst Einlieferung per qmail-smtpd (== uid 2020) und dann eine Weiterleitung des MDA (== uid 110).

Ja und nein. Das Phänomen ist zwar allem Anschein nach bisher nur bei dieser Konstellation aufgetreten, aber es kommt normalerweise vor das er hierbei mit spamd scannt. Nur manchmal halt eben nicht.

Wenn dem so ist, dann tippe ich darauf, daß er Weiterleitungen grundsätzlich nicht scannt.

Mh, reine Weiterleitungen werden auch gescannt.

Schau halt mal in die entsprechende /var/qmail/mailnames/DOMAIN.TLD/USER/.qmail rein.

Hier steht:

| /usr/local/psa/bin/psa-spamc accept
| true
./Maildir/
&weiterleitung_an@lokale_domain.de

Ich steh sowas von auf dem Schlauch...
Meinst Du die Frage nach den Ressourcen dürfte sich nach meinen bisherigen Angaben erübrigt haben?
Ich vermute immernoch das spamd deswegen sporadisch aussteigt.

Ich werde das Problem mal weiter in den Log-Files verfolgen.

Speedy