Spamassassin Training mit sa-learn

[andy5748]

Hallo,

da ich bisher Spamassassin noch nicht trainiert habe, und bei Plesk das Training für jedes Postfach recht umständlich ist, wollte ich SA etwas Training verschaffen (habe SpamAssassin version 3.0.3).
Ich habe mich dabei nach Huschis Artikel http://www.huschi.net/11_177_de.html gehalten, ich muss jedoch was falsch gemacht haben, da es keinerlei Auswirkungen hat!
Nochmals zur Erläuterung meiner Schritte:
- ich habe /etc/spamassassin/local.cf (bzw. /etc/mail/spamassassin, softlink) und dort folgende Zeile am Ende hinzugefügt:
# use Bayes-Filter
use_bayes 1
bayes_path /var/spool/spamassassin/bayes # diesen Ordner habe ich erstellt (root), da er noch nciht existierte
bayes_file_mode 777
# auto-learn
auto_learn 1

Dabei sieht der Anfang der Datei wie folgt aus:
required_score 7
whitelist_from *@...
rewrite_header subject **** SPAM ****

und nachträglich kommen eben die Paar Zeilen weiter oben. Jetzt habe ich SA durch das Plesk Interface neu gestartet und mir von spamarchive.org alle aktuellen mbox-Dateien (Endung r2) unter /var/mail/spam heruntergeladen, diese anschließend entpackt und dann an sa-learn --spam --mbox /var/mail/spam zum Fraß vorgeworfen. Dabei erhielt ich (nach einigen Stunden, immerhin sind es mehrere 100 MB) mehrere dutzend "Fehlermeldungen", ganz selten
Parsing of undecoded UTF-32 at /usr/share/perl5/Mail/SpamAssassin/HTML.pm line 182.
und etwas öfters
Parsing of undecoded UTF-8 will give garbage when decoding entities at /usr/share/perl5/Mail/SpamAssassin/HTML.pm line 182.

Endausgabe: Learned from 132525 message(s) (136932 message(s) examined).

Ich habe im Artikel http://www.heise.de/open/artikel/74991/5 entdeckt, dass sa-learn mit dem Benutzer mail ausgeführt werden muss. Habe dies zwar versucht, aber sudo existiert unter Debian 3.1 wahrscheinlich nicht unter diesem Namen, und da ich mich mit sudo nicht sehr auskenne habe ich es sein lassen. Könnte dies wirklich auswirkungen haben, in Huschis Artikel war dieser Schritt nicht aufgeführt darum hielt ich es auch nicht für ausschlaggebend.

Ich habe Spamassassins Log-Dateien für eine eventuelle Ausgabe hier gesucht, leider aber keine gefunden.

Hat jemand eine Ahnung was bei der Prozedur falsch gemacht wurde?

Weiters habe ich den Artikel https://serversupportforum.de/threads/sa-learn-per-email-fuettern.1897/ gelesen, den ich schon eine Weile gesucht habe, und endlich gefunden. Habe diese Schritte bis zu Punkt 4 genau wie beschrieben ausgeführt. Den letzten Schritt "Achtung: entweder Logrotate für die 2 Dateien einschalten, oder, wenn alles funzt einfach 'verbose', 'logfile' und 'debug' in den Dateien auskommentieren." habe ich nicht verstanden und daher ausgelassen, vielleicht kann mir jemand diese etwas genauer erläutern. Obwohl: nachdem ich den anschließenden Teil gelesen habe schien es Probleme mit diesem Verfahren zu geben und habe deshalb einen Vorschlag/Idee:
Wenn ich mir eine Mailbox z.B. unter dem Namen spam, also /var/qmail/mailnames/domain.tld/spam/Maildir/cur errichte, und hier meine SPAM-mails hinschicke, dürfte es doch auch möglich sein durch einen Cron-Job täglich diese abarbeiten und anschließend löschen zu lassen, eta durch
sa-learn --spam /var/qmail/mailnames/domain.tld/spam/Maildir/cur
oder ähnlich, hat jemand vielleicht damit Erfahrung?

Danke und nette Grüße, Andreas

 

[Sinepp]

Hallo Andreas,

was heißt, es hat keinerlei Auswirkungen? Die von spamassassin angelegten Datenbank-Bayes Files sind leer? Werden nicht erstellt? Werden erstellt, aber bayes-rulses im Header einer gescannten E-Mail sind nicht aufzufinden oder stehen bei Null?

By the way: Zum testen, nimm einfach mal nur 10 oder 200 Spammails. Das geht dann schneller.

Logfiles zu dem Thema: Vermutlich grep -i spam /var/log/mail.info


Grüße
Sinepp

 

[andy5748]

Hallo,

erstmals vielen Dank für Deine Antwort!

was heißt, es hat keinerlei Auswirkungen?

Das heißt, das trotzdem gleich viel SPAM wie vorher durch geht!

Die von spamassassin angelegten Datenbank-Bayes Files sind leer?

Nein denke ich nicht, denn (soweit ich weis gibt sa-learn --dump den Inhalt dieser aus) dieser sieht so aus:
...
0.500 2 0 1148099845 627ba76f1f
0.500 1 0 1148332879 753b165ace
0.500 1 0 1148459920 e768b1e78d
0.500 1 0 1148853600 5d7492f2ab
0.500 1 0 1149278966 a1b0600e4d
0.500 1 0 1148256556 048fbdf723
0.500 1 0 1149436668 a8fc82b874
0.500 90 0 1149440483 0d38fa54a1
...
ich habe es nicht komplett ausgeben lassen, da dies denke ich recht lange dauert Rückfragen: ist dies der Inhalt der Bayes-Datenbank? Wenn ja, ist er korrekt?

Werden nicht erstellt?

Wo finde ich diese files und welchen Namen tragen sie so kann ich ds mal kontrollieren.

Werden erstellt, aber bayes-rulses im Header einer gescannten E-Mail sind nicht aufzufinden oder stehen bei Null?

Wie kann ich das nachvollziehn?

Logfiles zu dem Thema: Vermutlich grep -i spam /var/log/mail.info

Ist voll davon! dies aber aus folgendem Grund: Aug 3 14:24:25 plesk spamd[24746]:
Hier findet man auch folgende Einträge:
Aug 3 09:57:44 plesk spamd[24743]: clean message (3.4/7.0) for mail@domain.tld:110 in 0.0 seconds, 1602 bytes.
und folgende:
Aug 3 10:09:02 plesk spamd[24744]: got connection over /tmp/spamd_full.sock
Aug 3 10:09:02 plesk spamd[24741]: got connection over /tmp/spamd_light.sock
Aug 3 10:24:04 plesk spamd[24745]: got connection over /tmp/spamd_full.sock
.. und ...
Aug 3 10:42:29 plesk spamd[24743]: result: . 1 - HTML_10_20,HTML_MESSAGE,HTML_MIME_NO_HTML_TAG,MIME_HTML_ONLY,NO_REAL_NAME,RCVD_BY_IP scantime=0.1,size=2692,mid=<18241270.1154593999811.***@domain.tld>,autolearn=no
...
Aug 3 10:43:41 plesk spamd[24744]: result: . 2 - LONGWORDS scantime=0.0,size=1055,mid=(unknown),autolearn=no
Auch sowas habe ich gefunden:
Aug 3 11:13:07 plesk spamd[24743]: result: . 0 - scantime=0.0,size=1098,mid=(unknown),autolearn=failed
Der Rest dürfte denke ich nicht interessant sein.

nochmals Danke, Grüße
Andreas

 

[leines]

Nein denke ich nicht, denn (soweit ich weis gibt sa-learn --dump den Inhalt dieser aus) dieser sieht so aus:
Rückfragen: ist dies der Inhalt der Bayes-Datenbank? Wenn ja, ist er korrekt?

Mach mal "sa-learn --dump|more", dann macht er ne Pause nach jeder "Seite" und Du siehst ganz am Anfang dieser endlosen Zeilen (die im Übrigen dazugehören und wohl kryptisch den Inhalt der DB wiedergeben) eine Art Statistik mit der Anzahl der gelernten Spams und Hams. Die Ausgabe kannst Du nach der ersten Seite wie gewohnt mit STRG-C abbrechen.

Wo finde ich diese files und welchen Namen tragen sie so kann ich ds mal kontrollieren.

Die sollten dort zu finden sein, wo Du es in der local.cf angegeben hast. Falls in /etc(/mail)/spammassassin/local.cf sowas drinsteht wie "bayes_path...", dann wirst Du im angegebenen Pfad die Dateien bayes_toks und bayes_seen finden. Meines Wissens ist das die DB und am Zeitstempel erkennst Du auch, wenn die zuletzt verändert wurde.

 

[andy5748]

Mach mal "sa-learn --dump|more",

Also, die Ausgabe fängt so an:
0.000 0 3 0 non-token data: bayes db version
0.000 0 132525 0 non-token data: nspam
0.000 0 0 0 non-token data: nham
0.000 0 3662605 0 non-token data: ntokens
0.000 0 1071708795 0 non-token data: oldest atime
0.000 0 1152068142 0 non-token data: newest atime
0.000 0 0 0 non-token data: last journal sync atime
0.000 0 0 0 non-token data: last expiry atime
0.000 0 0 0 non-token data: last expire atime delta
0.000 0 0 0 non-token data: last expire reduction count
0.500 1 0 1148101423 8f236e1498
...

Die sollten dort zu finden sein, wo Du es in der local.cf angegeben hast.

Also ich habe laut Huschis Anleitung /var/spool/spamassassin/bayes angegeben, wird wohl falsch sein, ich habe soweit ich mich erinnern kann das Verzeichnis selbst erstellt. Auf jedem Fall ist es leer. Kann es sein, dass da ein anderes Verzeichnis angegeben werden muss? Immerhin zeigt die Ausgabe von sa-learn ja das es Datensätze gibt.

 

[leines]

Also, die Ausgabe fängt so an:
0.000 0 3 0 non-token data: bayes db version
0.000 0 132525 0 non-token data: nspam
0.000 0 0 0 non-token data: nham

OK, das heisst, Du hast in Deiner Datenbank 132525 Mails als Spam angelernt (was sicherlich einen Haufen zeit gekostet hat...). Du hast aber noch keine Mails als Ham (=gute, gewollte Mails) drin.

Also ich habe laut Huschis Anleitung /var/spool/spamassassin/bayes angegeben, wird wohl falsch sein, ich habe soweit ich mich erinnern kann das Verzeichnis selbst erstellt. Auf jedem Fall ist es leer.

OK, das musste ich auch erst lernen: Du hast /var/spool/spamassassin/bayes angegeben, das heisst, es werden Dateien (!) erstellt in /var/spool/spamassassin/ die mit "bayes_" anfangen, nämlich bayes_seen und bayes_toks. Hättest Du /var/spool/spamassassin/doofkopf angegeben, hiessen die Dateien nun /var/spool/spamassassin/doofkopf_seen und /var/spool/spamassassin/doofkopf_toks. Weiss ich aber auch erst seit gestern oder vorgestern *g*


Zum ersten Punkt nochmal: Bei mir sah es ähnlich aus, nur dass ich lediglich 1700 Mails als Spam angelernt hatte, keine 132tausend. Nimm Dir ein paar Mails (mehr als 200 müssen es aber sein), die gewollt sind, also GUTE Mails, die Du irgendwann mal bekommen hast. Wenn Du die z.B. im .mbox-Format hast, füttere sa-learn mit dem Kommando
"sa-learn --ham --mbox /PfadzurDatei/hamdatei.mbox"

Danach machst Du ein "sa-learn --sync" und ein "/etc/init.d/spamd stop" und "/etc/init.d/spamd start".

Mit ein bissl Glück war es das schon.


/EDIT: Ah, was ich noch vergessen habe: Er (=das System) versucht, im Verzeichnis /var/spool/spamassassin/ noch Journaldateien anzulegen. Das fällt Dir aber erst auf, weil ich es Dir sage, bzw. weil Du Dir /var/log/mail genauer anschaust. Gehe also in das Verzeichnis und mache ein "chmod go+w .", damit erteilst Du ein Schreibrecht für alle auf dieses Verzeichnis. ACHTUNG: DIES IST BESTIMMT NICHT DIE SICHERSTE METHODE, finde am besten raus, welcher User/welche Gruppe das Journal anlegt und vergib das Recht nur an diese. Zum Testen ist es aber evtl. (!) nicht verkehrt, meine Hau-drauf-Methode zu versuchen.

 

[Sinepp]

Und zum Thema:

Aug 3 11:13:07 plesk spamd[24743]: result: . 0 - scantime=0.0,size=1098,mid=(unknown),autolearn=failed

schau mal auf den Thread, falls sich das nicht schon durch die Maßnahmen von leines erledigt hat.

 

[andy5748]

plesk:/var/mail/ham# sa-learn --ham --mbox /var/mail/ham
Learned from 1567 message(s) (1595 message(s) examined).

Sohh, ein paar ham mails wurden SP zum fraß vorgeforfen

Und hier die aktuelle dump-Ausgabe:

0.000          0          3          0  non-token data: bayes db version
0.000          0     132575          0  non-token data: nspam
0.000          0       1583          0  non-token data: nham
0.000          0     342100          0  non-token data: ntokens
0.000          0 1092434400          0  non-token data: oldest atime
0.000          0 1154704472          0  non-token data: newest atime
0.000          0 1154704536          0  non-token data: last journal sync atime
0.000          0 1154703822          0  non-token data: last expiry atime
0.000          0    5529600          0  non-token data: last expire atime delta
0.000          0    3389915          0  non-token data: last expire reduction count

Doch: /etc/int.d/spamd konnte ich nicht finden (habe es aber unter /usr/sbin/ gefunden) jedoch ließ es sich nicht starten (?). Auf jedem Fall habe ich beim ausführen von /usr/init.d/spamassassin (dachte vielleicht ersetzt diese spamd ) die Meldung "SpamAssassin Mail Filter Daemon: disabled, see /etc/default/spamassassin" erhalten, habe also in /etc/default/spamassassin nachgeschaut, dort fand ich folgende Zeile

# Change to one to enable spamd
ENABLED=0

die ich jetzt auf 1 gesetzt habe.

Anschließend

:/etc/init.d/spamassassin start

Starting SpamAssassin Mail Filter Daemon: spamd.

Nach einiger Zeit habe ich dann versucht die Daten der Datenbank zu vergleichen und tatsächlich scheint es Änderungen zu geben!

Ich werde Morgen Bescheid geben, ob alles ordnungsgemäß läuft und bedanke mich in der Zwischenzeit

Grüße, Andreas

 

[andy5748]

Leider musste ich feststellen, dass trotzdem SPAM-mails durchkommen.

Im mail.info log fand ich folgende Zeilen mit spamd:

Aug  4 18:50:47 plesk spamd[19675]: got connection over /tmp/spamd_full.sock
Aug  4 18:50:47 plesk spamd[19675]: Using default config for andreas@digiem.net: /var/qmail/mailnames/domain.tld/andreas/.spamassassin/user_prefs
Aug  4 18:50:47 plesk spamd[19675]: processing message <44D378B5.4030109@domain.com> for andreas@domain.tld:110.
Aug  4 18:50:47 plesk spamd[19675]: clean message (-1.7/7.0) for andreas@domain.tld:110 in 0.2 seconds, 22701 bytes.
Aug  4 18:50:47 plesk spamd[19675]: result: . -1 - AWL,BAYES_00,HTML_80_90,HTML_MESSAGE,HTML_NONELEMENT_00_10,HTML_TAG_EXIST_TBODY scantime=0.2,size=22701,mid=<44D378B5.4030109@domain.com>,bayes=5.55111512312578e-17,autolearn=no

ein anderer hingegen

Aug  4 19:28:15 plesk spamd[19679]: result: .  0 - BAYES_50,HTML_MESSAGE scantime=0.1,size=2830,mid=<000001c6b7e9$fdd474e0$50c2a8c0@rdq76>,bayes=0.500656101476328,autolearn=ham

wieder ein anderer:

Aug  4 19:28:15 plesk spamd[19675]: result: . -2 - BAYES_00,HTML_MESSAGE scantime=0.1,size=3126,mid=<000001c6b7e9$fdd474e0$50c2a8c0@rdq76>,bayes=0.0098833761695562,autolearn=unavailable

Hier noch ein Auschnitt der Verzeichnisansicht von /var/spool/spamassassin/

drwxrwxrwx  2 root    root        4096 2006-08-04 19:28 .
drwxr-xr-x  7 root    root        4096 2006-08-01 10:37 ..
-rw-rw-rw-  1 popuser popuser    35256 2006-08-04 19:28 bayes_journal
-rw-rw-rw-  1 root    root    19836928 2006-08-04 19:28 bayes_seen
-rw-rw-rw-  1 root    root    19824640 2006-07-31 15:12 bayes_seen_
-rw-rw-rw-  1 root    root    10293248 2006-08-04 19:28 bayes_toks
-rw-rw-rw-  1 root    root    84344832 2006-08-01 10:43 bayes_toks_

und von der bayes db:

0.000          0          3          0  non-token data: bayes db version
0.000          0     132575          0  non-token data: nspam
0.000          0       1588          0  non-token data: nham
0.000          0     342317          0  non-token data: ntokens
0.000          0 1092434400          0  non-token data: oldest atime
0.000          0 1154712495          0  non-token data: newest atime
0.000          0 1154704536          0  non-token data: last journal sync atime
0.000          0 1154703822          0  non-token data: last expiry atime
0.000          0    5529600          0  non-token data: last expire atime delta
0.000          0    3389915          0  non-token data: last expire reduction count

wobei sich nham, ntokens und newest atime hin und wieder verändern!

stimmt da trotzdem was nicht?

 

[andy5748]

Habe noch eine Info:

plesk:/var/spool/spamassassin# ps -aux | grep spamd
popuser  19668  0.0  1.0 22952 20896 ?       Ss   17:59   0:00 /usr/sbin/spamd --username=popuser --daemonize --helper-home-dir=/var/qmail --max-children 5 --create-prefs --nouser-config --virtual-config-dir=/var/qmail/mailnames/%d/%l/.spamassassin --pidfile=/var/run/spamd/spamd_light.pid --socketpath=/tmp/spamd_light.sock --siteconfigpath=/dev/null
popuser  19669  0.0  1.0 23384 21364 ?       Ss   17:59   0:00 /usr/sbin/spamd --username=popuser --daemonize --helper-home-dir=/var/qmail --max-children 5 --create-prefs --nouser-config --virtual-config-dir=/var/qmail/mailnames/%d/%l/.spamassassin --pidfile=/var/run/spamd/spamd_full.pid --socketpath=/tmp/spamd_full.sock
popuser  19670  0.0  1.0 23164 21172 ?       S    17:59   0:00 spamd child
popuser  19671  0.0  1.0 23164 21172 ?       S    17:59   0:00 spamd child
popuser  19672  0.0  1.0 23164 21172 ?       S    17:59   0:00 spamd child
popuser  19673  0.0  1.0 23164 21172 ?       S    17:59   0:00 spamd child
popuser  19674  0.0  1.0 23164 21172 ?       S    17:59   0:00 spamd child
popuser  19675  0.0  1.0 24736 22776 ?       S    17:59   0:00 spamd child
popuser  19676  0.0  1.1 24868 22900 ?       S    17:59   0:00 spamd child
popuser  19677  0.0  1.0 24024 22048 ?       S    17:59   0:00 spamd child
popuser  19678  0.0  1.0 24404 22440 ?       S    17:59   0:00 spamd child
popuser  19679  0.0  1.0 24092 22152 ?       S    17:59   0:00 spamd child
root     20976  0.7  1.0 24684 21820 ?       Ss   20:07   0:00 /usr/sbin/spamd --create-prefs --max-children 5 --helper-home-dir -d --pidfile=/var/run/spamd.pid
root     20977  0.0  1.0 24684 21820 ?       S    20:07   0:00 spamd child
root     20978  0.0  1.0 24684 21820 ?       S    20:07   0:00 spamd child
root     20979  0.0  1.0 24684 21820 ?       S    20:07   0:00 spamd child
root     20980  0.0  1.0 24684 21820 ?       S    20:07   0:00 spamd child
root     20981  0.0  1.0 24684 21820 ?       S    20:07   0:00 spamd child
root     20993  0.0  0.0  2072  784 pts/0    S+   20:08   0:00 grep spamd
plesk:/var/spool/spamassassin# /etc/init.d/spamassassin stop
Stopping SpamAssassin Mail Filter Daemon: spamd.
plesk:/var/spool/spamassassin# ps -aux | grep spamd
popuser  19668  0.0  1.0 22952 20896 ?       Ss   17:59   0:00 /usr/sbin/spamd --username=popuser --daemonize --helper-home-dir=/var/qmail --max-children 5 --create-prefs --nouser-config --virtual-config-dir=/var/qmail/mailnames/%d/%l/.spamassassin --pidfile=/var/run/spamd/spamd_light.pid --socketpath=/tmp/spamd_light.sock --siteconfigpath=/dev/null
popuser  19669  0.0  1.0 23384 21364 ?       Ss   17:59   0:00 /usr/sbin/spamd --username=popuser --daemonize --helper-home-dir=/var/qmail --max-children 5 --create-prefs --nouser-config --virtual-config-dir=/var/qmail/mailnames/%d/%l/.spamassassin --pidfile=/var/run/spamd/spamd_full.pid --socketpath=/tmp/spamd_full.sock
popuser  19670  0.0  1.0 23164 21172 ?       S    17:59   0:00 spamd child
popuser  19671  0.0  1.0 23164 21172 ?       S    17:59   0:00 spamd child
popuser  19672  0.0  1.0 23164 21172 ?       S    17:59   0:00 spamd child
popuser  19673  0.0  1.0 23164 21172 ?       S    17:59   0:00 spamd child
popuser  19674  0.0  1.0 23164 21172 ?       S    17:59   0:00 spamd child
popuser  19675  0.0  1.0 24736 22776 ?       S    17:59   0:00 spamd child
popuser  19676  0.0  1.1 24868 22900 ?       S    17:59   0:00 spamd child
popuser  19677  0.0  1.0 24024 22048 ?       S    17:59   0:00 spamd child
popuser  19678  0.0  1.0 24404 22440 ?       S    17:59   0:00 spamd child
popuser  19679  0.0  1.0 24092 22152 ?       S    17:59   0:00 spamd child
root     21028  0.0  0.0  2068  768 pts/0    R+   20:09   0:00 grep spamd

 

[leines]

Also wenn sich nham verändert, greift er wohl definitiv die Datenbank an, so hab ich das mal verstanden.

autolearn=ham, heisst, er hat die mail als ham gelernt, autolearn=unavailable heisst, er hat die Mail schonmal gelernt und lernt sie deswegen nicht nochmal.

Hat denn wenigstens die Anzahl der durchgeleiteten Spammails nachgelassen? Nunja, bzw. die Frage ist ja, hat er die Spams als solche markiert? Bei mir lässt er alle durch, markiert aber die Mails, so dass ich aussortieren kann.

Warum er bei Dir /etc/init.d/spamd nicht hat weiss ich auch nicht, "ps -aux" hat dir ja angezeigt, dass er läuft, also sollte er auch irgendwo sein.

Du hast in /var/spool/spamassassin 2 (!) Datenbanken laufen? eine mit "_" hinten, eine ohne. Welche ist in /etc/(mail/)spamassassin/local.cf eingetragen?

Verwendest Du systemweites Filtern mit SA oder Userbezogenes?

Good luck!

 

[andy5748]

Ich habe die Log-Datei bis jetzt beobachtet, jedoch immer nur ham oder eben no als autolearn= erhalten! Darum habe ich jetzt nochmals meinen ganzen localen SPAM aus Outlook durch Aid4Mail (habe damals mit der Trial [max. 50 mails/folder] nur 50 mails zum Fraß vorgeworfen) sa-learn übergeben, das waren insg. fast 2000 mails und werde jetzt mal bis Morgen abwarten, sehn ob sich was tut! Jedenfalls bekomme ich genau so viele SPAM-mails wie vorher!

Was meinst Du mit markiert, den Betreff z.B. mit **** SPAM **** versehen?

Verwendest Du systemweites Filtern mit SA oder Userbezogenes?

Ich habe bis an dem Moment an dem ich Deine Nachricht gelesen habe Systemweit + Bunutzerebene gefiltert. Jetzt verwende ich systemweeites Filtern.

Hier noch meine Angaben von sa-learn --dump|more:

0.000          0          3          0  non-token data: bayes db version
0.000          0     134305          0  non-token data: nspam
0.000          0       1705          0  non-token data: nham
0.000          0     423334          0  non-token data: ntokens
0.000          0 1109378644          0  non-token data: oldest atime
0.000          0 1155043238          0  non-token data: newest atime
0.000          0 1155043623          0  non-token data: last journal sync atime
0.000          0 1155017319          0  non-token data: last expiry atime
0.000          0    5529600          0  non-token data: last expire atime delta
0.000          0       2651          0  non-token data: last expire reduction count

sa-learn --sync gab mir diesmal keine Ausgabe!

Ich melde mich dann noch mal in etwa 2 Tagen, dann sehen wir ja ob es Änderungen gibt!

 

[Sinepp]

Mach mal ein:
fine / -name spamd

Was kommt dabei raus?

Grüße
Sinepp

 

[andy5748]

plesk:~# fin[B]d[/B] / -name spamd
/var/run/spamd
/usr/sbin/spamd
/opt/psa/admin/sbin/spamd
/opt/psa/admin/bin/spamd
plesk:~#

 

[Sinepp]

natürlich find. Komisch. Wollte nur sichergehen, dass sich kein spamd im Verzeichnis /etc/init.d/ befindet, da du einen Verschreiber hattest:
/etc/int.d/spamd

Naja...

Wie hast du spamassassin installiert? Per RPM oder selber kompiliert?

 

[andy5748]

SA wurde durch Plesk installiert (8.0.1), müsste also soweit alles ok sein.

 

[Sinepp]

ok schon, aber vielleicht trotzdem eine relevante info, da hier offensichtlich anders installiert wird, als bei einem standard rpm oder manuellem compile.

* bayes_auto_learn_threshold_nonspam 0.0

* bayes_auto_learn_threshold_spam 5.0 (default 6.0)

Gibts so etwas in deiner local.cf von spamassassin? Damit könntest du ihn zwingen in gewissen Grenzen automatisch auch spam zu lernen.

 

[andy5748]

nein bzw. ja, meine loal.cf sieht so aus:

required_score  7
whitelist_from  *@domain1.* *@domain2.*
rewrite_header  subject **** SPAM ****

# use Bayes-Filter
use_bayes 1
bayes_path /var/spool/spamassassin/bayes
bayes_file_mode 777
# auto-learn
auto_learn 1

bayes_auto_learn 1

bayes_auto_learn_threshold_spam 7.0

Soll ich den ersten EIntrag hinzufügen, bzw. den 2. abändern?

 

[Sinepp]

Naja, wenn du den zweiten abänderst fängt bayes früher an zu lernen, also bei Mails mit einem Spamlevel von 5.0 oder so.

Mein Spamlevel steht auf 5.0 und ich bekomme damit eigentlich das meiste vom Tisch. Ansonsten würde ich mir vielleicht die nicht identifizierten Spammails anschauen, was Bayes dazu sagt. Sollte Bayes sich zu 99% sicher sein, bei diesen Mails, könntest du noch die Bayes Spamregel in ihrer Auswirkung höher setzen (2.0 bspw.)

Grüße
Sinepp

 

[andy5748]

Auau, habe gerade was festgestellt:

plesk:~# ps aux | grep spamd
root     30313  0.0  1.0 24684 21820 ?       Ss   Aug05   0:00 /usr/sbin/spamd --create-prefs --max-children 5 --helper-home-dir -d --pidfile=/var/run/spamd.pid
root     30314  0.0  1.0 24684 21820 ?       S    Aug05   0:00 spamd child
root     30315  0.0  1.0 24684 21820 ?       S    Aug05   0:00 spamd child
root     30316  0.0  1.0 24684 21820 ?       S    Aug05   0:00 spamd child
root     30317  0.0  1.0 24684 21820 ?       S    Aug05   0:00 spamd child
root     30318  0.0  1.0 24684 21820 ?       S    Aug05   0:00 spamd child
popuser  15793  0.0  1.0 23380 21348 ?       Ss   Aug07   0:00 /usr/sbin/spamd --username=popuser --daemonize --helper-home-dir=/var/qmail --max-children 5 --pidfile=/var/run/spamd/spamd_full.pid --socketpath=/tmp/spamd_full.sock
popuser  15795  0.0  1.0 23380 21348 ?       Ss   Aug07   0:00 /usr/sbin/spamd --username=popuser --daemonize --helper-home-dir=/var/qmail --max-children 5 --pidfile=/var/run/spamd/spamd_light.pid --socketpath=/tmp/spamd_light.sock
popuser  15796  0.0  1.1 26364 24424 ?       S    Aug07   0:07 spamd child
popuser  15797  0.0  1.1 26536 24596 ?       S    Aug07   0:08 spamd child
popuser  15798  0.0  1.1 26508 24572 ?       S    Aug07   0:42 spamd child
popuser  15799  0.0  1.2 26960 25044 ?       S    Aug07   0:51 spamd child
popuser  15800  0.0  1.1 25540 23592 ?       S    Aug07   1:39 spamd child
popuser  15801  0.0  1.0 23664 21644 ?       S    Aug07   0:00 spamd child
popuser  15802  0.0  1.0 23664 21644 ?       S    Aug07   0:00 spamd child
popuser  15803  0.0  1.0 23664 21644 ?       S    Aug07   0:00 spamd child
popuser  15804  0.0  1.0 23664 21644 ?       S    Aug07   0:00 spamd child
popuser  15805  0.0  1.0 23664 21644 ?       S    Aug07   0:00 spamd child
root      9678  0.0  0.0  2072  784 pts/0    S+   13:46   0:00 grep spamd

wenn ich jetzt unter Plesk SA stoppe:

plesk:~# ps aux | grep spamd
root     30313  0.0  1.0 24684 21820 ?       Ss   Aug05   0:00 /usr/sbin/spamd --create-prefs --max-children 5 --helper-home-dir -d --pidfile=/var/run/spamd.pid
root     30314  0.0  1.0 24684 21820 ?       S    Aug05   0:00 spamd child
root     30315  0.0  1.0 24684 21820 ?       S    Aug05   0:00 spamd child
root     30316  0.0  1.0 24684 21820 ?       S    Aug05   0:00 spamd child
root     30317  0.0  1.0 24684 21820 ?       S    Aug05   0:00 spamd child
root     30318  0.0  1.0 24684 21820 ?       S    Aug05   0:00 spamd child
root      9730  0.0  0.0  2068  768 pts/0    R+   13:46   0:00 grep spamd

dann starte ich SA unter plesk wieder und führe ... aus:

plesk:~# /etc/init.d/spamassassin stop
Stopping SpamAssassin Mail Filter Daemon: spamd.
plesk:~# ps aux | grep spamd
popuser   9738  2.1  1.0 23380 21348 ?       Ss   13:46   0:00 /usr/sbin/spamd --username=popuser --daemonize --helper-home-dir=/var/qmail --max-children 5 --pidfile=/var/run/spamd/spamd_full.pid --socketpath=/tmp/spamd_full.sock
popuser   9741  2.1  1.0 23380 21348 ?       Ss   13:46   0:00 /usr/sbin/spamd --username=popuser --daemonize --helper-home-dir=/var/qmail --max-children 5 --pidfile=/var/run/spamd/spamd_light.pid --socketpath=/tmp/spamd_light.sock
popuser   9742  0.0  1.0 23380 21348 ?       S    13:46   0:00 spamd child
popuser   9743  0.0  1.0 23380 21348 ?       S    13:46   0:00 spamd child
popuser   9744  0.0  1.0 23380 21348 ?       S    13:46   0:00 spamd child
popuser   9745  0.0  1.0 23380 21348 ?       S    13:46   0:00 spamd child
popuser   9746  0.0  1.0 23380 21348 ?       S    13:46   0:00 spamd child
popuser   9747  0.0  1.0 23380 21348 ?       S    13:46   0:00 spamd child
popuser   9748  0.0  1.0 23380 21348 ?       S    13:46   0:00 spamd child
popuser   9749  0.0  1.0 23380 21348 ?       S    13:46   0:00 spamd child
popuser   9750  0.0  1.0 23380 21348 ?       S    13:46   0:00 spamd child
popuser   9752  0.0  1.0 23380 21348 ?       S    13:46   0:00 spamd child
root      9808  0.0  0.0  2068  772 pts/0    S+   13:46   0:00 grep spamd

Wie man hier sehen kann läuft spamd anscheinend "doppelt"!!! Einmal /etc/init.d/spamassassin, das ich selbst manuell ausgeführt habe, das mit Plesk nichts am Hut hat. Und ein zweites mal durch Plesk. Durch die letzten Updates von Plesk laufen bei mir Backup und Watchdog wieder einwandfrei )), habe jetzt unter Watchdog "Plesk SpamAssassin" die Befehle zum starten und stoppen des SA Services gefunden: /opt/psa/admin/bin/spamd start|stop
/opt/psa/admin/bin/spamd ist ein slink und führt zu /opt/psa/admin/sbin/wrapper. In /opt/psa/admin/sbin finde ich auch spamd. Wenn ich spamd hier jetzt manuell stoppe führt das zur gleichen Ausgabe wie beim stoppen unter Plesk (logischerweise). Lange Sätze kurzer Sinn: "mein" /etc/initd.d/spamassassin ist also überflüssig und ich habe es ausgeschlaten. Jetzt läuft "nur" mehr

plesk:/opt/psa/admin/sbin# ps aux | grep spamd
popuser   9901  0.0  1.0 23736 21412 ?       Ss   13:52   0:00 /usr/sbin/spamd --username=popuser --daemonize --helper-home-dir=/var/qmail --max-children 5 --pidfile=/var/run/spamd/spamd_full.pid --socketpath=/tmp/spamd_full.sock
popuser   9903  0.0  1.0 23736 21412 ?       Ss   13:52   0:00 /usr/sbin/spamd --username=popuser --daemonize --helper-home-dir=/var/qmail --max-children 5 --pidfile=/var/run/spamd/spamd_light.pid --socketpath=/tmp/spamd_light.sock
popuser   9904  0.0  1.0 24644 22392 ?       S    13:52   0:00 spamd child
popuser   9905  0.0  1.0 23960 21700 ?       S    13:52   0:00 spamd child
popuser   9906  0.0  1.0 24556 22228 ?       S    13:52   0:00 spamd child
popuser   9907  0.0  1.0 24676 22392 ?       S    13:52   0:00 spamd child
popuser   9908  0.0  1.0 23960 21700 ?       S    13:52   0:00 spamd child
popuser   9909  0.0  1.0 23960 21700 ?       S    13:52   0:00 spamd child
popuser   9910  0.0  1.0 23960 21700 ?       S    13:52   0:00 spamd child
popuser   9911  0.0  1.0 23960 21700 ?       S    13:52   0:00 spamd child
popuser   9912  0.0  1.0 23960 21700 ?       S    13:52   0:00 spamd child
popuser   9913  0.0  1.0 23960 21700 ?       S    13:52   0:00 spamd child
root     10395  0.0  0.0  2072  784 pts/0    S+   15:01   0:00 grep spamd

Zum eigentlichen Inhalt: ich habe local.cf folgendermaßen abgeändert:

required_score  5
whitelist_from  *@domain.* *@domain.*
rewrite_header  subject **** SPAM ****

# use Bayes-Filter
use_bayes 1
bayes_path /var/spool/spamassassin/bayes
bayes_file_mode 777
# auto-learn
auto_learn 1

bayes_auto_learn 1

bayes_auto_learn_threshold_spam 5.0

und Plesks SA restartet. Mal sehn was jetzt passiert.