spammassassin, amavis und sa-learn: wie?
Hallo, ich bin verwirrt: Ich habe hier lokal fetchmail laufen, das die diversen Accounts abholt und dann lokal via postfix (inkl. amavis, spammassassin und clamav) zustellt. Da ich keine Lust habe, meine Mail Accounts auf den Servern direkt zu checken, ist dort bewusst _jeder_ Spam-Schutz abgeschaltet. Das SPAM-filtern geschieht ausschliesslich lokal. Nun ist die SPAM-Erkennrate irgendwie nicht wirklich befriedigend. Es kommen immer noch zu viele Mails an, die nicht als SPAM geflaggt werden und somit nicht automatisch in den SPAM Ordner einsortiert werden. Also dachte ich, da gibt's doch noch sa-learn. Aber: sa-learn als "ich" aufgerufen legt doch diese Bayes* Dateien bei mir im HOME ab; amavis und spamassassin laufen doch als user vscan bzw. root im Falle des spamd. (BTW: Nutzt meine Kette eigentlich den spamd oder geht das irgendwie doch anders?) Wie "trainiere" ich jetzt also den zentralen SPAM-Schutz mit den in den lokalen MailBoxen liegenden als SPAM erkannten Mails? Und WO liegen die Bayes* Dateien, die von dieser zentralen Instanz wirklich beachtet werden? Oder kann jeder User "seine" lokalen Bayes* Files besitzen; also so etwas wie seine individuelle SPAM-Erkennmaschinerie? Ich blicke hier so ziemlich gar nicht durch. Danke Andreas PS: Ich kann NICHT direkt Mails annehmen; der Rechner hat 'ne wechselnde IP und ist auch mal aus. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Kyek, Andreas, VF-DE wrote:
Hallo,
ich bin verwirrt:
Ich habe hier lokal fetchmail laufen, das die diversen Accounts abholt und dann lokal via postfix (inkl. amavis, spammassassin und clamav) zustellt. Da ich keine Lust habe, meine Mail Accounts auf den Servern direkt zu checken, ist dort bewusst _jeder_ Spam-Schutz abgeschaltet. Das SPAM-filtern geschieht ausschliesslich lokal.
Spamfilterung im nachhinein ist immer schwieriger als wenn man amavisd-new direkt die Client-IP übergeben kann. So muss Spamassassin die Client-IP extrapolieren und verwendet vermutlich die IP des ISP-Mailservers als Client-IP (die vor localhost von Fetchmail).
Nun ist die SPAM-Erkennrate irgendwie nicht wirklich befriedigend. Es kommen immer noch zu viele Mails an, die nicht als SPAM geflaggt werden und somit nicht automatisch in den SPAM Ordner einsortiert werden.
Das wird auch so bleiben, fürchte ich. Du kannst die Rate zwar noch verbessern, aber wirklich gut wird sie wohl nicht.
Also dachte ich, da gibt's doch noch sa-learn. Aber:
sa-learn als "ich" aufgerufen legt doch diese Bayes* Dateien bei mir im HOME ab; amavis und spamassassin laufen doch als user vscan bzw. root im Falle des spamd. (BTW: Nutzt meine Kette eigentlich den spamd oder geht das irgendwie doch anders?)
Du musst sa-learn auf jeden Fall als User vscan aufrufen, sonst werden die Datenbanken nicht für Amavisd-new genutzt.
Wie "trainiere" ich jetzt also den zentralen SPAM-Schutz mit den in den lokalen MailBoxen liegenden als SPAM erkannten Mails? Und WO liegen die Bayes* Dateien, die von dieser zentralen Instanz wirklich beachtet werden? Oder kann jeder User "seine" lokalen Bayes* Files besitzen; also so etwas wie seine individuelle SPAM-Erkennmaschinerie?
Nicht unter Amavisd-new. Über SQL kann man zwar einige Userpräferenzen vornehmen, aber nicht alles einstellen.
PS: Ich kann NICHT direkt Mails annehmen; der Rechner hat 'ne wechselnde IP und ist auch mal aus.
Mit anderen Worten, es ist kein echter Server, mehr ein Client mit einigen Server-Eigenschaften. Versuche es mal mit Pyzor und Razor, die gehen über Maileigenschaften und sollten auch für deine Konfiguration verbesserte Erkennung liefern. Voraussetzung ist dabei natürlich, dass der Rechner eine Internet-Verbindung hat. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moins, ich frage mal mit, weil ich vermutlich das gleiche Problem habe.... Am Freitag, den 16.02.2007, 13:24 +0100 schrieb Sandy Drobic:
Das wird auch so bleiben, fürchte ich. Du kannst die Rate zwar noch verbessern, aber wirklich gut wird sie wohl nicht.
Als root habe ich die Db gefüttert (ca. 10.000 Mails), aber die Erkennungsrate ist nicht so doll.
Du musst sa-learn auf jeden Fall als User vscan aufrufen, sonst werden die Datenbanken nicht für Amavisd-new genutzt.
Kann ich die root-DB irgendwie auf den User vscan "übertragen"? Reicht da ein kopieren und Rechte und User umbennen aus? Gruss Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Christian Banek wrote:
Moins, ich frage mal mit, weil ich vermutlich das gleiche Problem habe.... Am Freitag, den 16.02.2007, 13:24 +0100 schrieb Sandy Drobic:
Das wird auch so bleiben, fürchte ich. Du kannst die Rate zwar noch verbessern, aber wirklich gut wird sie wohl nicht.
Als root habe ich die Db gefüttert (ca. 10.000 Mails), aber die Erkennungsrate ist nicht so doll.
Sind denn die Netzwerk-Checks aktiv? Poste doch mal die Zeile der Mail, wo die Checks aufgeführt sind, die angeschlagen haben.
Du musst sa-learn auf jeden Fall als User vscan aufrufen, sonst werden die Datenbanken nicht für Amavisd-new genutzt.
Kann ich die root-DB irgendwie auf den User vscan "übertragen"? Reicht da ein kopieren und Rechte und User umbennen aus?
Vermutlich schon, aber beschwören kann ich es nicht. Notfalls kannst du aber mit sa-learn auch die Datenbank exportieren (--backup) und als user vscan wieder importieren (--restore). Prüfe aber zuerst mal, ob du wirklich die Netzwerk-Checks aktiviert hast. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moin, Am Freitag, den 16.02.2007, 21:44 +0100 schrieb Sandy Drobic:
Als root habe ich die Db gefüttert (ca. 10.000 Mails), aber die Erkennungsrate ist nicht so doll.
Sind denn die Netzwerk-Checks aktiv? Poste doch mal die Zeile der Mail, wo die Checks aufgeführt sind, die angeschlagen haben.
X-Virus-Scanned: by AMaViS snapshot-20020531 X-Virus-Scanned-club: by amavisd-new at club.local X-Spam-Status: Yes, score=9.521 tagged_above=-20 required=5 tests=[BAYES_99=3.5, BIZ_TLD=2.013, DATE_IN_FUTURE_12_24=2.767, HTML_FONT_SIZE_LARGE=1.238, HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.001, UNPARSEABLE_RELAY=0.001] X-Spam-Score: 9.521 X-Spam-Level: ********* X-Spam-Flag: YES Bis jetzt ging ich davon aus, dass das irgendwie doch läuft, aber sicher bin ich mir eben nicht. Die Erkennungsrate liegt im Moment bei ca. 2 zu 1, d.h., zwei Mails werden als Spam definiert und 1/3 eben noch nicht. Ist das normal bei 10000 Mails in der Datenbank? Gruss Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Christian Banek wrote:
Moin, Am Freitag, den 16.02.2007, 21:44 +0100 schrieb Sandy Drobic:
Als root habe ich die Db gefüttert (ca. 10.000 Mails), aber die Erkennungsrate ist nicht so doll. Sind denn die Netzwerk-Checks aktiv? Poste doch mal die Zeile der Mail, wo die Checks aufgeführt sind, die angeschlagen haben.
X-Virus-Scanned: by AMaViS snapshot-20020531 X-Virus-Scanned-club: by amavisd-new at club.local X-Spam-Status: Yes, score=9.521 tagged_above=-20 required=5 tests=[BAYES_99=3.5, BIZ_TLD=2.013, DATE_IN_FUTURE_12_24=2.767, HTML_FONT_SIZE_LARGE=1.238, HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.001, UNPARSEABLE_RELAY=0.001] X-Spam-Score: 9.521 X-Spam-Level: ********* X-Spam-Flag: YES
Bis jetzt ging ich davon aus, dass das irgendwie doch läuft, aber sicher bin ich mir eben nicht. Die Erkennungsrate liegt im Moment bei ca. 2 zu 1, d.h., zwei Mails werden als Spam definiert und 1/3 eben noch nicht. Ist das normal bei 10000 Mails in der Datenbank?
Die 10.000 Mails beeinflussen nur die Bayes-Datenbank. Dieser Wert steht in diesem Beispiel bereits auf dem höchsten Wert (BAYES_99), was aber nur 3,5 Punkte bringt. Ich sehe aber keine DNS-Abfragen, was die Erkennung meist deutlich erhöht. Hier ein Beispiel, wo die DNS-Abfragen sichtbar sind: X-Spam-Status: Yes, hits=10.48 tagged_above=-20 required=3.5 tests=BAYES_80, DATE_IN_FUTURE_12_24, MIME_BASE64_TEXT, RCVD_IN_NJABL_DUL, RCVD_IN_SORBS_DUL, RCVD_IN_XBL Hier war der sendende Client also bei Njabl, Sorbs und Xbl in den Blacklists eingetragen. Poste mal die Ausgabe von: egrep -v '^#|^$|^[[:space:]]+#' /etc/amavisd.conf -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moin, Am Samstag, den 17.02.2007, 00:37 +0100 schrieb Sandy Drobic:
Poste mal die Ausgabe von: egrep -v '^#|^$|^[[:space:]]+#' /etc/amavisd.conf
use strict; $max_servers = 2; # number of pre-forked children (2..15 is common) $daemon_user = 'vscan'; $daemon_group = 'vscan'; $mydomain = 'club.local'; # a convenient default for other settings $MYHOME = '/var/spool/amavis'; $TEMPBASE = "$MYHOME/tmp"; # working directory, needs to be created manually $ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR $QUARANTINEDIR = '/var/spool/amavis/virusmails'; @local_domains_maps = ( [".$mydomain"] ); $log_level = 0; # verbosity 0..5 $log_recip_templ = undef; # disable by-recipient level-0 log entries $DO_SYSLOG = 1; # log via syslogd (preferred) $SYSLOG_LEVEL = 'mail.debug'; $enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny) $enable_global_cache = 1; # enable use of libdb-based cache if $enable_db=1 $inet_socket_port = 10024; # listen on this local TCP port(s) (see $protocol) $unix_socketname = "$MYHOME/amavisd.sock"; # when using sendmail milter $sa_tag_level_deflt = -20.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 5.0; $sa_kill_level_deflt = 26.31; # triggers spam evasive actions $sa_dsn_cutoff_level = 9; # spam level beyond which a DSN is not sent $sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? $sa_auto_whitelist = 1; # turn on AWL in SA 2.63 or older (irrelevant $virus_admin = "virusalert\@$mydomain"; # notifications recip. $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender $mailfrom_to_quarantine = ''; # null return path; uses original sender if undef @addr_extension_virus_maps = ('virus'); @addr_extension_spam_maps = ('spam'); @addr_extension_banned_maps = ('banned'); @addr_extension_bad_header_maps = ('badh'); $path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin'; $MAXLEVELS = 14; $MAXFILES = 1500; $MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not enforced) $MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes (default undef, not enforced) $sa_spam_subject_tag = '***SPAM*** '; $defang_virus = 1; # MIME-wrap passed infected mail $defang_banned = 1; # MIME-wrap passed mail containing banned name $myhostname = 'club.local'; $final_spam_destiny = D_PASS; $X_HEADER_TAG = 'X-Virus-Scanned-club'; $X_HEADER_LINE = "by amavisd-new at $myhostname"; @viruses_that_fake_sender_maps = (new_RE( [qr/^/ => 1], # true for everything else )); @keep_decoded_original_maps = (new_RE( qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i, )); $banned_filename_re = new_RE( qr'\.[^./]*[A-Za-z][^./]*\.(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)\.?$'i, qr'^application/x-msdownload$'i, # block these MIME types qr'^application/x-msdos-program$'i, qr'^application/hta$'i, [ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any in Unix-type archives qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl)$'i, # banned extension - basic qr'^\.(exe-ms)$', # banned file(1) types ); @score_sender_maps = ({ # a by-recipient hash lookup table, '.' => [ # the _first_ matching sender determines the score boost new_RE( # regexp-type lookup table, just happens to be all soft-blacklist [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i => 5.0], [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0], [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0], [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i => 5.0], [qr'^(your_friend|greatoffers)@'i => 5.0], [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i => 5.0], ), { # a hash-type lookup table (associative array) 'nobody@cert.org' => -3.0, 'cert-advisory@us-cert.gov' => -3.0, 'owner-alert@iss.net' => -3.0, 'slashdot@slashdot.org' => -3.0, 'bugtraq@securityfocus.com' => -3.0, 'ntbugtraq@listserv.ntbugtraq.com' => -3.0, 'security-alerts@linuxsecurity.com' => -3.0, 'mailman-announce-admin@python.org' => -3.0, 'amavis-user-admin@lists.sourceforge.net'=> -3.0, 'notification-return@lists.sophos.com' => -3.0, 'owner-postfix-users@postfix.org' => -3.0, 'owner-postfix-announce@postfix.org' => -3.0, 'owner-sendmail-announce@lists.sendmail.org' => -3.0, 'sendmail-announce-request@lists.sendmail.org' => -3.0, 'donotreply@sendmail.org' => -3.0, 'ca+envelope@sendmail.org' => -3.0, 'noreply@freshmeat.net' => -3.0, 'owner-technews@postel.acm.org' => -3.0, 'ietf-123-owner@loki.ietf.org' => -3.0, 'cvs-commits-list-admin@gnome.org' => -3.0, 'rt-users-admin@lists.fsck.com' => -3.0, 'clp-request@comp.nus.edu.sg' => -3.0, 'surveys-errors@lists.nua.ie' => -3.0, 'emailnews@genomeweb.com' => -5.0, 'yahoo-dev-null@yahoo-inc.com' => -3.0, 'returns.groups.yahoo.com' => -3.0, 'clusternews@linuxnetworx.com' => -3.0, lc('lvs-users-admin@LinuxVirtualServer.org') => -3.0, lc('owner-textbreakingnews@CNNIMAIL12.CNN.COM') => -5.0, 'sender@example.net' => 3.0, '.example.net' => 1.0, }, ], # end of site-wide tables }); @decoders = ( ['mail', \&do_mime_decode], ['asc', \&do_ascii], ['uue', \&do_ascii], ['hqx', \&do_ascii], ['ync', \&do_ascii], ['F', \&do_uncompress, ['unfreeze','freeze -d','melt','fcat'] ], ['Z', \&do_uncompress, ['uncompress','gzip -d','zcat'] ], ['gz', \&do_gunzip], ['gz', \&do_uncompress, 'gzip -d'], ['bz2', \&do_uncompress, 'bzip2 -d'], ['lzo', \&do_uncompress, 'lzop -d'], ['rpm', \&do_uncompress, ['rpm2cpio.pl','rpm2cpio'] ], ['cpio', \&do_pax_cpio, ['pax','gcpio','cpio'] ], ['tar', \&do_pax_cpio, ['pax','gcpio','cpio'] ], ['tar', \&do_tar], ['deb', \&do_ar, 'ar'], ['zip', \&do_unzip], ['rar', \&do_unrar, ['rar','unrar'] ], ['arj', \&do_unarj, ['arj','unarj'] ], ['arc', \&do_arc, ['nomarch','arc'] ], ['zoo', \&do_zoo, 'zoo'], ['lha', \&do_lha, 'lha'], ['cab', \&do_cabextract, 'cabextract'], ['tnef', \&do_tnef_ext, 'tnef'], ['tnef', \&do_tnef], ['exe', \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ], ); @av_scanners = ( ['KasperskyLab AVP - aveclient', ['/usr/local/kav/bin/aveclient','/usr/local/share/kav/bin/aveclient', '/opt/kav/bin/aveclient','aveclient'], '-p /var/run/aveserver -s {}/*', [0,3,6,8], qr/\b(INFECTED|SUSPICION)\b/, qr/(?:INFECTED|SUSPICION) (.+)/, ], ['KasperskyLab AntiViral Toolkit Pro (AVP)', ['avp'], '-* -P -B -Y -O- {}', [0,3,6,8], [2,4], # any use for -A -K ? qr/infected: (.+)/, sub {chdir('/opt/AVP') or die "Can't chdir to AVP: $!"}, sub {chdir($TEMPBASE) or die "Can't chdir back to $TEMPBASE $!"}, ], ['KasperskyLab AVPDaemonClient', [ '/opt/AVP/kavdaemon', 'kavdaemon', '/opt/AVP/AvpDaemonClient', 'AvpDaemonClient', '/opt/AVP/AvpTeamDream', 'AvpTeamDream', '/opt/AVP/avpdc', 'avpdc' ], "-f=$TEMPBASE {}", [0,8], [3,4,5,6], qr/infected: ([^\r\n]+)/ ], ['CentralCommand Vexira (new) vascan', ['vascan','/usr/lib/Vexira/vascan'], "-a s --timeout=60 --temp=$TEMPBASE -y $QUARANTINEDIR ". "--vdb=/usr/lib/Vexira/vexira8.vdb --log=/var/log/vascan.log {}", [0,3], [1,2,5], qr/(?x)^\s* (?:virus|iworm|macro|mutant|sequence|trojan)\ found:\ ( [^\]\s']+ )\ \.\.\.\ / ], ['H+BEDV AntiVir or the (old) CentralCommand Vexira Antivirus', ['antivir','vexira'], '--allfiles -noboot -nombr -rs -s -z {}', [0], qr/ALERT:|VIRUS:/, qr/(?x)^\s* (?: ALERT: \s* (?: \[ | [^']* ' ) | (?i) VIRUS:\ .*?\ virus\ '?) ( [^\]\s']+ )/ ], ['Command AntiVirus for Linux', 'csav', '-all -archive -packed {}', [50], [51,52,53], qr/Infection: (.+)/ ], ['Symantec CarrierScan via Symantec CommandLineScanner', 'cscmdline', '-a scan -i 1 -v -s 127.0.0.1:7777 {}', qr/^Files Infected:\s+0$/, qr/^Infected\b/, qr/^(?:Info|Virus Name):\s+(.+)/ ], ['Symantec AntiVirus Scan Engine', 'savsecls', '-server 127.0.0.1:7777 -mode scanrepair -details -verbose {}', [0], qr/^Infected\b/, qr/^(?:Info|Virus Name):\s+(.+)/ ], ['F-Secure Antivirus', 'fsav', '--dumb --mime --archive {}', [0], [3,8], qr/(?:infection|Infected|Suspected): (.+)/ ], ['CAI InoculateIT', 'inocucmd', # retired product '-sec -nex {}', [0], [100], qr/was infected by virus (.+)/ ], ['CAI eTrust Antivirus', 'etrust-wrapper', '-arc -nex -spm h {}', [0], [101], qr/is infected by virus: (.+)/ ], ['MkS_Vir for Linux (beta)', ['mks32','mks'], '-s {}/*', [0], [1,2], qr/--[ \t]*(.+)/ ], ['MkS_Vir daemon', 'mksscan', '-s -q {}', [0], [1..7], qr/^... (\S+)/ ], ['ESET Software NOD32', 'nod32', '--arch --mail {}', [0], [1,10], qr/^object=.*, virus="(.*?)",/ ], ['ESET Software NOD32 - Client/Server Version', 'nod32cli', '-a -r -d recurse --heur standard {}', [0], [10,11], qr/^\S+\s+infected:\s+(.+)/ ], ['Norman Virus Control v5 / Linux', 'nvcc', '-c -l:0 -s -u -temp:$TEMPBASE {}', [0,10,11], [1,2,14], qr/(?i).* virus in .* -> \'(.+)\'/ ], ['Panda Antivirus for Linux', ['pavcl'], '-aut -aex -heu -cmp -nbr -nor -nso -eng {}', qr/Number of files infected[ .]*: 0+(?!\d)/, qr/Number of files infected[ .]*: 0*[1-9]/, qr/Found virus :\s*(\S+)/ ], ['NAI McAfee AntiVirus (uvscan)', 'uvscan', '--secure -rv --mime --summary --noboot - {}', [0], [13], qr/(?x) Found (?: \ the\ (.+)\ (?:virus|trojan) | \ (?:virus|trojan)\ or\ variant\ ([^ ]+) | :\ (.+)\ NOT\ a\ virus)/, ], ['VirusBuster', ['vbuster', 'vbengcl'], "{} -ss -i '*' -log=$MYHOME/vbuster.log", [0], [1], qr/: '(.*)' - Virus/ ], ['CyberSoft VFind', 'vfind', '--vexit {}/*', [0], [23], qr/##==>>>> VIRUS ID: CVDL (.+)/, ], ['Ikarus AntiVirus for Linux', 'ikarus', '{}', [0], [40], qr/Signature (.+) found/ ], ['BitDefender', 'bdc', '--all --arc --mail {}', qr/^Infected files *:0+(?!\d)/, qr/^(?:Infected files|Identified viruses|Suspect files) *:0*[1-9]/, qr/(?:suspected|infected): (.*)(?:\033|$)/ ], ); @av_scanners_backup = ( ['ClamAV-clamscan', 'clamscan', "--stdout --disable-summary -r --tempdir=$TEMPBASE {}", [0], [1], qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ['FRISK F-Prot Antivirus', ['f-prot','f-prot.sh'], '-dumb -archive -packed {}', [0,8], [3,6], qr/Infection: (.+)|\s+contains\s+(.+)$/ ], ['Trend Micro FileScanner', ['/etc/iscan/vscan','vscan'], '-za -a {}', [0], qr/Found virus/, qr/Found virus (.+) in/ ], ['drweb - DrWeb Antivirus', ['/usr/local/drweb/drweb', '/opt/drweb/drweb', 'drweb'], '-path={} -al -go -ot -cn -upn -ok-', [0,32], [1,9,33], qr' infected (?:with|by)(?: virus)? (.*)$'], ['KasperskyLab kavscanner', ['/opt/kav/bin/kavscanner','kavscanner'], '-i1 -xp {}', [0,10,15], [5,20,21,25], qr/(?:CURED|INFECTED|CUREFAILED|WARNING|SUSPICION) (.*)/ , sub {chdir('/opt/kav/bin') or die "Can't chdir to kav: $!"}, sub {chdir($TEMPBASE) or die "Can't chdir back to $TEMPBASE $!"}, ], ); 1; # insure a defined return --------------- Gruss Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Christian Banek schrieb am 16.02.2007 21:19:
Als root habe ich die Db gefüttert (ca. 10.000 Mails), aber die Erkennungsrate ist nicht so doll.
Ja, klar. Die so angelegte Datenbank ist nicht userspezifisch und wird nicht bei der Prüfung der Email eines Users herangezogen. Lass sa-learn als root über die EMails _eines_ Users laufen und kopiere nach so einem Lauf die Datenbaken in's entsprechende SA-Verzeichnis des Users, dann wird für jeden User extra gelernt. Denn was SPAM beim einen ist muss nicht zwangläufig auch beim anderen SPAM sein. Geschickterweise übergibst Du bei so einem Lauf über die EMails noch einen Flag an sa-learn, ob gerade die HAMs eines Users oder seine SPAMs gelernt werden, dann wird der Bayes mit allen Daten gefüttert die er für eine hohe Erkennungsrate benötigt. Bei uns macht dies ein nächtlich laufendes Skript. Die Erkennungsrate ist bei über 99%. _Ohne_ Online-Tests, es laufen lediglich die lokalen und eben der trainierte Bayes-Test. Gruß, Dirk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, On 2/20/2007 9:12 PM, Dirk Schneider wrote:
Christian Banek schrieb am 16.02.2007 21:19:
Als root habe ich die Db gefüttert (ca. 10.000 Mails), aber die
Erkennungsrate ist nicht so doll.
Ja, klar. Die so angelegte Datenbank ist nicht userspezifisch und wird nicht bei der Prüfung der Email eines Users herangezogen.
Habe den thread nicht so detailliert verfolgt, aber wird in diesem Fall hier nicht die eine systemweite Datenbank benutzt? Sprich, die Datenbank wird herangezogen, für jeden Account? (Immer vorausgesetzt die ist für den richtigen User zugänglich...)
Lass sa-learn als root über die EMails _eines_ Users laufen und kopiere nach so einem Lauf die Datenbaken in's entsprechende SA-Verzeichnis des Users, dann wird für jeden User extra gelernt. Denn was SPAM beim einen ist muss nicht zwangläufig auch beim anderen SPAM sein.
Der Grund den du gibst st ja richtig, aber ist das kopieren wirklich sinnvoll? Denn entweder kann ich dann die Datenbank nicht modifizieren, oder ich habe eine Hin-und-her-kopierorgie... wenn ich mich nicht täusche gibt es durchaus Möglichkeiten spamassasin die Mails eines anderen Accounts lernen zu lassen... wie man das dann aber mit amavis nutzt weiss ich nicht.
Geschickterweise übergibst Du bei so einem Lauf über die EMails noch einen Flag an sa-learn, ob gerade die HAMs eines Users oder seine SPAMs gelernt werden,
Das ist nicht nur geschickt, das ist ja wohl die Voraussetzung :-) Arno
dann wird der Bayes mit allen Daten gefüttert die er für eine hohe Erkennungsrate benötigt.
Bei uns macht dies ein nächtlich laufendes Skript. Die Erkennungsrate ist bei über 99%. _Ohne_ Online-Tests, es laufen lediglich die lokalen und eben der trainierte Bayes-Test.
Gruß, Dirk
-- IT-Service Lehmann al@its-lehmann.de Arno Lehmann http://www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Fre, 16 Feb 2007, Sandy Drobic schrieb:
Kyek, Andreas, VF-DE wrote:
Nun ist die SPAM-Erkennrate irgendwie nicht wirklich befriedigend. Es kommen immer noch zu viele Mails an, die nicht als SPAM geflaggt werden und somit nicht automatisch in den SPAM Ordner einsortiert werden.
Das wird auch so bleiben, fürchte ich. Du kannst die Rate zwar noch verbessern, aber wirklich gut wird sie wohl nicht.
Ich hab hier nen Antivir, danach bogo-filter und danach SA[1], beide mit ein paar hundert Spam und Ham angelernt. SA mit autolearn aber ohne alle Online-Tests (Pyzor, Razor, sonstwas). Erkennungsquote des Gespanns: >99.5%, false positives hab ich praktisch keine, und nur alle paar Tage[2] schummeln sich 1-3 neuartige Spams durch (die dann meist jew. gleichartig oder sogar identisch bis auf das To sind; bei z.Z. täglich sicher über 300 Spammails), nach ein paarmal "anlernen" in beiden Filtern klappt's dann. ;) -dnh [1] in dieser Reihenfolge, weil bogofilter schneller ist (und das auf meiner alten Kiste bei > 500 Mails/Tag doch arg lange dauert), von der Erkennung her ist SA besser, der fischt praktisch alles raus, was durch bogofilter durchgeht ;) [2] mal ist über ne Woche nix, dann 6 am Stück oder so... PS: mutt Makros: macro index <F3> "| grep -v '^X-Spam-\|X-Bogosity' \ | bogofilter -Ns -v\n" "bogo learn spam" macro index \e<F3> "| grep -v '^X-Spam-\|X-Bogosity' \ | bogofilter -Sn\n" "bogo learn ham" macro index <F4> "| grep -v '^X-Spam-\|X-Bogosity' \ | sa-learn --spam --no-sync --single\r" "sa-learn spam" macro index \e<F4> "| grep -v '^X-Spam-\|X-Bogosity' \ | sa-learn --ham --no-sync --single\r" "sa-learn ham" Jew. als eine Zeile und ohne den '\'. PPS: Zufallssig :D -- All Software Sucks, MTAs doubly so. -- Anthony de Boer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic wrote:
Kyek, Andreas, VF-DE wrote:
Hallo,
ich bin verwirrt:
Ich habe hier lokal fetchmail laufen, das die diversen Accounts abholt und dann lokal via postfix (inkl. amavis, spammassassin und clamav) zustellt. Da ich keine Lust habe, meine Mail Accounts auf den Servern direkt zu checken, ist dort bewusst _jeder_ Spam-Schutz abgeschaltet. Das SPAM-filtern geschieht ausschliesslich lokal.
Spamfilterung im nachhinein ist immer schwieriger als wenn man amavisd-new direkt die Client-IP übergeben kann. So muss Spamassassin die Client-IP extrapolieren und verwendet vermutlich die IP des ISP-Mailservers als Client-IP (die vor localhost von Fetchmail).
Ist amavisd ein SPAM Filter? Ich dachte das sei ein Virenscanner.
Nun ist die SPAM-Erkennrate irgendwie nicht wirklich befriedigend. Es kommen immer noch zu viele Mails an, die nicht als SPAM geflaggt werden und somit nicht automatisch in den SPAM Ordner einsortiert werden.
Das wird auch so bleiben, fürchte ich. Du kannst die Rate zwar noch verbessern, aber wirklich gut wird sie wohl nicht.
Also dachte ich, da gibt's doch noch sa-learn. Aber:
sa-learn als "ich" aufgerufen legt doch diese Bayes* Dateien bei mir im HOME ab; amavis und spamassassin laufen doch als user vscan bzw. root im Falle des spamd. (BTW: Nutzt meine Kette eigentlich den spamd oder geht das irgendwie doch anders?)
Du musst sa-learn auf jeden Fall als User vscan aufrufen, sonst werden die Datenbanken nicht für Amavisd-new genutzt.
Ok. Dann wird SA durch Amavis aufgerufen. Wenn ich keine Virenfilter haben will, ist es dann gleichwohl sinnvoller SA durch Amavis einzusetzen? Oder direkt SA. Ich möchte den SA für den ganzen Server (mehrere Domains) nicht nur für einen User.
Wie "trainiere" ich jetzt also den zentralen SPAM-Schutz mit den in den lokalen MailBoxen liegenden als SPAM erkannten Mails? Und WO liegen die Bayes* Dateien, die von dieser zentralen Instanz wirklich beachtet werden? Oder kann jeder User "seine" lokalen Bayes* Files besitzen; also so etwas wie seine individuelle SPAM-Erkennmaschinerie?
Nicht unter Amavisd-new. Über SQL kann man zwar einige Userpräferenzen vornehmen, aber nicht alles einstellen.
SQL? Braucht Amavis eine externe Datenbank? Was ist mit externen informationen (Bayes) von einer Zentralen 'SPAM Muster Sammelstelle' die runtergeladen werden kann, um eine noch höhere Trefferquote zu erreichen? -- Thomas
PS: Ich kann NICHT direkt Mails annehmen; der Rechner hat 'ne wechselnde IP und ist auch mal aus.
Mit anderen Worten, es ist kein echter Server, mehr ein Client mit einigen Server-Eigenschaften.
Versuche es mal mit Pyzor und Razor, die gehen über Maileigenschaften und sollten auch für deine Konfiguration verbesserte Erkennung liefern. Voraussetzung ist dabei natürlich, dass der Rechner eine Internet-Verbindung hat.
-- Sandy
Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Thomas Fankhauser wrote:
Sandy Drobic wrote:
Kyek, Andreas, VF-DE wrote:
Hallo,
ich bin verwirrt:
Ich habe hier lokal fetchmail laufen, das die diversen Accounts abholt und dann lokal via postfix (inkl. amavis, spammassassin und clamav) zustellt. Da ich keine Lust habe, meine Mail Accounts auf den Servern direkt zu checken, ist dort bewusst _jeder_ Spam-Schutz abgeschaltet. Das SPAM-filtern geschieht ausschliesslich lokal.
Spamfilterung im nachhinein ist immer schwieriger als wenn man amavisd-new direkt die Client-IP übergeben kann. So muss Spamassassin die Client-IP extrapolieren und verwendet vermutlich die IP des ISP-Mailservers als Client-IP (die vor localhost von Fetchmail).
Ist amavisd ein SPAM Filter? Ich dachte das sei ein Virenscanner.
amavisd-new ist ein Framework, in dem Virenscanner und Spamassassin zusammen mit einigen Filterregeln direkt in /etc/amavisd.conf aufgerufen werden.
Du musst sa-learn auf jeden Fall als User vscan aufrufen, sonst werden die Datenbanken nicht für Amavisd-new genutzt.
Ok. Dann wird SA durch Amavis aufgerufen. Wenn ich keine Virenfilter haben will, ist es dann gleichwohl sinnvoller SA durch Amavis einzusetzen? Oder direkt SA. Ich möchte den SA für den ganzen Server (mehrere Domains) nicht nur für einen User.
Dann ist es am einfachsten, wenn du Amavisd-new verwendest.
Wie "trainiere" ich jetzt also den zentralen SPAM-Schutz mit den in den lokalen MailBoxen liegenden als SPAM erkannten Mails? Und WO liegen die Bayes* Dateien, die von dieser zentralen Instanz wirklich beachtet werden? Oder kann jeder User "seine" lokalen Bayes* Files besitzen; also so etwas wie seine individuelle SPAM-Erkennmaschinerie?
Nicht unter Amavisd-new. Über SQL kann man zwar einige Userpräferenzen vornehmen, aber nicht alles einstellen.
SQL? Braucht Amavis eine externe Datenbank? Was ist mit externen informationen (Bayes) von einer Zentralen 'SPAM Muster Sammelstelle' die runtergeladen werden kann, um eine noch höhere Trefferquote zu erreichen?
SQL ist ein Option, aber nicht notwendig. Ich habe das nur erwähnt, weil du Userpräferenzen angeführt hat. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic wrote:
Thomas Fankhauser wrote:
Sandy Drobic wrote:
Kyek, Andreas, VF-DE wrote:
Hallo,
Ist amavisd ein SPAM Filter? Ich dachte das sei ein Virenscanner.
amavisd-new ist ein Framework, in dem Virenscanner und Spamassassin zusammen mit einigen Filterregeln direkt in /etc/amavisd.conf aufgerufen werden.
Ich hab jetzt amavisd-new installiert, er horcht auf Port 10024. Die Mail wird auch an ihn weitergereicht. SA ist jetzt auch drauf. Hab in YAST Software installieren SA ausgewählt. Laut einer Seite bei Google, muss beim SA erst mal gar nichts gemacht werden. Die Konfiguration von SA ist im Amavisd-new drinnen. Im amavisd.conf habe ich die Zeile: @bypass_virus_checks_maps = (1); # uncomment to DISABLE anti-virus code # @bypass_spam_checks_maps = (1); # uncomment to DISABLE anti-spam code weil ich eigentlich nur auf SPAM checken will. $sa_tag_level_deflt = 0.0; Mit dieser Konfig sollte meiner meinung nach, jedes mail im Header einen Tag erhalten (X-Spam status = 0) oder so. Tu ich aber nicht. Da ich nicht weiss wo ich weitersuchen soll, bin ich wieder mal verloren. Könnt ihr mir noch mal helfen? -- Thomas
Du musst sa-learn auf jeden Fall als User vscan aufrufen, sonst werden die Datenbanken nicht für Amavisd-new genutzt.
Ok. Dann wird SA durch Amavis aufgerufen. Wenn ich keine Virenfilter haben will, ist es dann gleichwohl sinnvoller SA durch Amavis einzusetzen? Oder direkt SA. Ich möchte den SA für den ganzen Server (mehrere Domains) nicht nur für einen User.
Dann ist es am einfachsten, wenn du Amavisd-new verwendest.
Wie "trainiere" ich jetzt also den zentralen SPAM-Schutz mit den in den lokalen MailBoxen liegenden als SPAM erkannten Mails? Und WO liegen die Bayes* Dateien, die von dieser zentralen Instanz wirklich beachtet werden? Oder kann jeder User "seine" lokalen Bayes* Files besitzen; also so etwas wie seine individuelle SPAM-Erkennmaschinerie?
Nicht unter Amavisd-new. Über SQL kann man zwar einige Userpräferenzen vornehmen, aber nicht alles einstellen.
SQL? Braucht Amavis eine externe Datenbank? Was ist mit externen informationen (Bayes) von einer Zentralen 'SPAM Muster Sammelstelle' die runtergeladen werden kann, um eine noch höhere Trefferquote zu erreichen?
SQL ist ein Option, aber nicht notwendig. Ich habe das nur erwähnt, weil du Userpräferenzen angeführt hat.
-- Sandy
Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Thomas Fankhauser wrote:
Sandy Drobic wrote:
Thomas Fankhauser wrote:
Sandy Drobic wrote:
Kyek, Andreas, VF-DE wrote:
Hallo,
Ist amavisd ein SPAM Filter? Ich dachte das sei ein Virenscanner.
amavisd-new ist ein Framework, in dem Virenscanner und Spamassassin zusammen mit einigen Filterregeln direkt in /etc/amavisd.conf aufgerufen werden.
Ich hab jetzt amavisd-new installiert, er horcht auf Port 10024. Die Mail wird auch an ihn weitergereicht. SA ist jetzt auch drauf. Hab in YAST Software installieren SA ausgewählt. Laut einer Seite bei Google, muss beim SA erst mal gar nichts gemacht werden. Die Konfiguration von SA ist im Amavisd-new drinnen. Im amavisd.conf habe ich die Zeile:
@bypass_virus_checks_maps = (1); # uncomment to DISABLE anti-virus code # @bypass_spam_checks_maps = (1); # uncomment to DISABLE anti-spam code weil ich eigentlich nur auf SPAM checken will.
$sa_tag_level_deflt = 0.0;
Mit dieser Konfig sollte meiner meinung nach, jedes mail
im Header einen Tag erhalten (X-Spam status = 0) oder so.
Tu ich aber nicht. Da ich nicht weiss wo ich weitersuchen soll,
bin ich wieder mal verloren.
Könnt ihr mir noch mal helfen?
Jetzt gerade habe ich noch ein X-Quarantine-ID: <jZqweDLXVkp5> entdeckt. Also macht jemand irgendwas. aber wohl noch nicht ganz das gewünschte.
--
Thomas
Du musst sa-learn auf jeden Fall als User vscan aufrufen, sonst werden die Datenbanken nicht für Amavisd-new genutzt.
Ok. Dann wird SA durch Amavis aufgerufen. Wenn ich keine Virenfilter haben will, ist es dann gleichwohl sinnvoller SA durch Amavis einzusetzen? Oder direkt SA. Ich möchte den SA für den ganzen Server (mehrere Domains) nicht nur für einen User.
Dann ist es am einfachsten, wenn du Amavisd-new verwendest.
Wie "trainiere" ich jetzt also den zentralen SPAM-Schutz mit den in den lokalen MailBoxen liegenden als SPAM erkannten Mails? Und WO liegen die Bayes* Dateien, die von dieser zentralen Instanz wirklich beachtet werden? Oder kann jeder User "seine" lokalen Bayes* Files besitzen; also so etwas wie seine individuelle SPAM-Erkennmaschinerie?
Nicht unter Amavisd-new. Über SQL kann man zwar einige Userpräferenzen vornehmen, aber nicht alles einstellen.
SQL? Braucht Amavis eine externe Datenbank? Was ist mit externen informationen (Bayes) von einer Zentralen 'SPAM Muster Sammelstelle' die runtergeladen werden kann, um eine noch höhere Trefferquote zu erreichen?
SQL ist ein Option, aber nicht notwendig. Ich habe das nur erwähnt, weil du Userpräferenzen angeführt hat.
-- Sandy
Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Thomas Fankhauser wrote:
Ich hab jetzt amavisd-new installiert, er horcht auf Port 10024. Die Mail wird auch an ihn weitergereicht. SA ist jetzt auch drauf. Hab
Okay, und ist Postfix auch konfiguriert, die Mail an Amavisd-new weiterzugeben und wieder zurückzunehmen? Kommt denn eine Mail durch und sind die Amavis-header in der Mail?
in YAST Software installieren SA ausgewählt. Laut einer Seite bei Google, muss beim SA erst mal gar nichts gemacht werden. Die Konfiguration von SA ist im Amavisd-new drinnen. Im amavisd.conf habe ich die Zeile:
@bypass_virus_checks_maps = (1); # uncomment to DISABLE anti-virus code
# @bypass_spam_checks_maps = (1); # uncomment to DISABLE anti-spam code
weil ich eigentlich nur auf SPAM checken will.
$sa_tag_level_deflt = 0.0;
Mit dieser Konfig sollte meiner meinung nach, jedes mail im Header einen Tag erhalten (X-Spam status = 0) oder so.
Denkste. (^-°) Amavisd-New kann auch negative Werte vergeben. Setze den Wert mal auf -20, dann sollten wirklich IMMER die Header eingetragen werden.
Tu ich aber nicht. Da ich nicht weiss wo ich weitersuchen soll,
bin ich wieder mal verloren.
Poste mal folgendes: egrep -v '^#|^$|^[[:space:]]+#' /etc/amavisd.conf -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Uff schnell wie immer. Danke. Sandy Drobic wrote:
Thomas Fankhauser wrote:
Ich hab jetzt amavisd-new installiert, er horcht auf Port 10024. Die Mail wird auch an ihn weitergereicht. SA ist jetzt auch drauf. Hab
Okay, und ist Postfix auch konfiguriert, die Mail an Amavisd-new weiterzugeben und wieder zurückzunehmen?
Kommt denn eine Mail durch und sind die Amavis-header in der Mail?
Die Mails kommen durch! Amavis header sind keine drinn, jedenfalls nicht in meiner Testmail vom Hotmail account
in YAST Software installieren SA ausgewählt. Laut einer Seite bei Google, muss beim SA erst mal gar nichts gemacht werden. Die Konfiguration von SA ist im Amavisd-new drinnen. Im amavisd.conf habe ich die Zeile:
@bypass_virus_checks_maps = (1); # uncomment to DISABLE anti-virus code
# @bypass_spam_checks_maps = (1); # uncomment to DISABLE anti-spam code
weil ich eigentlich nur auf SPAM checken will.
$sa_tag_level_deflt = 0.0;
Mit dieser Konfig sollte meiner meinung nach, jedes mail im Header einen Tag erhalten (X-Spam status = 0) oder so.
Denkste. (^-°)
Amavisd-New kann auch negative Werte vergeben. Setze den Wert mal auf -20, dann sollten wirklich IMMER die Header eingetragen werden.
Hab ich jetzt drinn, hab danach einen rcamavis restart gemacht. Neue Testmail hat keine Tags drinn. Geht aber definitiv durch Amavis localhost 10024. -- Thomas
Tu ich aber nicht. Da ich nicht weiss wo ich weitersuchen soll,
bin ich wieder mal verloren.
Poste mal folgendes: egrep -v '^#|^$|^[[:space:]]+#' /etc/amavisd.conf
Das wird aber lange: use strict; @bypass_virus_checks_maps = (1); # uncomment to DISABLE anti-virus code $max_servers = 2; # num of pre-forked children (2..15 is common), -m $daemon_user = 'vscan'; # (no default; customary: vscan or amavis), -u $daemon_group = 'vscan'; # (no default; customary: vscan or amavis), -g $mydomain = 'slogi.ch'; # a convenient default for other settings $MYHOME = '/var/spool/amavis'; # a convenient default for other settings, -H $TEMPBASE = "$MYHOME/tmp"; # working directory, needs to exist, -T $ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR $QUARANTINEDIR = '/var/spool/amavis/virusmails'; # -Q @local_domains_maps = ( [".$mydomain"] ); $log_level = -d; # verbosity 0..5, -d $log_recip_templ = undef; # disable by-recipient level-0 log entries $DO_SYSLOG = 1; # log via syslogd (preferred) $syslog_facility = 'mail'; # Syslog facility as a string $syslog_priority = 'debug'; # Syslog base (minimal) priority as a string, $enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny) $enable_global_cache = 1; # enable use of libdb-based cache if $enable_db=1 $inet_socket_port = 10024; # listen on this local TCP port(s) (see $protocol) $unix_socketname = "$MYHOME/amavisd.sock"; # amavisd-release or amavis-milter $interface_policy{'SOCK'}='AM.PDP-SOCK'; # only relevant with $unix_socketname $policy_bank{'AM.PDP-SOCK'} = { protocol=>'AM.PDP' }; $sa_tag_level_deflt = 0.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 6.31; # add 'spam detected' headers at that level $sa_kill_level_deflt = 6.31; # triggers spam evasive actions $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent $sa_mail_body_size_limit = 400*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? $virus_admin = "virusalert\@$mydomain"; # notifications recip. $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender $mailfrom_to_quarantine = ''; # null return path; uses original sender if undef @addr_extension_virus_maps = ('virus'); @addr_extension_banned_maps = ('banned'); @addr_extension_spam_maps = ('spam'); @addr_extension_bad_header_maps = ('badh'); $path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin'; $MAXLEVELS = 14; $MAXFILES = 1500; $MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not enforced) $MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes (default undef, not enforced) $sa_spam_subject_tag = '***SPAM*** '; $defang_virus = 1; # MIME-wrap passed infected mail $defang_banned = 1; # MIME-wrap passed mail containing banned name $defang_by_ccat{+CC_BADH.",3"} = 1; # NUL or CR character in header $defang_by_ccat{+CC_BADH.",5"} = 1; # header line longer than 998 characters $defang_by_ccat{+CC_BADH.",6"} = 1; # header field syntax error $myhostname = 'melinda.slogi.ch'; $forward_method = 'smtp:80.238.212.230:25'; # hob i reingmacht $final_spam_destiny = D_PASS; @keep_decoded_original_maps = (new_RE( qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i, )); $banned_filename_re = new_RE( qr'^\.(exe-ms|dll)$', # banned file(1) types, rudimentary [ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any in Unix-type archives qr'.\.(pif|scr)$'i, # banned extensions - rudimentary qr'^application/x-msdownload$'i, # block these MIME types qr'^application/x-msdos-program$'i, qr'^application/hta$'i, qr'\.[^./]*[A-Za-z][^./]*\.(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)\.?$'i, qr'.\.(exe|vbs|pif|scr|cpl)$'i, # banned extension - basic ); @score_sender_maps = ({ # a by-recipient hash lookup table, '.' => [ # the _first_ matching sender determines the score boost new_RE( # regexp-type lookup table, just happens to be all soft-blacklist [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i => 5.0], [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0], [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0], [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i => 5.0], [qr'^(your_friend|greatoffers)@'i => 5.0], [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i => 5.0], ), { # a hash-type lookup table (associative array) 'nobody@cert.org' => -3.0, 'cert-advisory@us-cert.gov' => -3.0, 'owner-alert@iss.net' => -3.0, 'slashdot@slashdot.org' => -3.0, 'securityfocus.com' => -3.0, 'ntbugtraq@listserv.ntbugtraq.com' => -3.0, 'security-alerts@linuxsecurity.com' => -3.0, 'mailman-announce-admin@python.org' => -3.0, 'amavis-user-admin@lists.sourceforge.net'=> -3.0, 'amavis-user-bounces@lists.sourceforge.net' => -3.0, 'spamassassin.apache.org' => -3.0, 'notification-return@lists.sophos.com' => -3.0, 'owner-postfix-users@postfix.org' => -3.0, 'owner-postfix-announce@postfix.org' => -3.0, 'owner-sendmail-announce@lists.sendmail.org' => -3.0, 'sendmail-announce-request@lists.sendmail.org' => -3.0, 'donotreply@sendmail.org' => -3.0, 'ca+envelope@sendmail.org' => -3.0, 'noreply@freshmeat.net' => -3.0, 'owner-technews@postel.acm.org' => -3.0, 'ietf-123-owner@loki.ietf.org' => -3.0, 'cvs-commits-list-admin@gnome.org' => -3.0, 'rt-users-admin@lists.fsck.com' => -3.0, 'clp-request@comp.nus.edu.sg' => -3.0, 'surveys-errors@lists.nua.ie' => -3.0, 'emailnews@genomeweb.com' => -5.0, 'yahoo-dev-null@yahoo-inc.com' => -3.0, 'returns.groups.yahoo.com' => -3.0, 'clusternews@linuxnetworx.com' => -3.0, lc('lvs-users-admin@LinuxVirtualServer.org') => -3.0, lc('owner-textbreakingnews@CNNIMAIL12.CNN.COM') => -5.0, 'sender@example.net' => 3.0, '.example.net' => 1.0, }, ], # end of site-wide tables }); @decoders = ( ['mail', \&do_mime_decode], ['asc', \&do_ascii], ['uue', \&do_ascii], ['hqx', \&do_ascii], ['ync', \&do_ascii], ['F', \&do_uncompress, ['unfreeze','freeze -d','melt','fcat'] ], ['Z', \&do_uncompress, ['uncompress','gzip -d','zcat'] ], ['gz', \&do_uncompress, 'gzip -d'], ['gz', \&do_gunzip], ['bz2', \&do_uncompress, 'bzip2 -d'], ['lzo', \&do_uncompress, 'lzop -d'], ['rpm', \&do_uncompress, ['rpm2cpio.pl','rpm2cpio'] ], ['cpio', \&do_pax_cpio, ['pax','gcpio','cpio'] ], ['tar', \&do_pax_cpio, ['pax','gcpio','cpio'] ], ['tar', \&do_tar], ['deb', \&do_ar, 'ar'], ['zip', \&do_unzip], ['rar', \&do_unrar, ['rar','unrar'] ], ['arj', \&do_unarj, ['arj','unarj'] ], ['arc', \&do_arc, ['nomarch','arc'] ], ['zoo', \&do_zoo, ['zoo','unzoo'] ], ['lha', \&do_lha, 'lha'], ['cab', \&do_cabextract, 'cabextract'], ['tnef', \&do_tnef_ext, 'tnef'], ['tnef', \&do_tnef], ['exe', \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ], ); @av_scanners = ( ['KasperskyLab AVP - aveclient', ['/usr/local/kav/bin/aveclient','/usr/local/share/kav/bin/aveclient', '/opt/kav/5.5/kav4mailservers/bin/aveclient','aveclient'], '-p /var/run/aveserver -s {}/*', [0,3,6,8], qr/\b(INFECTED|SUSPICION|SUSPICIOUS)\b/, qr/(?:INFECTED|WARNING|SUSPICION|SUSPICIOUS) (.+)/, ], ['KasperskyLab AntiViral Toolkit Pro (AVP)', ['avp'], '-* -P -B -Y -O- {}', [0,3,6,8], [2,4], # any use for -A -K ? qr/infected: (.+)/, sub {chdir('/opt/AVP') or die "Can't chdir to AVP: $!"}, sub {chdir($TEMPBASE) or die "Can't chdir back to $TEMPBASE $!"}, ], ['KasperskyLab AVPDaemonClient', [ '/opt/AVP/kavdaemon', 'kavdaemon', '/opt/AVP/AvpDaemonClient', 'AvpDaemonClient', '/opt/AVP/AvpTeamDream', 'AvpTeamDream', '/opt/AVP/avpdc', 'avpdc' ], "-f=$TEMPBASE {}", [0,8], [3,4,5,6], qr/infected: ([^\r\n]+)/ ], ['CentralCommand Vexira (new) vascan', ['vascan','/usr/lib/Vexira/vascan'], "-a s --timeout=60 --temp=$TEMPBASE -y $QUARANTINEDIR ". "--vdb=/usr/lib/Vexira/vexira8.vdb --log=/var/log/vascan.log {}", [0,3], [1,2,5], qr/(?x)^\s* (?:virus|iworm|macro|mutant|sequence|trojan)\ found:\ ( [^\]\s']+ )\ \.\.\.\ / ], ['Avira AntiVir', ['antivir','vexira'], '--allfiles -noboot -nombr -rs -s -z {}', [0], qr/ALERT:|VIRUS:/, qr/(?x)^\s* (?: ALERT: \s* (?: \[ | [^']* ' ) | (?i) VIRUS:\ .*?\ virus\ '?) ( [^\]\s']+ )/ ], ['Command AntiVirus for Linux', 'csav', '-all -archive -packed {}', [50], [51,52,53], qr/Infection: (.+)/ ], ['Symantec CarrierScan via Symantec CommandLineScanner', 'cscmdline', '-a scan -i 1 -v -s 127.0.0.1:7777 {}', qr/^Files Infected:\s+0$/, qr/^Infected\b/, qr/^(?:Info|Virus Name):\s+(.+)/ ], ['Symantec AntiVirus Scan Engine', 'savsecls', '-server 127.0.0.1:7777 -mode scanrepair -details -verbose {}', [0], qr/^Infected\b/, qr/^(?:Info|Virus Name):\s+(.+)/ ], ['F-Secure Antivirus for Linux servers', ['/opt/f-secure/fsav/bin/fsav', 'fsav'], '--delete=no --disinf=no --rename=no --archive=yes --auto=yes '. '--dumb=yes --list=no --mime=yes {}', [0], [3,6,8], qr/(?:infection|Infected|Suspected): (.+)/ ], ['CAI InoculateIT', 'inocucmd', # retired product '-sec -nex {}', [0], [100], qr/was infected by virus (.+)/ ], ['CAI eTrust Antivirus', 'etrust-wrapper', '-arc -nex -spm h {}', [0], [101], qr/is infected by virus: (.+)/ ], ['MkS_Vir for Linux (beta)', ['mks32','mks'], '-s {}/*', [0], [1,2], qr/--[ \t]*(.+)/ ], ['MkS_Vir daemon', 'mksscan', '-s -q {}', [0], [1..7], qr/^... (\S+)/ ], ['ESET NOD32 for Linux Mail servers', ['/opt/eset/nod32/bin/nod32cli', 'nod32cli'], '--subdir --files -z --sfx --rtp --adware --unsafe --pattern --heur '. '-w -a --action-on-infected=accept --action-on-uncleanable=accept '. '--action-on-notscanned=accept {}', [0,3], [1,2], qr/virus="([^"]+)"/ ], ['ESET NOD32 for Linux File servers', ['/opt/eset/nod32/sbin/nod32','nod32'], '--files -z --mail --sfx --rtp --adware --unsafe --pattern --heur '. '-w -a --action=1 -b {}', [0], [1,10], qr/^object=.*, virus="(.*?)",/ ], ['Norman Virus Control v5 / Linux', 'nvcc', '-c -l:0 -s -u -temp:$TEMPBASE {}', [0,10,11], [1,2,14], qr/(?i).* virus in .* -> \'(.+)\'/ ], ['Panda CommandLineSecure 9 for Linux', ['/opt/pavcl/usr/bin/pavcl','pavcl'], '-auto -aex -heu -cmp -nbr -nor -nos -eng -nob {}', qr/Number of files infected[ .]*: 0+(?!\d)/, qr/Number of files infected[ .]*: 0*[1-9]/, qr/Found virus :\s*(\S+)/ ], ['NAI McAfee AntiVirus (uvscan)', 'uvscan', '--secure -rv --mime --summary --noboot - {}', [0], [13], qr/(?x) Found (?: \ the\ (.+)\ (?:virus|trojan) | \ (?:virus|trojan)\ or\ variant\ ([^ ]+) | :\ (.+)\ NOT\ a\ virus)/, ], ['VirusBuster', ['vbuster', 'vbengcl'], "{} -ss -i '*' -log=$MYHOME/vbuster.log", [0], [1], qr/: '(.*)' - Virus/ ], ['CyberSoft VFind', 'vfind', '--vexit {}/*', [0], [23], qr/##==>>>> VIRUS ID: CVDL (.+)/, ], ['avast! Antivirus', ['/usr/bin/avastcmd','avastcmd'], '-a -i -n -t=A {}', [0], [1], qr/\binfected by:\s+([^ \t\n\[\]]+)/ ], ['Ikarus AntiVirus for Linux', 'ikarus', '{}', [0], [40], qr/Signature (.+) found/ ], ['BitDefender', 'bdc', '--arc --mail {}', qr/^Infected files *:0+(?!\d)/, qr/^(?:Infected files|Identified viruses|Suspect files) *:0*[1-9]/, qr/(?:suspected|infected): (.*)(?:\033|$)/ ], ); @av_scanners_backup = ( ['ClamAV-clamscan', 'clamscan', "--stdout --no-summary -r --tempdir=$TEMPBASE {}", [0], qr/:.*\sFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ['FRISK F-Prot Antivirus', ['f-prot','f-prot.sh'], '-dumb -archive -packed {}', [0,8], [3,6], qr/Infection: (.+)|\s+contains\s+(.+)$/ ], ['Trend Micro FileScanner', ['/etc/iscan/vscan','vscan'], '-za -a {}', [0], qr/Found virus/, qr/Found virus (.+) in/ ], ['drweb - DrWeb Antivirus', ['/usr/local/drweb/drweb', '/opt/drweb/drweb', 'drweb'], '-path={} -al -go -ot -cn -upn -ok-', [0,32], [1,9,33], qr' infected (?:with|by)(?: virus)? (.*)$'], ['Kaspersky Antivirus v5.5', ['/opt/kav/5.5/kav4unix/bin/kavscanner', '/opt/kav/5.5/kav4mailservers/bin/kavscanner','kavscanner'], '-i0 -xn -xp -mn -R -ePASBME {}/*', [0,10,15], [5,20,21,25], qr/(?:INFECTED|WARNING|SUSPICION|SUSPICIOUS) (.*)/ , ], ); 1; # insure a defined return
-- Sandy
Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Thomas Fankhauser wrote: Thomas, ich habe etwas Probleme mit deinem Quoting. Genau gesagt, mit der Footer-Trennzeile, die du drin lässt. Alles darunter wird nämlich in Thunderbird nur grau angezeigt und nicht mehr in die Antwort übernommen. Bitte die Footer-Trennzeile nicht mit in deine Antwort übernehmen. Lösche alles, worauf du dich nicht beziehst.
Kommt denn eine Mail durch und sind die Amavis-header in der Mail?
Die Mails kommen durch! Amavis header sind keine drinn, jedenfalls nicht in meiner Testmail vom Hotmail account
Sind denn folgende Header drin: X-Spam-Score: -2.307 X-Spam-Level: X-Spam-Status: No, score=-2.307 required=3.5 tests=[AWL=0.292, BAYES_00=-2.599] Wenn du die Subject-Zeile ändern möchtest, füge dies hinzu: $sa_spam_modifies_subj = 1;
use strict; @bypass_virus_checks_maps = (1); # uncomment to DISABLE anti-virus code $max_servers = 2; # num of pre-forked children (2..15 is common), -m $daemon_user = 'vscan'; # (no default; customary: vscan or amavis), -u $daemon_group = 'vscan'; # (no default; customary: vscan or amavis), -g $mydomain = 'slogi.ch'; # a convenient default for other settings $MYHOME = '/var/spool/amavis'; # a convenient default for other settings, -H $TEMPBASE = "$MYHOME/tmp"; # working directory, needs to exist, -T $ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR $QUARANTINEDIR = '/var/spool/amavis/virusmails'; # -Q @local_domains_maps = ( [".$mydomain"] ); $log_level = -d; # verbosity 0..5, -d $log_recip_templ = undef; # disable by-recipient level-0 log entries $DO_SYSLOG = 1; # log via syslogd (preferred) $syslog_facility = 'mail'; # Syslog facility as a string $syslog_priority = 'debug'; # Syslog base (minimal) priority as a string, $enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny) $enable_global_cache = 1; # enable use of libdb-based cache if $enable_db=1 $inet_socket_port = 10024; # listen on this local TCP port(s) (see $protocol) $unix_socketname = "$MYHOME/amavisd.sock"; # amavisd-release or amavis-milter $interface_policy{'SOCK'}='AM.PDP-SOCK'; # only relevant with $unix_socketname $policy_bank{'AM.PDP-SOCK'} = { protocol=>'AM.PDP' }; $sa_tag_level_deflt = 0.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 6.31; # add 'spam detected' headers at that level
Suche mal in der Doku nach dem GTUBE-String. Der sollte die Spamerkennung triggern und ein Ergebnis bringen.
$sa_kill_level_deflt = 6.31; # triggers spam evasive actions $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent $sa_mail_body_size_limit = 400*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? $virus_admin = "virusalert\@$mydomain"; # notifications recip. $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender $mailfrom_to_quarantine = ''; # null return path; uses original sender if undef @addr_extension_virus_maps = ('virus'); @addr_extension_banned_maps = ('banned'); @addr_extension_spam_maps = ('spam'); @addr_extension_bad_header_maps = ('badh'); $path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin'; $MAXLEVELS = 14; $MAXFILES = 1500; $MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not enforced) $MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes (default undef, not enforced) $sa_spam_subject_tag = '***SPAM*** '; $defang_virus = 1; # MIME-wrap passed infected mail $defang_banned = 1; # MIME-wrap passed mail containing banned name $defang_by_ccat{+CC_BADH.",3"} = 1; # NUL or CR character in header $defang_by_ccat{+CC_BADH.",5"} = 1; # header line longer than 998 characters $defang_by_ccat{+CC_BADH.",6"} = 1; # header field syntax error $myhostname = 'melinda.slogi.ch'; $forward_method = 'smtp:80.238.212.230:25'; # hob i reingmacht
Wenn das die offizielle IP deines Servers ist, würde ich das nicht tun. Der Port/IP, auf die Amavis zurückliefert, sollte so abgesichert sein, dass keine Spammer und externen dort einliefern können. Wenn es der gleiche Rechner ist, solltest du das auf Localhost machen. Der reverse DNS der IP sagt übrigens carla.slogi.ch. Postfix sollte definitiv diesen Namen verwenden. Der Rest ist nur Antivirus, den du nicht aktvieren willst. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic wrote:
Thomas Fankhauser wrote:
Thomas, ich habe etwas Probleme mit deinem Quoting. Genau gesagt, mit der Footer-Trennzeile, die du drin lässt. Alles darunter wird nämlich in Thunderbird nur grau angezeigt und nicht mehr in die Antwort übernommen.
ähm, Sorry.. aber die lange ausgabe über die Konfig Datei wollte ich eigentlich auch nicht lange im Tread haben. Tut mir leid wenn es der Lesbarkeit geschadet hat.
Bitte die Footer-Trennzeile nicht mit in deine Antwort übernehmen. Lösche alles, worauf du dich nicht beziehst.
Kommt denn eine Mail durch und sind die Amavis-header in der Mail?
Die Mails kommen durch! Amavis header sind keine drinn, jedenfalls nicht in meiner Testmail vom Hotmail account
Sind denn folgende Header drin:
Genau diese Header vermisse ich. Hab mitlerweile einige Mails mit X-Quarantine-ID: <irgendeinezeichenfolge> erhalten. Diese Zeile ist ja sicher von einem Amavis anhänger reingekommen.
X-Spam-Score: -2.307 X-Spam-Level: X-Spam-Status: No, score=-2.307 required=3.5 tests=[AWL=0.292, BAYES_00=-2.599]
Wenn du die Subject-Zeile ändern möchtest, füge dies hinzu:
$sa_spam_modifies_subj = 1;
Ist das nur für das subject oder auch für die Infos im Header?
Suche mal in der Doku nach dem GTUBE-String. Der sollte die Spamerkennung triggern und ein Ergebnis bringen.
Hab mir eine Mail mit der entsprechenden Zeichenfolge geschickt.
Es ist auch angekommen, es hat auch ein File im /var/spool/amavis.....
gegeben. Einen Hinweis auf dieses File steht auch im Header der
Mail X-Quarantine-ID:
Wenn das die offizielle IP deines Servers ist, würde ich das nicht tun. Der Port/IP, auf die Amavis zurückliefert, sollte so abgesichert sein, dass keine Spammer und externen dort einliefern können. Wenn es der gleiche Rechner ist, solltest du das auf Localhost machen.
Postfix mit dem Amavis ist auf dem Mailgateway. Amavis könnte auch zurück an Postfix geben (10025) Postfix danach wieder an carla.sloig.ch. Also dachte ich mir eine Abkürzung zu nehmen.
Der reverse DNS der IP sagt übrigens carla.slogi.ch. Postfix sollte definitiv diesen Namen verwenden.
Ist auch richtig so!
Der Rest ist nur Antivirus, den du nicht aktvieren willst.
Jawol.
-- Sandy
Könnte es ev. möglich sein, dass das Zielsystem (Sendmail ohne SA) die X-Spam Header entfernt? :-( Glaub ich selber an diese möglichkeit? nicht so ganz! Ich mach mal noch $sa_spam_modifies_subj = 1 rein. -- Thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Thomas Fankhauser wrote:
Genau diese Header vermisse ich. Hab mitlerweile einige Mails mit X-Quarantine-ID: <irgendeinezeichenfolge> erhalten. Diese Zeile ist ja sicher von einem Amavis anhänger reingekommen.
X-Spam-Score: -2.307 X-Spam-Level: X-Spam-Status: No, score=-2.307 required=3.5 tests=[AWL=0.292, BAYES_00=-2.599]
Seltsam, irgendetwas scheint da noch nicht als lokal angesehen zu werden. In deiner Beispielmail hattest du an daniels.ch geschickt. Diese war aber nicht als lokale Domain aufgeführt, nicht wahr? Nur solche Domains, die in @local_domain_maps gelistet sind, werden getaggt (und erhalten AFAIK diese headerzeilen). Du kannst mal testen, ALLE Domains zu taggen mit $local_domains_re = new_RE( qr'.+' );
Wenn du die Subject-Zeile ändern möchtest, füge dies hinzu:
$sa_spam_modifies_subj = 1;
Ist das nur für das subject oder auch für die Infos im Header?
Nur für das Subject.
Könnte es ev. möglich sein, dass das Zielsystem (Sendmail ohne SA) die X-Spam Header entfernt? :-( Glaub ich selber an diese möglichkeit? nicht so ganz! Ich mach mal noch $sa_spam_modifies_subj = 1 rein.
Möglich ist es. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic wrote:
Thomas Fankhauser wrote:
Genau diese Header vermisse ich. Hab mitlerweile einige Mails mit X-Quarantine-ID: <irgendeinezeichenfolge> erhalten. Diese Zeile ist ja sicher von einem Amavis anhänger reingekommen.
X-Spam-Score: -2.307 X-Spam-Level: X-Spam-Status: No, score=-2.307 required=3.5 tests=[AWL=0.292, BAYES_00=-2.599]
Seltsam, irgendetwas scheint da noch nicht als lokal angesehen zu werden. In deiner Beispielmail hattest du an daniels.ch geschickt. Diese war aber nicht als lokale Domain aufgeführt, nicht wahr? Nur solche Domains, die in @local_domain_maps gelistet sind, werden getaggt (und erhalten AFAIK diese headerzeilen).
Du kannst mal testen, ALLE Domains zu taggen mit
$local_domains_re = new_RE( qr'.+' );
Locale Domains, das ist das Problem! Habe $mydomain = 'daniels.ch', 'slogi.ch'; dann funktionierts. Mit deinem Vorschlag $local_domains_re = new_RE( qr'.+' ); hat es so noch nicht geklappt. Muss diese Zeile an einer bestimmten Stelle stehen? Oder als Ersatz für eine andere? -- Thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Thomas Fankhauser wrote:
Sandy Drobic wrote:
Thomas Fankhauser wrote:
Genau diese Header vermisse ich. Hab mitlerweile einige Mails mit X-Quarantine-ID: <irgendeinezeichenfolge> erhalten. Diese Zeile ist ja sicher von einem Amavis anhänger reingekommen.
X-Spam-Score: -2.307 X-Spam-Level: X-Spam-Status: No, score=-2.307 required=3.5 tests=[AWL=0.292, BAYES_00=-2.599]
Seltsam, irgendetwas scheint da noch nicht als lokal angesehen zu werden. In deiner Beispielmail hattest du an daniels.ch geschickt. Diese war aber nicht als lokale Domain aufgeführt, nicht wahr? Nur solche Domains, die in @local_domain_maps gelistet sind, werden getaggt (und erhalten AFAIK diese headerzeilen).
Du kannst mal testen, ALLE Domains zu taggen mit
$local_domains_re = new_RE( qr'.+' );
Locale Domains, das ist das Problem! Habe $mydomain = 'daniels.ch', 'slogi.ch';
dann funktionierts. Mit deinem Vorschlag
$local_domains_re = new_RE( qr'.+' ); hat es so noch nicht geklappt.
Muss diese Zeile an einer bestimmten Stelle stehen? Oder
Sollte eigentlich direkt klappen. Aber wenn es mit der expliziten Einbeziehung von daniels.ch klappt, ist es ja gut. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic wrote:
Thomas Fankhauser wrote:
Sandy Drobic wrote:
Thomas Fankhauser wrote:
Genau diese Header vermisse ich. Hab mitlerweile einige Mails mit X-Quarantine-ID: <irgendeinezeichenfolge> erhalten. Diese Zeile ist ja sicher von einem Amavis anhänger reingekommen.
X-Spam-Score: -2.307 X-Spam-Level: X-Spam-Status: No, score=-2.307 required=3.5 tests=[AWL=0.292, BAYES_00=-2.599]
Seltsam, irgendetwas scheint da noch nicht als lokal angesehen zu werden. In deiner Beispielmail hattest du an daniels.ch geschickt. Diese war aber nicht als lokale Domain aufgeführt, nicht wahr? Nur solche Domains, die in @local_domain_maps gelistet sind, werden getaggt (und erhalten AFAIK diese headerzeilen).
Du kannst mal testen, ALLE Domains zu taggen mit
$local_domains_re = new_RE( qr'.+' );
Locale Domains, das ist das Problem! Habe $mydomain = 'daneiels.ch', 'sloegi.ch';
dann funktionierts. Mit deinem Vorschlag
$local_domains_re = new_RE( qr'.+' ); hat es so noch nicht geklappt.
Muss diese Zeile an einer bestimmten Stelle stehen? Oder
Sollte eigentlich direkt klappen. Aber wenn es mit der expliziten Einbeziehung von daniels.ch klappt, ist es ja gut.
Ich will nicht jede Domain eintragen müssen. Habe ein # vor die Zeile @local_domains_maps = ( [".$mydomain"] ); gemacht. Nun geht's. Gehen wir das nächste Problem an. ;-) DANKE -- Thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic wrote:
Thomas Fankhauser wrote:
Wenn du die Subject-Zeile ändern möchtest, füge dies hinzu:
$sa_spam_modifies_subj = 1;
Macht bis jetzt auch keinen Unterschied.
Suche mal in der Doku nach dem GTUBE-String. Der sollte die Spamerkennung triggern und ein Ergebnis bringen.
Auszug aus dem Log betreffend dem GTUBE-String
Feb 20 01:07:19 melinda postfix/smtp[7863]: warning: inet_protocols:
IPv6 support is disabled: Address family not supported by protocol
Feb 20 01:07:19 melinda postfix/smtp[7863]: warning: inet_protocols:
configuring for IPv4 support only
Feb 20 01:07:19 melinda postfix/smtpd[7838]: disconnect from
mail.gmx.net[213.165.64.20]
Feb 20 01:08:13 melinda amavis[7801]: (07801-01) Passed SPAM,
[213.202.35.237]
Am Montag, 19. Februar 2007 21:15 schrieb Sandy Drobic:
Thomas Fankhauser wrote:
Ich hab jetzt amavisd-new installiert, er horcht auf Port 10024. Die Mail wird auch an ihn weitergereicht. SA ist jetzt auch drauf. Hab
Okay, und ist Postfix auch konfiguriert, die Mail an Amavisd-new weiterzugeben und wieder zurückzunehmen?
Ich schlage mich auch gerade damit rum, weil ich von 10.0 auf 10.2 umstelle.
Kommt denn eine Mail durch und sind die Amavis-header in der Mail?
Den hatte ich anfangs auch nicht gesehen, der Eintrag steht nun im Header ziemlich weit oben, früher war der Eintrag ziemlich weit unten.
Mit dieser Konfig sollte meiner meinung nach, jedes mail im Header einen Tag erhalten (X-Spam status = 0) oder so.
Denkste. (^-°)
Amavisd-New kann auch negative Werte vergeben. Setze den Wert mal auf -20, dann sollten wirklich IMMER die Header eingetragen werden.
Tu ich aber nicht. Da ich nicht weiss wo ich weitersuchen soll,
Ich habe -20 eingetragen und erhalte auf das Mail auf das ich hier antworte: X-Spam-Score: 0 X-Spam-Level: X-Spam-Status: No, score=0 tagged_above=-20 required=4.31 tests=[none] Mittlerweile wird aber getestet. Ich vermute mal, es waren noch zu wenige Mails, die empfangen wurden. In /var/spool/amavis/virusmails/ sind auch schon ein paar Mails gelandet: Vielleicht sieht der OP mal dort nach und schaut ob Spam abgefangen wurde. Ich frage mich aber, warum mir /var/log/boot.msg diese Meldung bringt: Failed services in runlevel 3: spamd /etc/init.d/spamd status Checking for service spamd running Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Al Bogner wrote:
Ich habe -20 eingetragen und erhalte auf das Mail auf das ich hier antworte:
X-Spam-Score: 0 X-Spam-Level: X-Spam-Status: No, score=0 tagged_above=-20 required=4.31 tests=[none]
Whitelist?
Ich frage mich aber, warum mir /var/log/boot.msg diese Meldung bringt: Failed services in runlevel 3: spamd
Spamd wird von Amavisd-new nicht benötigt, Amavisd-new ruft Spamassassin direkt über Mail::Spamassassin auf. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag, 19. Februar 2007 22:11 schrieb Sandy Drobic:
Al Bogner wrote:
Ich habe -20 eingetragen und erhalte auf das Mail auf das ich hier antworte:
X-Spam-Score: 0 X-Spam-Level: X-Spam-Status: No, score=0 tagged_above=-20 required=4.31 tests=[none]
Whitelist?
Es ist bis auf die Bewertungspunkte alles 10.2 Default. Dein Mail auf das ich antworte: X-Spam-Status: No, score=0 tagged_above=-20 required=4.31 tests=[none] Ein gif-Spam kam gerade so rein: X-Spam-Status: No, score=0.816 tagged_above=-20 required=4.31 tests=[EXTRA_MPART_TYPE=0.815, HTML_MESSAGE=0.001] Gibt es da eine Auto-Whitelist für Suse-ML? Ein Mail aus der Postfix-Liste: X-Spam-Status: No, score=0.813 tagged_above=-20 required=4.31 tests=[INFO_TLD=0.813]
Ich frage mich aber, warum mir /var/log/boot.msg diese Meldung bringt: Failed services in runlevel 3: spamd
Spamd wird von Amavisd-new nicht benötigt, Amavisd-new ruft Spamassassin direkt über Mail::Spamassassin auf.
Ich hatte in Erinnerung, dass früher spamd performanter war. Kann man den
spamd nun unter 10.2 deaktivieren?
Ich frage mich auch warum ich nur bdc beim Virus scannen mit top sehe und
f-prot nicht.
Aus /etc/amavisd.conf:
@av_scanners = (
['ClamAV-clamd',
\&ask_daemon, ["CONTSCAN {}\n", "127.0.0.1:3310"],
qr/\bOK$/, qr/\bFOUND$/,
qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
['FRISK F-Prot Daemon',
\&ask_daemon,
["GET {}/*?-dumb%20-archive%20-packed HTTP/1.0\r\n\r\n",
['127.0.0.1:10200','127.0.0.1:10201','127.0.0.1:10202',
'127.0.0.1:10203','127.0.0.1:10204'] ],
qr/(?i)
Hallo, Am Mon, 19 Feb 2007, Al Bogner schrieb:
Am Montag, 19. Februar 2007 22:11 schrieb Sandy Drobic: [..]
Spamd wird von Amavisd-new nicht benötigt, Amavisd-new ruft Spamassassin direkt über Mail::Spamassassin auf.
Ich hatte in Erinnerung, dass früher spamd performanter war. Kann man den spamd nun unter 10.2 deaktivieren?
Generell wenn man amavisd verwendet, denn das ist ja auch ein in perl-implementierter Daemon. Somit muß auch nix extra gestartet werden, amavisd ruft einfach 'intern' die passenden Funktionen auf. Siehe auch 'man Mail::SpamAssassin'. -dnh -- THE LESSER-KNOWN PROGRAMMING LANGUAGES #12: LITHP This otherwise unremarkable language is distinguished by the absence of an "S" in its character set; users must substitute "TH". LITHP is said to be useful in protheththing lithtth. -- BSD fortune file -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Freitag, 16. Februar 2007 13:11 schrieb Kyek, Andreas, VF-DE:
ich bin verwirrt:
Irgendwie hört die Verwirrung im Moment nicht auf, kann das sein? ;-) [Du schriebst, die Spammerkennungsrate sei zu gering] Das Problem haben einige, die deine Konfig fahren!
sa-learn als "ich" aufgerufen legt doch diese Bayes* Dateien bei mir im HOME ab; amavis und spamassassin laufen doch als user vscan bzw. root im Falle des spamd. (BTW: Nutzt meine
Richtig!
Wie "trainiere" ich jetzt also den zentralen SPAM-Schutz
Probiere es mit der sa-learn option --dbpath. Du musst allerdings auf die Bayes-DB des vscan schreiben dürfen. Also kommst du imho nicht drum herum, entweder deinem vscan die Arbeit leisten zu lassen und ihm irgendwie Zugriff auf deine Mails zu geben - Rechte, Kopien der Mails etc. - oder dem "ich" Zugriff auf die Bayes-DB zu gewähren. Wie gesagt just meine two Eurocent! Grüße Heinzi -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (9)
-
Al Bogner
-
Arno Lehmann
-
Christian Banek
-
David Haller
-
Dirk Schneider
-
Heiko Romahn
-
Kyek, Andreas, VF-DE
-
Sandy Drobic
-
Thomas Fankhauser