Postfix + Amavis + SpamAssassin Eingang überprüfen
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hallo Liste,
ich habe mein Postfix jetzt so konfiguriert, dass ich mit Amavis meine
EMails auf SPAM filter. Gleichzeitig auch über ClamAV Viren.
Wenn ich EMails über meinen lokalen Postfix an ein externes Konto
versende funktioniert das auch einwandfrei und Amavis trägt
"***SPAM*** " im Subject zusätzlich ein (Header-Zeilen auch).
Wenn ich allerdings von einem externen Konto auf ein bei mir lokales
Konto eine EMail versende, wird die EMail zwar von Amavis auf Viren
überprüft (Angabe: X-Virus-Scanned: amavisd-new ad XXX).
Die Mail ist aber zu hunderprozent als SPAM erkannt, sofern sie durch
SpamAssassin geht. Sie scheint aber nicht auf SPAM überprüft zu werden.
Wo kann hier der Fehler liegen? Google hat mir leider nichts passendes
ausgespuckt, oder ich habe die falschen Wörter verwendet.
Vielen Dank
Michael
psYkoMobil:/var/virusmails # cat /etc/amavisd.conf
use strict;
...
$max_servers = 2; # number of pre-forked children (2..15 is
common)
$daemon_user = 'vscan';
$daemon_group = 'vscan';
$mydomain = 'XXXXX;
$MYHOME = '/var/spool/amavis';
$TEMPBASE = "$MYHOME/tmp"; # working directory, needs to be created
manually
$ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR
$QUARANTINEDIR = '/var/spool/amavis/virusmails';
# $daemon_chroot_dir = $MYHOME; # chroot directory or undef
# $db_home = "$MYHOME/db";
# $helpers_home = "$MYHOME/var"; # prefer $MYHOME clean and owned by
root?
# $pid_file = "$MYHOME/var/amavisd.pid";
# $lock_file = "$MYHOME/var/amavisd.lock";
#NOTE: create directories $MYHOME/tmp, $MYHOME/var, $MYHOME/db manually
@local_domains_maps = ( [".$mydomain", "127.0.0.1"] );
#@mynetworks = qw( 0.0.0.0/0 ::1 10.0.0.0/8 172.16.0.0/12
192.168.0.0/16 );
$log_level = 0; # verbosity 0..5
$log_recip_templ = undef; # disable by-recipient level-0 log entries
$DO_SYSLOG = 1; # log via syslogd (preferred)
$SYSLOG_LEVEL = 'mail.debug';
$enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP
and nanny)
$enable_global_cache = 1; # enable use of libdb-based cache if
$enable_db=1
$inet_socket_port = 10024; # listen on this local TCP port(s) (see
$protocol)
$unix_socketname = "$MYHOME/amavisd.sock"; # when using sendmail milter
$sa_tag_level_deflt = 2.0; # add spam info headers if at, or above
that level
$sa_tag2_level_deflt = 5.0;
$sa_kill_level_deflt = 6.31; # triggers spam evasive actions
$sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent
$sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail
is larger
$sa_local_tests_only = 0; # only tests which do not require
internet access?
$sa_auto_whitelist = 1; # turn on AWL in SA 2.63 or older (irrelevant
# for SA 3.0, cf option is
'use_auto_whitelist')
# @lookup_sql_dsn =
# ( ['DBI:mysql:database=mail;host=127.0.0.1;port=3306', 'user1',
'passwd1'],
# ['DBI:mysql:database=mail;host=host2', 'username2', 'password2'] );
$virus_admin = "virusalert\@$mydomain"; # notifications
recip.
$mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications
sender
$mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications
sender
$mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications
sender
$mailfrom_to_quarantine = ''; # null return path; uses original sender
if undef
@addr_extension_virus_maps = ('virus');
@addr_extension_spam_maps = ('spam');
@addr_extension_banned_maps = ('banned');
@addr_extension_bad_header_maps = ('badh');
# $recipient_delimiter = '+'; # undef disables address extensions
altogether
# when enabling addr extensions do also Postfix/main.cf:
recipient_delimiter=+
$path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin';
$file = 'file'; # file(1) utility; use recent versions
$gzip = 'gzip';
$bzip2 = 'bzip2';
$lzop = 'lzop';
$rpm2cpio = ['rpm2cpio.pl','rpm2cpio'];
$cabextract = 'cabextract';
$uncompress = ['uncompress', 'gzip -d', 'zcat'];
$unfreeze = ['unfreeze', 'freeze -d', 'melt', 'fcat'];
$arc = ['nomarch', 'arc'];
$unarj = ['arj', 'unarj'];
$unrar = ['rar', 'unrar'];
$zoo = 'zoo';
$lha = 'lha';
$pax = 'pax';
$cpio = ['gcpio','cpio'];
$ar = 'ar';
$ripole = 'ripole';
$dspam = 'dspam';
$MAXLEVELS = 14;
$MAXFILES = 1500;
$MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not
enforced)
$MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes (default undef, not
enforced)
$sa_spam_subject_tag = '***SPAM*** ';
$defang_virus = 1; # MIME-wrap passed infected mail
$defang_banned = 1; # MIME-wrap passed mail containing banned name
# OTHER MORE COMMON SETTINGS (defaults may suffice):
# $myhostname = 'host.example.com'; # must be a fully-qualified
domain name!
# $notify_method = 'smtp:[127.0.0.1]:10025';
# $forward_method = 'smtp:[127.0.0.1]:10025'; # set to undef with milter!
# $final_virus_destiny = D_DISCARD;
# $final_banned_destiny = D_BOUNCE;
$final_spam_destiny = D_PASS;
# $final_bad_header_destiny = D_PASS;
# SOME OTHER VARIABLES WORTH CONSIDERING (see amavisd.conf-default for
all)
# $warnbadhsender,
# $warnvirusrecip, $warnbannedrecip, $warnbadhrecip, (or @warn*recip_maps)
#
# @bypass_virus_checks_maps, @bypass_spam_checks_maps,
# @bypass_banned_checks_maps, @bypass_header_checks_maps,
#
# @virus_lovers_maps, @spam_lovers_maps,
# @banned_files_lovers_maps, @bad_header_lovers_maps,
#
# @blacklist_sender_maps, @score_sender_maps,
#
# $virus_quarantine_to, $banned_quarantine_to,
# $bad_header_quarantine_to, $spam_quarantine_to,
#
# $defang_bad_header, $defang_undecipherable, $defang_spam
# REMAINING IMPORTANT VARIABLES ARE LISTED HERE BECAUSE OF LONGER
ASSIGNMENTS
@viruses_that_fake_sender_maps = (new_RE(
# [qr'\bEICAR\b'i => 0], # av test pattern name
# [qr'^(WM97|OF97|Joke\.)'i => 0], # adjust names to match your AV
scanner
[qr/.*/ => 1], # true for everything else
));
@keep_decoded_original_maps = (new_RE(
# qr'^MAIL$', # retain full original message for virus checking (can
be slow)
qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains
undecipherables
qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i,
# qr'^Zip archive data', # don't trust Archive::Zip
));
# for $banned_namepath_re, a new-style of banned table, see
amavisd.conf-sample
$banned_filename_re = new_RE(
# qr'^UNDECIPHERABLE$', # is or contains any undecipherable components
# block certain double extensions anywhere in the base name
# qr'\.[^./]*\.(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)\.?$'i,
# qr'[{}]', # curly braces in names (serve as Class ID extensions
- - CLSID)
qr'^application/x-msdownload$'i, # block these MIME
types
qr'^application/x-msdos-program$'i,
qr'^application/hta$'i,
# qr'^message/partial$'i, qr'^message/external-body$'i, # rfc2046 MIME
types
# [ qr'^\.(Z|gz|bz2)$' => 0 ], # allow any in Unix-compressed
[ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any in Unix-type
archives
# [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ], # allow any within such archives
qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl)$'i, # banned extension - basic
# qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta|
# inf|ins|isp|js|jse|lnk|mda|mdb|mde|mdw|mdt|mdz|msc|msi|msp|mst|
# ops|pcd|pif|prg|reg|scr|sct|shb|shs|vb|vbe|vbs|
# wmf|wsc|wsf|wsh)$'ix, # banned ext - long
# qr'.\.(mim|b64|bhx|hqx|xxe|uu|uue)$'i, # banned extension - WinZip
vulnerab.
qr'^\.(exe-ms)$', # banned file(1) types
# qr'^\.(exe|lha|tnef|cab|dll)$', # banned file(1) types
);
# See http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262631
# and http://www.cknow.com/vtutor/vtextensions.htm
# ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING
@score_sender_maps = ({ # a by-recipient hash lookup table,
# results from all matching recipient tables
are summed
# ## per-recipient personal tables (NOTE: positive: black, negative:
white)
# 'user1@example.com' => [{'bla-mobile.press@example.com' => 10.0}],
# 'user3@example.com' => [{'.ebay.com' => -3.0}],
# 'user4@example.com' => [{'cleargreen@cleargreen.com' => -7.0,
# '.cleargreen.com' => -5.0}],
## site-wide opinions about senders (the '.' matches any recipient)
'.' => [ # the _first_ matching sender determines the score boost
new_RE( # regexp-type lookup table, just happens to be all
soft-blacklist
[qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i
=> 5.0],
[qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0],
[qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0],
[qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i
=> 5.0],
[qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i
=> 5.0],
[qr'^(your_friend|greatoffers)@'i
=> 5.0],
[qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i
=> 5.0],
),
# read_hash("/var/amavis/sender_scores_sitewide"),
{ # a hash-type lookup table (associative array)
'nobody@cert.org' => -3.0,
'cert-advisory@us-cert.gov' => -3.0,
'owner-alert@iss.net' => -3.0,
'slashdot@slashdot.org' => -3.0,
'bugtraq@securityfocus.com' => -3.0,
'ntbugtraq@listserv.ntbugtraq.com' => -3.0,
'security-alerts@linuxsecurity.com' => -3.0,
'mailman-announce-admin@python.org' => -3.0,
'amavis-user-admin@lists.sourceforge.net'=> -3.0,
'notification-return@lists.sophos.com' => -3.0,
'owner-postfix-users@postfix.org' => -3.0,
'owner-postfix-announce@postfix.org' => -3.0,
'owner-sendmail-announce@lists.sendmail.org' => -3.0,
'sendmail-announce-request@lists.sendmail.org' => -3.0,
'donotreply@sendmail.org' => -3.0,
'ca+envelope@sendmail.org' => -3.0,
'noreply@freshmeat.net' => -3.0,
'owner-technews@postel.acm.org' => -3.0,
'ietf-123-owner@loki.ietf.org' => -3.0,
'cvs-commits-list-admin@gnome.org' => -3.0,
'rt-users-admin@lists.fsck.com' => -3.0,
'clp-request@comp.nus.edu.sg' => -3.0,
'surveys-errors@lists.nua.ie' => -3.0,
'emailnews@genomeweb.com' => -5.0,
'yahoo-dev-null@yahoo-inc.com' => -3.0,
'returns.groups.yahoo.com' => -3.0,
'clusternews@linuxnetworx.com' => -3.0,
lc('lvs-users-admin@LinuxVirtualServer.org') => -3.0,
lc('owner-textbreakingnews@CNNIMAIL12.CNN.COM') => -5.0,
# soft-blacklisting (positive score)
'sender@example.net' => 3.0,
'.example.net' => 1.0,
},
], # end of site-wide tables
});
@av_scanners = (
# ### http://www.vanja.com/tools/sophie/
# ['Sophie',
# \&ask_daemon, ["{}/\n", '/var/run/sophie'],
# qr/(?x)^ 0+ ( : | [\000\r\n]* $)/, qr/(?x)^ 1 ( : | [\000\r\n]* $)/,
# qr/(?x)^ [-+]? \d+ : (.*?) [\000\r\n]* $/ ],
# ### http://www.csupomona.edu/~henson/www/projects/SAVI-Perl/
# ['Sophos SAVI', \&sophos_savi ],
# ### http://www.clamav.net/
['ClamAV-clamd',
\&ask_daemon, ["CONTSCAN {}\n", "/var/lib/clamav/clamd-socket"],
qr/\bOK$/, qr/\bFOUND$/,
qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ],
# # NOTE: the easiest is to run clamd under the same user as amavisd;
match the
# # socket name (LocalSocket) in clamav.conf to the socket name in
this entry
# # When running chrooted one may prefer: ["CONTSCAN
{}\n","$MYHOME/clamd"],
# ### http://www.clamav.net/ and CPAN (memory-hungry! clamd is preferred)
# ['Mail::ClamAV', \&ask_clamav, "*", [0], [1], qr/^INFECTED: (.+)/],
# ### http://www.openantivirus.org/
# ['OpenAntiVirus ScannerDaemon (OAV)',
# \&ask_daemon, ["SCAN {}\n", '127.0.0.1:8127'],
# qr/^OK/, qr/^FOUND: /, qr/^FOUND: (.+)/ ],
# ### http://www.vanja.com/tools/trophie/
# ['Trophie',
# \&ask_daemon, ["{}/\n", '/var/run/trophie'],
# qr/(?x)^ 0+ ( : | [\000\r\n]* $)/, qr/(?x)^ 1 ( : | [\000\r\n]* $)/,
# qr/(?x)^ [-+]? \d+ : (.*?) [\000\r\n]* $/ ],
# ### http://www.grisoft.com/
# ['AVG Anti-Virus',
# \&ask_daemon, ["SCAN {}\n", '127.0.0.1:55555'],
# qr/^200/, qr/^403/, qr/^403 .*?: ([^\r\n]+)/ ],
# ### http://www.f-prot.com/
# ['FRISK F-Prot Daemon',
# \&ask_daemon,
# ["GET {}/*?-dumb%20-archive%20-packed HTTP/1.0\r\n\r\n",
# ['127.0.0.1:10200','127.0.0.1:10201','127.0.0.1:10202',
# '127.0.0.1:10203','127.0.0.1:10204'] ],
# qr/(?i)
Michael Post wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo Liste,
ich habe mein Postfix jetzt so konfiguriert, dass ich mit Amavis meine EMails auf SPAM filter. Gleichzeitig auch über ClamAV Viren. Wenn ich EMails über meinen lokalen Postfix an ein externes Konto versende funktioniert das auch einwandfrei und Amavis trägt "***SPAM*** " im Subject zusätzlich ein (Header-Zeilen auch). Wenn ich allerdings von einem externen Konto auf ein bei mir lokales Konto eine EMail versende, wird die EMail zwar von Amavis auf Viren überprüft (Angabe: X-Virus-Scanned: amavisd-new ad XXX). Die Mail ist aber zu hunderprozent als SPAM erkannt, sofern sie durch SpamAssassin geht. Sie scheint aber nicht auf SPAM überprüft zu werden.
Wo kann hier der Fehler liegen? Google hat mir leider nichts passendes ausgespuckt, oder ich habe die falschen Wörter verwendet.
Poste mal den Auszug aus dem Maillog, wenn die Mail durchgeht. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Sandy, Sandy Drobic schrieb:
Poste mal den Auszug aus dem Maillog, wenn die Mail durchgeht.
Feb 27 12:46:42 psYkoMobil postfix/qmgr[9300]: 1D0F4669F6:
from=
Michael Post wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo Sandy,
Sandy Drobic schrieb:
Poste mal den Auszug aus dem Maillog, wenn die Mail durchgeht.
Feb 27 12:46:42 psYkoMobil postfix/qmgr[9300]: 1D0F4669F6: from=
, size=2669, nrcpt=1 (queue active) Feb 27 12:46:42 psYkoMobil amavis[9333]: (09333-01) Passed SPAM, [80.67.18.13] -> <6473623@xxxx.de>, quarantine: spam-5f55cc5eadee1e2c2b0113215eb0abdd-20060227-124639-09333-01, Message-ID: <44020061.9030804@purematic.de>, Resent-Message-ID: <4402E69B.9070104@purematic.de>, Hits: 1001.575, 2540 ms Feb 27 12:46:42 psYkoMobil postfix/smtpd[9403]: disconnect from localhost[127.0.0.1]
Das ist nur ein Teil des Maillogs für diese Mail. Die Mail kommt herein mit "postfix/smtpd [34567] connect from ...", geht dann durch den contentfilter und bekommt eine zweite queue id, wenn sie aus dem contentfilter wieder zu postfix zurückkommt. Zeige mal beide queue ids dafür. queue id:1D0F4669F6 grep "1D0F4669F6" /var/log/mail Das gleich dann mal für die zweite queue id.
Viele grüße
Michael
PS: Olaf Uhlemann hatte mich auf den Eintrag: $sa_local_tests_only = 0; hingewiesen, dieser ist aber so in der Konfig-Datei vorhanden.
Das ist afaik der Standard. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Sandy, Sandy Drobic schrieb:
Das ist nur ein Teil des Maillogs für diese Mail. Die Mail kommt herein mit "postfix/smtpd [34567] connect from ...", geht dann durch den contentfilter und bekommt eine zweite queue id, wenn sie aus dem contentfilter wieder zu postfix zurückkommt. Zeige mal beide queue ids dafür. Hier der komplette Eintrag nach dem Neustart des Mailservers.
Feb 27 12:45:55 psYkoMobil postfix/postfix-script: starting the
Postfix mail system
Feb 27 12:45:55 psYkoMobil postfix/master[9291]: daemon started --
version 2.2.8, configuration /etc/postfix
Feb 27 12:46:38 psYkoMobil postfix/smtpd[9388]: connect from
smtprelay01.ispgateway.de[80.67.18.13]
Feb 27 12:46:39 psYkoMobil postfix/smtpd[9388]: 8C5EF66A02:
client=smtprelay01.ispgateway.de[80.67.18.13]
Feb 27 12:46:39 psYkoMobil postfix/cleanup[9396]: 8C5EF66A02:
resent-message-id=<4402E69B.9070104@purematic.de>
Feb 27 12:46:39 psYkoMobil postfix/cleanup[9396]: 8C5EF66A02:
message-id=<44020061.9030804@purematic.de>
Feb 27 12:46:39 psYkoMobil postfix/qmgr[9300]: 8C5EF66A02:
from=
Michael Post wrote:
Feb 27 12:46:42 psYkoMobil amavis[9333]: (09333-01) Passed SPAM, [80.67.18.13]
-> <6473623@onres.de>, quarantine: spam-5f55cc5eadee1e2c2b0113215eb0abdd-20060227-124639-09333-01, Message-ID: <44020061.9030804@purematic.de>, Resent-Message-ID: <4402E69B.9070104@purematic.de>, Hits: 1001.575, 2540 ms
Okay, die mail wandert normal durch. Das einzige, was mich stutzig macht, ist der enorm hohe "Hits: 1001.575". Das kann durch normale Spamassassin-Regeln nicht erreicht werden. Irgendwo hast du wahrscheinlich eine Regel, die den Wert um 1000 erhöht. Hast du irgendwo lokale Regeln für Spamassassin eingetragen? Ich kann keine Regel in amavisd.conf sehen, welche diesen Wert erzeugen könnte. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Sandy, Sandy Drobic schrieb:
Okay, die mail wandert normal durch. Das einzige, was mich stutzig macht, ist der enorm hohe "Hits: 1001.575". Das kann durch normale Spamassassin-Regeln nicht erreicht werden. Irgendwo hast du wahrscheinlich eine Regel, die den Wert um 1000 erhöht.
Hast du irgendwo lokale Regeln für Spamassassin eingetragen? Ich kann keine Regel in amavisd.conf sehen, welche diesen Wert erzeugen könnte.
aus einem Tutorial habe ich die /etc/mail/spamassassin/local.cf wie folgt geändert. Als Default ist kein Eintrag einkommentiert gewesen. File Edit Options Buffers Tools Help # Add your own customisations to this file. See 'man Mail::SpamAssassin::Conf' # for details of what can be tweaked. # ## Add Michael Post 26.02.2006 required_hits 5 # do not change the subject # to change the subject, e.g. use # rewrite_header Subject ****SPAM(_SCORE_)**** rewrite_header Subject # Set the score required before a mail is considered spam. # required_score 5.00 required_score 4.5 # uncomment, if you do not want spamassassin to create a new message # in case of detecting spam # report_safe 0 report_safe 1 Viele Grüße Michael -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFEAv3eNhM2b4kmzXwRAoJSAJ0WDNO3PE8dl/M/GAN6dpezEepayACgjHTv hlU2WePws6xxPcXWLmv4j0M= =uXC4 -----END PGP SIGNATURE-----
Michael Post wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo Sandy,
Sandy Drobic schrieb:
Okay, die mail wandert normal durch. Das einzige, was mich stutzig macht, ist der enorm hohe "Hits: 1001.575". Das kann durch normale Spamassassin-Regeln nicht erreicht werden. Irgendwo hast du wahrscheinlich eine Regel, die den Wert um 1000 erhöht.
Hast du irgendwo lokale Regeln für Spamassassin eingetragen? Ich kann keine Regel in amavisd.conf sehen, welche diesen Wert erzeugen könnte.
aus einem Tutorial habe ich die /etc/mail/spamassassin/local.cf wie folgt geändert. Als Default ist kein Eintrag einkommentiert gewesen.
Darin ist keine Regel sichtbar, die den Score dermaßen verändern würde. Suche mal in anderen Einstellungen. Hast du eine SQL-Abfrage in spamassassin/amavis laufen, die so einen Score vergeben könnte? Das sieht ganz nach einem Whitelist-/Blacklist-Problem aus, das aus dem Ruder gelaufen ist. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Sandy, Sandy Drobic schrieb:
Darin ist keine Regel sichtbar, die den Score dermaßen verändern würde. Suche mal in anderen Einstellungen. Hast du eine SQL-Abfrage in spamassassin/amavis laufen, die so einen Score vergeben könnte?
Das sieht ganz nach einem Whitelist-/Blacklist-Problem aus, das aus dem Ruder gelaufen ist.
Wo soll ich danach suchen? Alles andere ich Original Suse 9.3 - Yast - Default - Konfiguration. Ansonsten ist nichts geändert. Wie würdest Du das Thema angehen? Wo würdest Du suchen? Viele Grüße Michael -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFEAwriNhM2b4kmzXwRAns7AJ9URYX5HLBWR8vRoYxmCuo6fH7ZtQCgob+b OSwWN6PJ1wBAmn/Vkoq8gpQ= =R48D -----END PGP SIGNATURE-----
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo, Michael Post schrieb:
Hallo Sandy,
Sandy Drobic schrieb:
Darin ist keine Regel sichtbar, die den Score dermaßen verändern würde. Suche mal in anderen Einstellungen. Hast du eine SQL-Abfrage in spamassassin/amavis laufen, die so einen Score vergeben könnte?
Das sieht ganz nach einem Whitelist-/Blacklist-Problem aus, das aus dem Ruder gelaufen ist.
Wo soll ich danach suchen? Alles andere ich Original Suse 9.3 - Yast - Default - Konfiguration. Ansonsten ist nichts geändert.
Wie würdest Du das Thema angehen? Wo würdest Du suchen? Dummer Fehler. Ähnlich wie in Postfix muss man auch angeben, für welche Domains der Amavis LOKAL zuständig ist. Also muss man $mydomain auch richtig setzen, sonst wird das nichts.
Das ist jetzt erfolgt. Ich werde amavis jetzt so umbauen, dass er sich die Domains mittels MySQL holt, dann sollte der Part auch erledigt sein. Vielen Dank Sandy für Deine hilfreiche Unterstützung. Michael PS: Bezüglich der 1000-fachen Bewertung mache ich einen neuen Thread auf. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFEAw5UNhM2b4kmzXwRAlI8AJ9m2+8Mw5neTZ8XveukabtR0l8/ZwCeJdtk qBWL4cwU368J8+bZUMpnj4k= =zvTO -----END PGP SIGNATURE-----
Michael Post wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Hallo Sandy,
Sandy Drobic schrieb:
Darin ist keine Regel sichtbar, die den Score dermaßen verändern würde. Suche mal in anderen Einstellungen. Hast du eine SQL-Abfrage in spamassassin/amavis laufen, die so einen Score vergeben könnte?
Das sieht ganz nach einem Whitelist-/Blacklist-Problem aus, das aus dem Ruder gelaufen ist.
Wo soll ich danach suchen? Alles andere ich Original Suse 9.3 - Yast - Default - Konfiguration. Ansonsten ist nichts geändert.
Wie würdest Du das Thema angehen? Wo würdest Du suchen?
Amavis zeigt die Meldungen sehr detailliert an, wenn du es im Debug-Modus startest. rcamavisd stop; amavisd debug Dann mal eine Mail von außen reinschicken und den Wust an Meldungen auf Auffälligkeiten durchsuchen. Da ist mit Sicherheit irgendwo eine Regel, die den Score um 1000 erhöht und von dir stammt. Suche mal insbesondere bei Regeln, wo du auskommentiert hast und die vielleicht den Wert dem Parameter der vorigen Zeile zuordnen. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Sandy, Sandy Drobic schrieb:
Amavis zeigt die Meldungen sehr detailliert an, wenn du es im Debug-Modus startest.
rcamavisd stop; amavisd debug Danke. Sehr informativ diese Ausgabe.
Dann mal eine Mail von außen reinschicken und den Wust an Meldungen auf Auffälligkeiten durchsuchen.
...
Feb 27 15:53:05 psYkoMobil /usr/sbin/amavisd[18918]: (18918-01) lookup
(score_sender), 1 matches for "6473623@onres.de", results:
"."=>(Amavis::Lookup::RE=ARRAY(0x8b64b34),HASH(0x8b64ba0))
Feb 27 15:53:05 psYkoMobil /usr/sbin/amavisd[18918]: (18918-01)
lookup_re(michael.post@purematic.de), no matches
Feb 27 15:53:05 psYkoMobil /usr/sbin/amavisd[18918]: (18918-01)
query_keys: michael.post@purematic.de, michael.post@, purematic.de,
.purematic.de, .de, .
Feb 27 15:53:05 psYkoMobil /usr/sbin/amavisd[18918]: (18918-01)
lookup_hash(michael.post@purematic.de), no matches
Feb 27 15:53:05 psYkoMobil /usr/sbin/amavisd[18918]: (18918-01) lookup
(score_sender
Da ist mit Sicherheit irgendwo eine Regel, die den Score um 1000 erhöht und von dir stammt. Suche mal insbesondere bei Regeln, wo du auskommentiert hast und die vielleicht den Wert dem Parameter der vorigen Zeile zuordnen.
Er scheint die Mail so zu bewerten. Ich verwende übrigens SA 3.0.4. Ich könnte jetzt die Spam-Signatur Euch mitsenden, aber diese lieber auf Abruf - falls überhaupt interessant - da sie bei Euch sicherlich aussortiert wird. Viele Grüße Michael -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.0 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFEAxUUNhM2b4kmzXwRAj2PAJ9FqYILX/LOEup3/GU7Mgj+80qybwCfZbb2 GFfl4KungEFQ6x1w1giPBSk= =MeNv -----END PGP SIGNATURE-----
participants (2)
-
Michael Post
-
Sandy Drobic