X-Spam-Status nur bei lokalen Mails
Wenn ich mir ein Mail lokal im internen Netz sende, dann wird im Header
X-Spam-Status vermerkt, wenn das Mail das interne Netz verläßt nicht.
/etc/mail/spamassassin/local.cf
rewrite_header Subject
X-Virus-Scanned: by amavisd-new at gw.local.* ist beim intern zugestellten
Mail nur 1x vorhanden, dafür gibt es aber einen X-Spam-Status, beim externen
Mail, ist eingetragen, dass es 2x amavisd passiert hat.
Zusatzfrage:
Wie kann ich die Spam-Analyse im Header detaillierter eintragen lassen?
Unten sind die Header von Beispielen. * ist ein FQDN oder User
Al
Return-Path:
Hallo, Am Mon, 23 Jan 2006, Al Bogner schrieb:
Wenn ich mir ein Mail lokal im internen Netz sende, dann wird im Header X-Spam-Status vermerkt, wenn das Mail das interne Netz verläßt nicht.
Das duerfte an deiner Amavis-Konfiguration liegen. Damit kenn ich mich aber nicht aus.
/etc/mail/spamassassin/local.cf rewrite_header Subject
Da fehlt noch der "String" ==== man Mail::SpamAssassin::Conf ==== rewrite_header { subject | from | to } STRING By default, suspected spam messages will not have the "Subject", "From" or "To" lines tagged to indicate spam. By setting this option, the header will be tagged with "STRING" to indicate that a message is spam. ==== Du taggst also mit nichts, ergo siehst du auch nix im Subject. Aber man filtert doch eh besser nach "X-Spam-Status:"
Zusatzfrage: Wie kann ich die Spam-Analyse im Header detaillierter eintragen lassen?
Noch ausfuehrlicher? Kruschtel ggfs. nochmal in o.g. manpage. -dnh -- "All mushrooms are edible. However, some of them only once" -- Ino!~
Am Dienstag, 24. Januar 2006 01:40 schrieb David Haller:
Am Mon, 23 Jan 2006, Al Bogner schrieb:
Wenn ich mir ein Mail lokal im internen Netz sende, dann wird im Header X-Spam-Status vermerkt, wenn das Mail das interne Netz verläßt nicht.
Das duerfte an deiner Amavis-Konfiguration liegen. Damit kenn ich mich aber nicht aus.
/etc/mail/spamassassin/local.cf rewrite_header Subject
Du taggst also mit nichts, ergo siehst du auch nix im Subject.
Ich will auch nichts im Subject sehen
Aber man filtert doch eh besser nach "X-Spam-Status:"
Ja Vgl. meine Beispiele: intern: X-Virus-Scanned: by amavisd-new at gw.local.* X-Spam-Status: No, hits=-5.881 tagged_above=-20 required=5 tests=ALL_TRUSTED, AWL, BAYES_00 X-Spam-Level: X-UIDL: Bnk"!Gd*"!j=p"!Z:a"! extern: X-Virus-Scanned: by amavisd-new at gw.local.* X-Virus-Scanned: by amavisd-new at gw.local.* X-UIDL: n6c!!~JX"!LJ[!!66! Bei "extern" hätte ich also gerne die Zeile mit X-Spam-Status, offensichtlich ist das beim Senden und Empfangen über den amavisd gelaufen.
Zusatzfrage: Wie kann ich die Spam-Analyse im Header detaillierter eintragen lassen?
Noch ausfuehrlicher? Kruschtel ggfs. nochmal in o.g. manpage.
Ich hätte zu Demonstrationszwecken gerne so was wie im Attachmet. Ich hänge es an, damit es der Spamfilter (hoffentlich) nicht analysiert. Die einzelnen Wertungen würden reichen. Unter SuSE 8.x hatte ich schon mal ähnliches im Header. Das stammt von einem Redhat-System meines Hosters. Al
Hallo, Am Tue, 24 Jan 2006, Al Bogner schrieb:
Am Dienstag, 24. Januar 2006 01:40 schrieb David Haller:
Am Mon, 23 Jan 2006, Al Bogner schrieb:
Wenn ich mir ein Mail lokal im internen Netz sende, dann wird im Header X-Spam-Status vermerkt, wenn das Mail das interne Netz verläßt nicht.
Das duerfte an deiner Amavis-Konfiguration liegen. Damit kenn ich mich aber nicht aus.
/etc/mail/spamassassin/local.cf rewrite_header Subject
Du taggst also mit nichts, ergo siehst du auch nix im Subject.
Ich will auch nichts im Subject sehen
Ok. Ich habe die Zeile einfach auskommentiert. [..]
extern: X-Virus-Scanned: by amavisd-new at gw.local.* X-Virus-Scanned: by amavisd-new at gw.local.* X-UIDL: n6c!!~JX"!LJ[!!66!
Bei "extern" hätte ich also gerne die Zeile mit X-Spam-Status, offensichtlich ist das beim Senden und Empfangen über den amavisd gelaufen.
Und Amavis hat's wohl nicht durch SA geschickt. Oder rufst du SA nicht via Amavis auf? Zeig mal die Ausgabe von egrep -i '^[^#]*(spam|sa)' /etc/amavisd.conf und sed '/^[[:space:]]*#/d;/^[[:space:]]*$/d;/whitelist_/d' \ /etc/mail/spamassassin/{local.cf,v310.pre,init.pre} \ ~/.spamassassin/user_prefs -dnh -- Frauenbrüste haben mich noch nie interessiert, die hab ich selbst. [Johanna Ostermann in dafk]
Am Dienstag, 24. Januar 2006 16:16 schrieb David Haller: Hallo David,
Und Amavis hat's wohl nicht durch SA geschickt.
Das vermute ich auch, ich vermute, das passiert aber nur in bestimmten Fällen.
Oder rufst du SA nicht via Amavis auf? Zeig mal die Ausgabe von
egrep -i '^[^#]*(spam|sa)' /etc/amavisd.conf und sed '/^[[:space:]]*#/d;/^[[:space:]]*$/d;/whitelist_/d' \ /etc/mail/spamassassin/{local.cf,v310.pre,init.pre} \ ~/.spamassassin/user_prefs
# egrep -i '^[^#]*(spam|sa)' /etc/amavisd.conf $sa_tag_level_deflt = -20.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 5.0; $sa_kill_level_deflt = 6.31; # triggers spam evasive actions $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent $sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? $sa_auto_whitelist = 1; # turn on AWL in SA 2.63 or older (irrelevant $virus_admin = "virusalert\@$mydomain"; # notifications recip. $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender @addr_extension_spam_maps = ('spam'); $dspam = 'dspam'; $sa_spam_subject_tag = '***SPAM*** '; $final_spam_destiny = D_PASS; [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], ['Command AntiVirus for Linux', 'csav', 'savsecls', '-server 127.0.0.1:7777 -mode scanrepair -details -verbose {}', ['F-Secure Antivirus', 'fsav', "--stdout --disable-summary -r --tempdir=$TEMPBASE {}", [0], [1], sed '/^[[:space:]]*#/d;/^[[:space:]]*$/d;/whitelist_/d' \
/etc/mail/spamassassin/{local.cf,v310.pre,init.pre} \ ~/.spamassassin/user_prefs
rewrite_subject 0 use_terse_report 1 sed: can't read /etc/mail/spamassassin/v310.pre: No such file or directory loadplugin Mail::SpamAssassin::Plugin::URIDNSBL loadplugin Mail::SpamAssassin::Plugin::Hashcash loadplugin Mail::SpamAssassin::Plugin::SPF sed: can't read /root/.spamassassin/user_prefs: No such file or directory Al
Am Dienstag, 24. Januar 2006 19:26 schrieb Al Bogner:
Am Dienstag, 24. Januar 2006 16:16 schrieb David Haller:
Hallo David,
Und Amavis hat's wohl nicht durch SA geschickt.
Das vermute ich auch, ich vermute, das passiert aber nur in bestimmten Fällen.
Oder rufst du SA nicht via Amavis auf? Zeig mal die Ausgabe von
egrep -i '^[^#]*(spam|sa)' /etc/amavisd.conf und sed '/^[[:space:]]*#/d;/^[[:space:]]*$/d;/whitelist_/d' \ /etc/mail/spamassassin/{local.cf,v310.pre,init.pre} \ ~/.spamassassin/user_prefs
# egrep -i '^[^#]*(spam|sa)' /etc/amavisd.conf $sa_tag_level_deflt = -20.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 5.0; $sa_kill_level_deflt = 6.31; # triggers spam evasive actions $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent $sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? $sa_auto_whitelist = 1; # turn on AWL in SA 2.63 or older (irrelevant $virus_admin = "virusalert\@$mydomain"; # notifications recip. $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender @addr_extension_spam_maps = ('spam'); $dspam = 'dspam'; $sa_spam_subject_tag = '***SPAM*** '; $final_spam_destiny = D_PASS;
[qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], ['Command AntiVirus for Linux', 'csav', 'savsecls', '-server 127.0.0.1:7777 -mode scanrepair -details -verbose {}', ['F-Secure Antivirus', 'fsav', "--stdout --disable-summary -r --tempdir=$TEMPBASE {}", [0], [1],
sed '/^[[:space:]]*#/d;/^[[:space:]]*$/d;/whitelist_/d' \
/etc/mail/spamassassin/{local.cf,v310.pre,init.pre} \ ~/.spamassassin/user_prefs
rewrite_subject 0 use_terse_report 1 sed: can't read /etc/mail/spamassassin/v310.pre: No such file or directory loadplugin Mail::SpamAssassin::Plugin::URIDNSBL loadplugin Mail::SpamAssassin::Plugin::Hashcash loadplugin Mail::SpamAssassin::Plugin::SPF sed: can't read /root/.spamassassin/user_prefs: No such file or directory
Al
Nabnd Al, also ich hab das Symptom auch, allerdings erst seitdem ich die Autowhitelist Funktion aktiviert habe. Ich vermute das hierdurch Mails am Check vorbeigeführt werden um die Last zu reduzieren, wodurch sie dann auch keine x-header bekommen. Insofern hat also das verhalten weniger mit intern/extern zu tun, sondern mit bekannt oder unbekannt. Wenn Du willst schick ich dir gerade mal ein Re direkt, dann kannst Du feststellen ob meine Mail durch spamassassin gecheckt wird oder nicht. Gruß Micha
Hallo, Am Tue, 24 Jan 2006, Al Bogner schrieb:
Am Dienstag, 24. Januar 2006 16:16 schrieb David Haller:
Und Amavis hat's wohl nicht durch SA geschickt.
Das vermute ich auch, ich vermute, das passiert aber nur in bestimmten Fällen.
Oder rufst du SA nicht via Amavis auf? Zeig mal die Ausgabe von
egrep -i '^[^#]*(spam|sa)' /etc/amavisd.conf und sed '/^[[:space:]]*#/d;/^[[:space:]]*$/d;/whitelist_/d' \ /etc/mail/spamassassin/{local.cf,v310.pre,init.pre} \ ~/.spamassassin/user_prefs
# egrep -i '^[^#]*(spam|sa)' /etc/amavisd.conf $sa_tag_level_deflt = -20.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 5.0; $sa_kill_level_deflt = 6.31; # triggers spam evasive actions $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent $sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? $sa_auto_whitelist = 1; # turn on AWL in SA 2.63 or older (irrelevant $virus_admin = "virusalert\@$mydomain"; # notifications recip. $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender @addr_extension_spam_maps = ('spam'); $dspam = 'dspam'; $sa_spam_subject_tag = '***SPAM*** '; $final_spam_destiny = D_PASS; [..]
Hm. Da faellt mir nix auf, aber wie gesagt, amavis kenne ich nicht.
sed '/^[[:space:]]*#/d;/^[[:space:]]*$/d;/whitelist_/d' \
/etc/mail/spamassassin/{local.cf,v310.pre,init.pre} \ ~/.spamassassin/user_prefs
rewrite_subject 0 use_terse_report 1
use_terse_report 0 sollte dir die gewuenschten "ausfuehrlichen" Ausgaben im Header liefern.
sed: can't read /etc/mail/spamassassin/v310.pre: No such file or directory loadplugin Mail::SpamAssassin::Plugin::URIDNSBL loadplugin Mail::SpamAssassin::Plugin::Hashcash loadplugin Mail::SpamAssassin::Plugin::SPF sed: can't read /root/.spamassassin/user_prefs: No such file or directory
Du hast doch ne 3.x Version von SA? Ich verwende === v310.pre === loadplugin Mail::SpamAssassin::Plugin::AntiVirus loadplugin Mail::SpamAssassin::Plugin::AWL loadplugin Mail::SpamAssassin::Plugin::AutoLearnThreshold loadplugin Mail::SpamAssassin::Plugin::WhiteListSubject loadplugin Mail::SpamAssassin::Plugin::MIMEHeader loadplugin Mail::SpamAssassin::Plugin::ReplaceTags === init.pre === loadplugin Mail::SpamAssassin::Plugin::Hashcash === Geh am besten nochmal die Config von Amavis und SA durch. -dnh -- Christ, their _intention_ is to have the OS drop its pants, bend over, and ask the whole bloody net to remotely install any bits at all . . . and then they're surprised it turns out to be a serious security flaw? This is moronic even by the standards set by Microsoft. -- David P. Murphy
Am Mittwoch, 25. Januar 2006 00:24 schrieb David Haller:
Hm. Da faellt mir nix auf, aber wie gesagt, amavis kenne ich nicht.
Schade.
use_terse_report 0
sollte dir die gewuenschten "ausfuehrlichen" Ausgaben im Header liefern.
Da ändert sich gar nichts.
Du hast doch ne 3.x Version von SA?
Zur Erinnerung: ich verwende auf diesem Rechner 9.2. Vielleicht liegt hier das Problem, ich habe 1x perl-spamassassin und 1x spamassassin. rpm -qa --queryformat "%{buildhost}:%{name}-%{version}-%{release}\n" | grep -i spam galerkin.suse.de:spamassassin-3.0.4-1.3 galerkin.suse.de:perl-spamassassin-3.0.4-1.3 apt-cache policy perl-spamassassin perl-spamassassin: Installed: 3.0.4-1.3 Candidate: 3.0.4-1.3 Version Table: *** 3.0.4-1.3 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 100 RPM Database 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist apt-cache policy spamassassin spamassassin: Installed: 3.0.4-1.3 Candidate: 3.0.4-1.3 Version Table: *** 3.0.4-1.3 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 100 RPM Database 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist Weiters ist folgendes installiert: appolonius.suse.de:bogofilter-0.92.8-2.1 d158.suse.de:clamav-0.88-0.1 g242.suse.de:perl-razor-agents-2.61-3 janacek.suse.de:razor-agents-2.61-3.2
Ich verwende
=== v310.pre === loadplugin Mail::SpamAssassin::Plugin::AntiVirus loadplugin Mail::SpamAssassin::Plugin::AWL loadplugin Mail::SpamAssassin::Plugin::AutoLearnThreshold loadplugin Mail::SpamAssassin::Plugin::WhiteListSubject loadplugin Mail::SpamAssassin::Plugin::MIMEHeader loadplugin Mail::SpamAssassin::Plugin::ReplaceTags === init.pre === loadplugin Mail::SpamAssassin::Plugin::Hashcash ===
Soll ich das mal mit cpan installieren? Eigentlich würde ich Spamassassin aber gerne mit aptitude aktuell halten wollen.
Geh am besten nochmal die Config von Amavis und SA durch.
SA ist auf default, d.h. ich habe bzgl. SA _nichts_ konfiguriert. Wie verfolge ich am besten, welchen Weg das Mail nach der POP3-Abfrage nimmt? Ich denke, dass das Mail vielleicht an Spamassassin vorbei im lokalen Postfach landet. Dagegen spricht natürlich, dass ich viele Mails in /var/spool/amavis/virusmails habe und auch laufend mehr werden. Al
Hallo, Am Wed, 25 Jan 2006, Al Bogner schrieb:
Am Mittwoch, 25. Januar 2006 00:24 schrieb David Haller: Schade.
use_terse_report 0
sollte dir die gewuenschten "ausfuehrlichen" Ausgaben im Header liefern.
Da ändert sich gar nichts.
Hm.
Du hast doch ne 3.x Version von SA?
Zur Erinnerung: ich verwende auf diesem Rechner 9.2.
Vielleicht liegt hier das Problem, ich habe 1x perl-spamassassin und 1x spamassassin.
rpm -qa --queryformat "%{buildhost}:%{name}-%{version}-%{release}\n" | grep -i spam galerkin.suse.de:spamassassin-3.0.4-1.3 galerkin.suse.de:perl-spamassassin-3.0.4-1.3
Is ok. rpm -q --requires spamassassin-3.0.4-1.3 Was gibt perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n"; aus?
Weiters ist folgendes installiert:
appolonius.suse.de:bogofilter-0.92.8-2.1
Das ist doch auch ein spamfilter, oder?
d158.suse.de:clamav-0.88-0.1 g242.suse.de:perl-razor-agents-2.61-3 janacek.suse.de:razor-agents-2.61-3.2
Sollte nicht stoeren.
Ich verwende
=== v310.pre ===
Das duerfte bei dir v304.pre oder v300.pre sein.
loadplugin Mail::SpamAssassin::Plugin::AntiVirus loadplugin Mail::SpamAssassin::Plugin::AWL loadplugin Mail::SpamAssassin::Plugin::AutoLearnThreshold loadplugin Mail::SpamAssassin::Plugin::WhiteListSubject loadplugin Mail::SpamAssassin::Plugin::MIMEHeader loadplugin Mail::SpamAssassin::Plugin::ReplaceTags === init.pre === loadplugin Mail::SpamAssassin::Plugin::Hashcash ===
Soll ich das mal mit cpan installieren? Eigentlich würde ich Spamassassin aber gerne mit aptitude aktuell halten wollen.
Ich hab' hier 3.1.0...
Geh am besten nochmal die Config von Amavis und SA durch.
SA ist auf default, d.h. ich habe bzgl. SA _nichts_ konfiguriert.
Solltest du.
Wie verfolge ich am besten, welchen Weg das Mail nach der POP3-Abfrage nimmt?
Fang mit 'fetchmail -vvv' an. Und pruefe auch noch die postfix Konfiguration, du kannst die Mails ja auch ohne Amavis von postfix durch SA schleusen. Wie man Amavis bzgl. SA konfiguriert weiss ich nicht.
Ich denke, dass das Mail vielleicht an Spamassassin vorbei im lokalen Postfach landet. Dagegen spricht natürlich, dass ich viele Mails in /var/spool/amavis/virusmails habe und auch laufend mehr werden.
s.o. -dnh -- "The Write Many, Read Never drive. For those people that don't know their system has a /dev/null already." -- Rik Steenwinkel on Exabyte drives, ASR
Am Mittwoch, 25. Januar 2006 23:18 schrieb David Haller:
Was gibt perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n"; aus?
# perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n";
appolonius.suse.de:bogofilter-0.92.8-2.1
Das ist doch auch ein spamfilter, oder?
Ja, ist einfach nur installiert. Nachdem ja durchaus Spams erkannt und nach var/spool/amavis/virusmails/ verschoben werden hatte ich mich bis jetzt nicht sehr dafür interessiert.
Ich hab' hier 3.1.0...
Ich glaube auch nicht, dass es an der Version liegt.
SA ist auf default, d.h. ich habe bzgl. SA _nichts_ konfiguriert.
Solltest du.
Was hast du in welcher Datei _zusätzlich_ konfiguriert? Nachdem da ja manchmal was in den Header geschrieben wird und Spams verschoben werden, weiß ich nicht was ich da sinnvolles konfigurieren könnte. Ich habe mir auch schon mal überlegt, ob es ein Rechteproblem ist. Es gibt ja die Möglichkeit, dass jeder User eine eigene Konfiguration hat.
Wie verfolge ich am besten, welchen Weg das Mail nach der POP3-Abfrage nimmt?
Fang mit 'fetchmail -vvv' an.
Und pruefe auch noch die postfix Konfiguration, du kannst die Mails ja auch ohne Amavis von postfix durch SA schleusen. Wie man Amavis bzgl. SA konfiguriert weiss ich nicht.
Ich denke, dass das Mail vielleicht an Spamassassin vorbei im lokalen Postfach landet. Dagegen spricht natürlich, dass ich viele Mails in /var/spool/amavis/virusmails habe und auch laufend mehr werden.
s.o.
-dnh
-- "The Write Many, Read Never drive. For those people that don't know their system has a /dev/null already." -- Rik Steenwinkel on Exabyte drives, ASR
Am Donnerstag, 26. Januar 2006 16:58 schrieb Al Bogner:
Am Mittwoch, 25. Januar 2006 23:18 schrieb David Haller:
Tut mir leid, das vorige Mail wurde versandt, obwohl es noch nicht fertig war. Das ist also die Fortsetzung.
Wie verfolge ich am besten, welchen Weg das Mail nach der POP3-Abfrage nimmt?
Fang mit 'fetchmail -vvv' an.
fetchmail: 6.2.5 fragt ab mail.FQDN (Protokoll POP3) um Do 26 Jan 2006
17:05:23 CET: Abfrage gestartet
fetchmail: POP3< +OK POP3 server [cppop 20.0] at [70.85.1.114]
fetchmail: POP3> CAPA
fetchmail: POP3< +OK Capability list follows
fetchmail: POP3< TOP
fetchmail: POP3< USER
fetchmail: POP3< UIDL
fetchmail: POP3< XSENDER
fetchmail: POP3< IMPLEMENTATION cppop
fetchmail: POP3< .
fetchmail: POP3> USER MYUSERNAME
fetchmail: POP3< +OK Need a password
fetchmail: POP3> PASS *
fetchmail: POP3< +OK You have 1 messages totaling 1706 octets
from /home/megalite/mail/FQDN/FQDN/inbox (full load)
fetchmail: POP3> STAT
fetchmail: POP3< +OK 1 1706
fetchmail: POP3> UIDL
fetchmail: POP3< +OK
fetchmail: POP3< 1 1450d8eafacbad21defa5a32021839c4
fetchmail: POP3< .
1 Nachricht für MYUSERNAME bei mail.FQDN (1706 Oktetts).
fetchmail: POP3> LIST 1
fetchmail: POP3< +OK 1 1706
fetchmail: POP3> TOP 1 99999999
fetchmail: POP3< +OK 1681 octets
Nachricht MYUSERNAME@mail.FQDN:1 von 1 wird gelesen (1706 Oktetts)
fetchmail: SMTP< 220 gw.local.FQDN2 ESMTP Postfix
fetchmail: SMTP> EHLO localhost
fetchmail: SMTP< 250-gw.local.FQDN2
fetchmail: SMTP< 250-PIPELINING
fetchmail: SMTP< 250-SIZE 25000000
fetchmail: SMTP< 250-VRFY
fetchmail: SMTP< 250-ETRN
fetchmail: SMTP< 250 8BITMIME
fetchmail: SMTP> MAIL FROM:
Und pruefe auch noch die postfix Konfiguration, du kannst die Mails ja auch ohne Amavis von postfix durch SA schleusen.
Irgendwas in dieser Richtung stelle ich mir vor, dass das Mail eben machmal
nicht über amavis läuft. Ich habe es aber noch nicht geschafft ein Virus zu
versenden:
nail -r suse-linux@ml061.FQDN
-a /var/spool/amavis/virusmails/virus-20060122-225543-22431-10
no-spam@n04c-nospam.FQDN
Jan 26 17:16:13 gw amavis[14800]: (14800-10) Blocked INFECTED (Worm/Sober.Y),
<> ->
Hallo, Am Thu, 26 Jan 2006, Al Bogner schrieb:
Am Donnerstag, 26. Januar 2006 16:58 schrieb Al Bogner:
Am Mittwoch, 25. Januar 2006 23:18 schrieb David Haller:
Tut mir leid, das vorige Mail wurde versandt, obwohl es noch nicht fertig war. Das ist also die Fortsetzung.
*g*
Wie verfolge ich am besten, welchen Weg das Mail nach der POP3-Abfrage nimmt?
Fang mit 'fetchmail -vvv' an.
fetchmail: 6.2.5 fragt ab mail.FQDN (Protokoll POP3) um Do 26 Jan 2006 17:05:23 CET: Abfrage gestartet fetchmail: POP3< +OK POP3 server [cppop 20.0] at [70.85.1.114] [..] fetchmail: SMTP< 250 Ok: queued as 925C557E4B2 geflusht fetchmail: POP3> DELE 1 fetchmail: POP3< +OK message 1 will be deleted when you logout fetchmail: POP3> QUIT fetchmail: POP3< +OK Bye! fetchmail: 6.2.5 fragt ab mail.FQDN (Protokoll POP3) um Do 26 Jan 2006 17:05:28 CET: Abfrage beendet
Sieht gut aus. Die Mail ist also "heile" beim SMTPD angekommen. [..]
Jan 26 17:05:05 gw postfix/qmgr[5644]: 7AFA857E4C3: removed
Das war ne andere Mail. Achte auf die Queue-IDs...
Jan 26 17:05:28 gw postfix/smtpd[16277]: connect from localhost[127.0.0.1] Jan 26 17:05:28 gw postfix/smtpd[16277]: 925C557E4B2: client=localhost[127.0.0.1] Jan 26 17:05:28 gw postfix/cleanup[14490]: 925C557E4B2: message-id=<43D8F324.nailCEC1ZGJ1K@ml061.FQDN> Jan 26 17:05:28 gw postfix/qmgr[5644]: 925C557E4B2: from=
, size=1971, nrcpt=1 (queue active) Jan 26 17:05:30 gw postfix/smtpd[14497]: connect from localhost[127.0.0.1] Jan 26 17:05:30 gw postfix/smtpd[14497]: 6BD1957E4C3: client=localhost[127.0.0.1] Jan 26 17:05:30 gw postfix/cleanup[14490]: 6BD1957E4C3: message-id=<43D8F324.nailCEC1ZGJ1K@ml061.FQDN> Jan 26 17:05:30 gw postfix/smtpd[14497]: disconnect from localhost[127.0.0.1] Jan 26 17:05:30 gw postfix/qmgr[5644]: 6BD1957E4C3: from= , size=2241, nrcpt=1 (queue active) Jan 26 17:05:30 gw postfix/local[14798]: 6BD1957E4C3: to= , relay=local, delay=0, status=sent (delivered to mailbox) Jan 26 17:05:30 gw postfix/qmgr[5644]: 6BD1957E4C3: removed
Bis hier wohl auch OK, postfix hat die Mail ans 'relay=local' erfolgreich zugestellt.
Jan 26 17:05:30 gw amavis[11442]: (11442-10) Passed CLEAN, [85.124.104.243]
-> , Message-ID: <43D8F324.nailCEC1ZGJ1K@ml061.FQDN>, Hits: -1.652
amavis ist beim loggen wohl etwas lahm.
Jan 26 17:05:30 gw postfix/smtp[14753]: 925C557E4B2: to=
, orig_to= , relay=127.0.0.1 [127.0.0.1], delay=2, status=sent (250 2.6.0 Ok, id=11442-10, from MTA: 250 Ok: queued as 6BD1957E4C3)
Hae??? Die Queue-ID taucht doch schon oben auf... Hier scheint die Mail an Amavis gereicht zu werden... Und von dort zurueck kommt sie weiter oben wo das erste mal die Q-ID '6BD1957E4C3' auftaucht.
Jan 26 17:05:30 gw postfix/qmgr[5644]: 925C557E4B2: removed Jan 26 17:06:28 gw postfix/smtpd[16277]: disconnect from localhost[127.0.0.1]
... $&!@+! asyncrones logging... Und die timestamps sind auch nicht genau genug um das auseinanderzusortieren. Jedenfalls: die Mail scheint durch Amavis zu laufen. Ob / warum das aber die Mails (nicht) durch SA schiebt weiss ich nicht.
Und pruefe auch noch die postfix Konfiguration, du kannst die Mails ja auch ohne Amavis von postfix durch SA schleusen.
Irgendwas in dieser Richtung stelle ich mir vor, dass das Mail eben machmal nicht über amavis läuft.
Muesste nach dem Muster von amavis laufen (spamd laesst sich mit passendem Port starten, dort laesst du postfix die Mails reinfuettern, wie das mit dem "zurueckgeben" laeuft weiss ich nicht, da ich postfix nicht verwende und spamd nur via spamc anspreche). Da kann dir vielleicht jemand anderes helfen (Sandy scheint ein Postfix Spezerl zu sein ;)... Alternativ koenntest du (bes. wenn du sowieso procmail verwendest) SA auch per procmail aufrufen: ==== man procmail ==== If no rcfiles and no -p have been specified on the command line, procmail will, prior to reading $HOME/.procmailrc, interpret commands from /etc/procmailrc (if present). ==== Das heisst, wenn du in postfix procmail als MDA definierst kannst du z.B. so eine ==== /etc/procmailrc ==== PATH="" LOGFILE="/var/log/procmail.log" ### _keinen_ DEFAULT= setzen! :0 fw | /usr/bin/spamc :0 H * ^X-Spam-Level: \*\*\*\*\*\*\* /var/spool/spamassassin/spammed-sure ==== anlegen. Die MBox fuer den spam natuerlich anpassen. Anschliessend sollte procmail dann (lt. manpage, s.o.) die $HOME/.procmailrc der User auswerten, wozu du procmail allerdings den User mitteilen musst, das geht aber ueber die master.cf.
Ich habe es aber noch nicht geschafft ein Virus zu versenden: [..]
Hm. Keine Ahnung. -dnh -- "...you want a .sig with that?"
David Haller wrote:
... $&!@+! asyncrones logging... Und die timestamps sind auch nicht genau genug um das auseinanderzusortieren.
Jedenfalls: die Mail scheint durch Amavis zu laufen. Ob / warum das aber die Mails (nicht) durch SA schiebt weiss ich nicht.
Entweder Whitelisting oder nur keinen Headereintrag.
Und pruefe auch noch die postfix Konfiguration, du kannst die Mails ja auch ohne Amavis von postfix durch SA schleusen.
Irgendwas in dieser Richtung stelle ich mir vor, dass das Mail eben machmal nicht über amavis läuft.
Das könnte nur ein Filter schaffen, der etwa von den Header-/Body-Checks aufgerufen wird. Alles andere wird über den normalen content_filter geschickt.
Muesste nach dem Muster von amavis laufen (spamd laesst sich mit passendem Port starten, dort laesst du postfix die Mails reinfuettern, wie das mit dem "zurueckgeben" laeuft weiss ich nicht, da ich postfix nicht verwende und spamd nur via spamc anspreche).
Da kann dir vielleicht jemand anderes helfen (Sandy scheint ein Postfix Spezerl zu sein ;)...
Ich mag Postfix und gebe mir Mühe, amavis eigentlich überflüssig zu machen. Für meinen privaten Server hier zu hause ist das mittlerweile der Fall. In unserer Firma leider noch nicht. Inzwischen habe ich aber wahrscheinlich zufällig die Lösung gefunden: Auszug aus der Amavis-Doku: # local_domains* lookup tables are used in deciding whether a recipient # is local or not, or in other words, if the message is outgoing or not. # This affects inserting spam-related headers for local recipients, # limiting recipient virus notifications (if enabled) to local recipients, # in deciding if address extension may be appended, and in SQL lookups # for non-fqdn addresses. Set it up correctly if you need features # that rely on this setting (or just leave empty otherwise). # # With Postfix (2.0) a quick reminder on what local domains normally are: # a union of domains specified in: $mydestination, $virtual_alias_domains, # $virtual_mailbox_domains, and $relay_domains. # @local_domains_acl = ( ".$mydomain" ); # $mydomain and its subdomains # @local_domains_acl = qw(); # default is empty, no recipient treated as local # @local_domains_acl = qw( .example.com ); # @local_domains_acl = qw( .example.com !host.sub.example.net .sub.example.net ); # @local_domains_acl = ( ".$mydomain", '.example.com', 'sub.example.net' ); # or alternatively(A), using a Perl hash lookup table, which may be assigned # directly, or read from a file, one domain per line; comments and empty lines # are ignored, a dot before a domain name implies its subdomains: # #read_hash(\%local_domains, '/var/amavis/local_domains'); Bei neueren Versionen scheint es dann local_domains_re = ... zu sein. Wenn du @local_domains_re = (".*"); setzt, dann sollten alle Mails markiert werden. Den Tipp hatte jemand gerade auf der Postfixbuch-users Mailingliste geschickt. Wie du oben aus der Doku aber siehst, kann das "Nebenwirkungen" haben. Ich würde deshalb auch den Rest der Einstellungen durchgehen, wo der Eintrag noch vorkommt und ob dies Auswirkungen auf andere Einstellungen hat.
Ich habe es aber noch nicht geschafft ein Virus zu versenden: [..]
Hm. Keine Ahnung.
Braucht da jemand Hilfe beim Virensenden? Ich habe noch ein paar Examplare in meiner Sammlung. Gerade versuche ich, ein Javascript, welches uns in einer Mail geschickt wurde, zu dekodieren. Gibt dann wahrscheinlich auch einen kleinen Exploit oder wenigstens den Aufruf einer infizierten Seite. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Am Samstag, 28. Januar 2006 04:42 schrieb Sandy Drobic:
Jedenfalls: die Mail scheint durch Amavis zu laufen. Ob / warum das aber die Mails (nicht) durch SA schiebt weiss ich nicht.
Entweder Whitelisting oder nur keinen Headereintrag.
Weder Whitelisting noch Blacklisting ist definiert.
Das könnte nur ein Filter schaffen, der etwa von den Header-/Body-Checks aufgerufen wird. Alles andere wird über den normalen content_filter geschickt.
Es sind keine zusätzlichen Filter von _mir_ definiert.
Ich mag Postfix und gebe mir Mühe, amavis eigentlich überflüssig zu machen. Für meinen privaten Server hier zu hause ist das mittlerweile der Fall. In unserer Firma leider noch nicht.
Warum leider?
Inzwischen habe ich aber wahrscheinlich zufällig die Lösung gefunden:
Ich setze jetzt amavis, spamassassin und clamav komplett neu auf und beginne mit Default-Konfigurationen. Dann schaue ich mir auch "local_domains_re" an. Da dies ein 9.2-Rechner ist dürfte es sich aber eher um eine alte Version handeln.
Ich habe es aber noch nicht geschafft ein Virus zu versenden: [..]
Hm. Keine Ahnung.
Braucht da jemand Hilfe beim Virensenden?
Es war so gemeint, dass amavisd-new jeden Virus-Versand stoppte, d.h irgendwas mit amavisd-new funktioniert offensichtlich. Al
Am Donnerstag, 26. Januar 2006 16:58 schrieb Al Bogner:
Am Mittwoch, 25. Januar 2006 23:18 schrieb David Haller:
Was gibt perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n"; aus?
# perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n";
Da hätte im 1. Mail noch hingehört, dass es da vermutlich einen Syntax-Fehler gibt. Es wird nichts ausgegeben, sondern es wird ein > angeführt. Al
Am Donnerstag, 26. Januar 2006 17:22 schrieb Al Bogner:
perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n"; aus?
# perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n";
Da hätte im 1. Mail noch hingehört, dass es da vermutlich einen Syntax-Fehler gibt. Es wird nichts ausgegeben, sondern es wird ein > angeführt.
perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n"'; 3.000004 Sorry, das fehlende ' hätte ich auch gleich erkennen können. Al
Hallo, Am Thu, 26 Jan 2006, Al Bogner schrieb:
Am Mittwoch, 25. Januar 2006 23:18 schrieb David Haller:
Was gibt perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n"; aus?
# perl -MMail::SpamAssassin -e 'print "$Mail::SpamAssassin::VERSION\n";
[Folgemails] Ja, tut mir leid, da ist das schliessende ' am Ende wohl beim C&P verlorengegangen... Die Ausgabe '3.000004' passt. Und SA wird von Perl auch gefunden. Falls du nicht nur ein perl hast, kontrolliere aber noch mit # su - AMAVISUSER $ PERL5LIB="" perl -MMail::SpamAssassin -e '1;' (wobei du AMAVISUSER durch den User ersetzt, unter dem amavis laeuft) dass auch da SA von perl gefunden wird. Achso: keine Ausgabe == OK. [..]
SA ist auf default, d.h. ich habe bzgl. SA _nichts_ konfiguriert.
Solltest du.
Was hast du in welcher Datei _zusätzlich_ konfiguriert? Nachdem da ja manchmal was in den Header geschrieben wird und Spams verschoben werden, weiß ich nicht was ich da sinnvolles konfigurieren könnte.
/etc/mail/spamassassin/{local.cf,init.pre,v310.pre} (wobei du bei letzterer wohl die Version anpassen musst). In init.pre und v310.pre habe ich die "online"-Plugins auskommentiert, in v310.pre ausserdem das Plugin::AntiVirus aktiviert (da ich nicht amavis verwende) und in local.cf habe ich: required_score 5.0 report_safe 0 use_bayes 1 bayes_auto_learn 1 bayes_auto_learn_threshold_nonspam -5 bayes_auto_learn_threshold_spam 10 dns_available no skip_rbl_checks 1 ok_locales de en fr es sowie ein paar angepasste scores. Ausserdem habe ich in ~/.spamassassin noch diverse "whitelist_{from,to}" und noch ein paar scores. Ich filtere aber eben nicht via Amavis sondern (als user) mit procmail und sortiere da erstmal das meiste aus (eine Whitelist sozusagen) und nur was ueberbleibt wird durch SA gepiped. Der Grund ist u.a. dass SA sich bei mir gerne mal ueber 10s mit einer Mail beschaeftigt.
Ich habe mir auch schon mal überlegt, ob es ein Rechteproblem ist. Es gibt ja die Möglichkeit, dass jeder User eine eigene Konfiguration hat.
Auch wenn du SA via amavis aufrufst? Wie gesagt, ich kenne Amavis nicht. [Rest in der Folgemail] -dnh --
Ich bin zwar Christ, aber kein Christer. komisch. Ich bin nicht ganz dicht, aber Dichter. [WoKo und Hajo Pflueger in dag°]
Am Freitag, 27. Januar 2006 01:42 schrieb David Haller:
und in local.cf habe ich:
required_score 5.0 report_safe 0 use_bayes 1 bayes_auto_learn 1 bayes_auto_learn_threshold_nonspam -5 bayes_auto_learn_threshold_spam 10 dns_available no skip_rbl_checks 1 ok_locales de en fr es
IMHO müsste das ok_languages heißen. Ich verstehe perldoc Mail::SpamAssassin::Conf so, dass für ok_locales nur das zulässig ist: en - Western character sets in general ja - Japanese character sets ko - Korean character sets ru - Cyrillic character sets th - Thai character sets zh - Chinese (both simplified and traditional) /etc/mail/spamassassin/local.cf add_header all Report _REPORT_ ok_languages de en es fr it pt add_header all Checker‐Version SpamAssassin _VERSION_ (_SUBVERSION_) on _HOSTNAME_ rewrite_subject 0 use_terse_report 1 Eine detailliertere Spamanalyse erhalte ich damit aber noch nicht. es sieht zB so aus: X-Spam-Status: No, hits=-5.873 tagged_above=-99 required=4.5 tests=ALL_TRUSTED, AWL, BAYES_00, UPPERCASE_25_50 Al
Hallo, Am Sun, 29 Jan 2006, Al Bogner schrieb:
Am Freitag, 27. Januar 2006 01:42 schrieb David Haller:
und in local.cf habe ich: [..] ok_locales de en fr es
IMHO müsste das ok_languages heißen. Ich verstehe perldoc Mail::SpamAssassin::Conf so, dass für ok_locales nur das zulässig ist:
Ja, stimmt. Kann sein, dass das noch von nem aelteren SA stammt.
/etc/mail/spamassassin/local.cf add_header all Report _REPORT_ ok_languages de en es fr it pt add_header all Checker???Version SpamAssassin _VERSION_ (_SUBVERSION_) on _HOSTNAME_ rewrite_subject 0 use_terse_report 1
Mit letzterem schaltest du ja explizit die "Kurzfassung" ein. Aber in man/perldoc Mail::SpamAssassin::Conf finde ich sonst nix zu "report".
Eine detailliertere Spamanalyse erhalte ich damit aber noch nicht.
es sieht zB so aus: X-Spam-Status: No, hits=-5.873 tagged_above=-99 required=4.5 tests=ALL_TRUSTED, AWL, BAYES_00, UPPERCASE_25_50
Hm. Ist dir der ausfuehrliche Report so wichtig? Ggfs. kann man da sicher auch was "hacken" ;) -dnh -- Danke für's Woggen. Ich glaube Ich sollte den Satz:"Dankeschön für das Woggen!" als Signatur nehmen. [Woko° in dag°]
Am Montag, 30. Januar 2006 03:31 schrieb David Haller:
use_terse_report 1
Mit letzterem schaltest du ja explizit die "Kurzfassung" ein. Aber in man/perldoc Mail::SpamAssassin::Conf finde ich sonst nix zu "report".
Das war der letzte Stand, den ich gepostet habe. Ich hatte es auch mit 0 probiert, hätte ja sein können, dass 1 für "ein" steht, obwohl der engl. Kommentar natürlich das Gegenteil dokumentierte, aber es wirkte ja nicht. Das Problem ist folgendes, wenn amavisd-new läuft, dann wird die local.cf nicht verwendet und man kann eintragen was man will, außerdem muss man nach einer Änderung etwas in dieser Art ausführen: su vscan -c 'spamassassin --lint -D' Wenn ich in amavisd.conf $sa_spam_report_header = 1 eintrage, dann erhalte ich den von mir gewünschten Report, allerdings _nur_ für Spam und ich möchte es vorübergehend für Tests genau umgekehrtt haben. Inwieweit die "defang-Variablen" in amavisd.conf das machen was ich möchte, muss ich erst testen.
Hm. Ist dir der ausfuehrliche Report so wichtig? Ggfs. kann man da sicher auch was "hacken" ;)
Als ich noch amavis und nicht amavisd-new verwendete, sah ich da manchmal interessante Infos und die wollte ich wieder haben, aber so wichtig ist es nun auch nicht. Interessant ist ja auch, dass ich bei Spam nun folgenden Eintrag habe: X-Spam-Report: Spam detection software, running on the system "gw.local.FQDN", während es bei keinem Spam so lautet: X-Virus-Scanned: by amavisd-new at local.FQDN. IMHO gibt es da irgendwo einen Bug, nur für die alte 9.2-Version wird das keinen mehr interessieren. Al
Am Montag, 23. Januar 2006 17:52 schrieb Al Bogner:
Wenn ich mir ein Mail lokal im internen Netz sende, dann wird im Header X-Spam-Status vermerkt, wenn das Mail das interne Netz verläßt nicht.
Moin Al, ich hab hier gerade unter OSS10 das eine oder andere Problem das ich hier, im gegensatz zu meiner 9.1 Installation,habe, dadurch beseitigt das ich das alte config aus /usr/share/doc/packages/amavisd-new/amavisd.conf-sample konfiguriert habe. Ich finde das alte Config ist Übersichtlicher, probiers doch mal aus... Micha
Am Samstag, 28. Januar 2006 10:09 schrieb Michael Schueller:
ich hab hier gerade unter OSS10 das eine oder andere Problem das ich hier, im gegensatz zu meiner 9.1 Installation,habe, dadurch beseitigt das ich das alte config aus /usr/share/doc/packages/amavisd-new/amavisd.conf-sample konfiguriert habe. Ich finde das alte Config ist Übersichtlicher, probiers doch mal aus...
Wie teste ich nun am _einfachsten_ im lokalen Netz, ob ein _externes_ Mail den
X-Spam-Status anzeigt? DIe Mails kommen ja alle per fetchmail auf einem
anderen Rechner rein. Muss ich deswegen extra fetchmail auf _diesem_ Client
einrichten?
BTW ich habe eine simple Methode gefunden um rauszufinden, welcher Rechner nun
X-Spam-Status eingetragen hat, ich setze für sa_tag_level_deflt je nach
Rechner unterschiedliche Werte.
Hinzugefügt habe ich zu den _Default_-Einstellungen von SL 10
$max_requests = 20; # retire a child after that many accepts (default 10)
$child_timeout=5*60; # abort child if it does not complete each task in
Im Runlevel-Editor wurden amavis, clamav und freshclam aktiviert.
From root@client2.local.FQDN Sat Jan 28 13:17:28 2006
Return-Path: root@client2.local.FQDN
X-Original-To: ab@client2.local.FQDN
Delivered-To: ab@client2.local.FQDN
Received: from localhost (localhost [127.0.0.1])
by client2.local.FQDN (Postfix) with ESMTP id DC460868B6E
for
Hallo Al Am Samstag, 28. Januar 2006 13:29 schrieb Al Bogner:
.... Wie teste ich nun am _einfachsten_ im lokalen Netz, ob ein _externes_ Mail den X-Spam-Status anzeigt? DIe Mails kommen ja alle per fetchmail auf einem anderen Rechner rein. Muss ich deswegen extra fetchmail auf _diesem_ Client einrichten? ... Du könntest vieleicht mal mit spamassassin -D --lint nachsehen, wo es evtl. hängt.
Al Gruß Thomas
-- Mögen täten wir schon wollen, doch dürfen haben wir uns nicht getraut. Karl Valentin
Am Samstag, 28. Januar 2006 14:39 schrieb Thomas Becker:
Wie teste ich nun am _einfachsten_ im lokalen Netz, ob ein _externes_ Mail den X-Spam-Status anzeigt? DIe Mails kommen ja alle per fetchmail auf einem anderen Rechner rein. Muss ich deswegen extra fetchmail auf _diesem_ Client einrichten? ...
Du könntest vieleicht mal mit spamassassin -D --lint nachsehen, wo es evtl. hängt.
Das Problem ist ja am _anderen_ Rechner mit SuSE 9.2, dass es mit lokalen Mails funktioniert, mit externen aber nicht. Auf _diesem_ Rechner mit Suse 10 dürfte alles mit _lokalen_ Mails passen. Siehe Header im Posting davor. Ich habe aber keine Ahnung, ob es mit SuSE 10 auch für externe Mails passt, das aber nur theoretisch ist, denn der SuSE 10-Rechner holt die Mails am SuSE 9.2-Rechner ab. Spam-Mails werden am 9.2-Rechner ja auch aussortiert, es fehlt aber eben der Hedaer-Eintrag bzgl. X-Spam-Status. Zur Zeit bin ich auf der Suche nach einem Repostiory für 9.2 Wo gibt es was aktuelleres als: apt-cache policy amavisd-new amavisd-new: Installed: (none) Candidate: 2.1.2-5.1 Version Table: 2.1.2-5.1 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist apt-cache policy spamassassin spamassassin: Installed: (none) Candidate: 3.0.4-1.3 Version Table: 3.0.4-1.3 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist 3.0.0-3 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist Al
Al Bogner wrote:
Am Samstag, 28. Januar 2006 14:39 schrieb Thomas Becker:
Wie teste ich nun am _einfachsten_ im lokalen Netz, ob ein _externes_ Mail den X-Spam-Status anzeigt? DIe Mails kommen ja alle per fetchmail auf einem anderen Rechner rein. Muss ich deswegen extra fetchmail auf _diesem_ Client einrichten? ...
Du könntest vieleicht mal mit spamassassin -D --lint nachsehen, wo es evtl. hängt.
Das Problem ist ja am _anderen_ Rechner mit SuSE 9.2, dass es mit lokalen Mails funktioniert, mit externen aber nicht. Auf _diesem_ Rechner mit Suse 10 dürfte alles mit _lokalen_ Mails passen. Siehe Header im Posting davor. Ich habe aber keine Ahnung, ob es mit SuSE 10 auch für externe Mails passt, das aber nur theoretisch ist, denn der SuSE 10-Rechner holt die Mails am SuSE 9.2-Rechner ab.
Spam-Mails werden am 9.2-Rechner ja auch aussortiert, es fehlt aber eben der Hedaer-Eintrag bzgl. X-Spam-Status.
Hattest du mal die Kombination von $final_spam_destiny = D_PASS @local_domains_acl = ( ".*" ); getestet? Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Am Samstag, 28. Januar 2006 15:21 schrieb Sandy Drobic:
Hattest du mal die Kombination von
$final_spam_destiny = D_PASS @local_domains_acl = ( ".*" );
Schau ich später an, ich bin gerade dabei die Pakete wieder zu installieren und das ist gar nicht so einfach. aptitude install spamassassin Reading Package Lists... Done Building Dependency Tree Reading extended state information Initializing package states... Done The following NEW packages will be automatically installed: perl-spamassassin The following packages have been kept back: ... The following NEW packages will be installed: perl-spamassassin spamassassin 0 packages upgraded, 2 newly installed, 0 to remove and 202 not upgraded. Need to get 0B/448kB of archives. After unpacking 1997kB will be used. Do you want to continue? [Y/n/?] Writing extended state information... Done Checking GPG signatures... perl-spamassassin = 3.0.0-3 | perl-spamassassin = 3.0.4-1.1 is needed by perl-spamassassin-3.0.4-1.3 spamassassin = 3.0.0-3 | spamassassin = 3.0.4-1.1 is needed by spamassassin-3.0.4-1.3 E: Transaction set check failed Ack! Something bad happened while installing packages. Reading Package Lists... Done Building Dependency Tree Reading extended state information Initializing package states... Done apt-cache policy spamassassin spamassassin: Installed: (none) Candidate: 3.0.4-1.3 Version Table: 3.0.4-1.3 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist 3.0.0-3 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist apt-cache policy perl-spamassassin perl-spamassassin: Installed: (none) Candidate: 3.0.4-1.3 Version Table: 3.0.4-1.3 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist 3.0.0-3 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist Al
Hallo, Am Sat, 28 Jan 2006, Al Bogner schrieb:
Am Samstag, 28. Januar 2006 15:21 schrieb Sandy Drobic:
Hattest du mal die Kombination von
$final_spam_destiny = D_PASS @local_domains_acl = ( ".*" );
Schau ich später an, ich bin gerade dabei die Pakete wieder zu installieren und das ist gar nicht so einfach.
aptitude install spamassassin [..] perl-spamassassin = 3.0.0-3 | perl-spamassassin = 3.0.4-1.1 is needed by perl-spamassassin-3.0.4-1.3 spamassassin = 3.0.0-3 | spamassassin = 3.0.4-1.1 is needed by spamassassin-3.0.4-1.3
Das riecht nach ner defekten Abhaengigkeit. [..]
apt-cache policy spamassassin spamassassin: Installed: (none) Candidate: 3.0.4-1.3 Version Table: 3.0.4-1.3 0 [..] apt-cache policy perl-spamassassin perl-spamassassin: Installed: (none) Candidate: 3.0.4-1.3 Version Table: 3.0.4-1.3 0
Nimm mal von beiden die 3.0.4-1.3 und installiere die ggfs. direkt mit 'rpm'. Ansonsten: aktuell ist SA 3.1.0 und ein cpan -i Mail::SpamAssassin enthaelt den Inhalt von 'spamassassin' und 'perl-spamassassin'. -dnh -- When in doubt, debug-on-entry the function you least suspect have anything to do with something.
Am Samstag, 28. Januar 2006 13:29 schrieb Al Bogner:
Hinzugefügt habe ich zu den _Default_-Einstellungen von SL 10
$max_requests = 20; # retire a child after that many accepts (default 10) $child_timeout=5*60; # abort child if it does not complete each task in
Im Runlevel-Editor wurden amavis, clamav und freshclam aktiviert.
Es sieht so aus, als ob es nun klappt. Der Grund ist aber für mich noch nicht klar. Vielleicht lag es an inkompatiblen Paketen, das sich durch das Löschen der Pakete mit Neuinstallation gelöst hat. Wie an anderer Stelle erwähnt, gab es ja bei der Neuinstalltion mit aptitude Versionsprobleme. Unten gibt es noch einen Auszug aus /var/log/mail. Sieht da wer ein Problem? Ich habe amavis, clamav und spamassassin von der 9.2-DVD erneut installiert und danach ein aptitude update/upgrade gemacht. Vorher wurden alle Pakete, die nicht per "aptitude purge" gelöscht wurden, wie zB *rpmsave gelöscht. Spamassassin wurde bis jetzt nicht konfiguriert. Die Repositories habe ich um base erweitert. etc/apt/sources.list rpm ftp://ftp.gwdg.de/pub/linux/suse/apt/ SuSE/9.2-i386 update-prpm security-prpm rpm ftp://mirrors.mathematik.uni-bielefeld.de/pub/linux/suse/apt/ SuSE/9.2-i386 update security rpm ftp://ftp.gwdg.de/pub/linux/suse/apt/ SuSE/9.2-i386 update security rpm ftp://ftp4.gwdg.de/pub/linux/suse/apt SuSE/9.2-i386 rpmkeys suser-guru base Danach wurden ca. 150MB aktualisiert. Nun habe ich. apt-cache policy amavisd-new amavisd-new: Installed: 2.1.2-5.1 Candidate: 2.1.2-5.1 Version Table: *** 2.1.2-5.1 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist 100 RPM Database apt-cache policy spamassassin spamassassin: Installed: 3.0.4-1.3 Candidate: 3.0.4-1.3 Version Table: *** 3.0.4-1.3 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 100 RPM Database 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist 3.0.0-3 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist apt-cache policy perl-spamassassin perl-spamassassin: Installed: 3.0.4-1.3 Candidate: 3.0.4-1.3 Version Table: *** 3.0.4-1.3 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 100 RPM Database 3.0.4-1.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 3.0.3-1suse92 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/suser-guru pkglist 3.0.0-3 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist apt-cache policy clamav clamav: Installed: 0.88-0.1 Candidate: 0.88-0.1 Version Table: *** 0.88-0.1 0 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update-prpm pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security-prpm pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 100 RPM Database 0.87.1-0.1 0 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/update pkglist 500 ftp://mirrors.mathematik.uni-bielefeld.de SuSE/9.2-i386/security pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/update pkglist 500 ftp://ftp.gwdg.de SuSE/9.2-i386/security pkglist 0.80-2.2 0 500 ftp://ftp4.gwdg.de SuSE/9.2-i386/base pkglist Grundsätzlich bin ich bei 9.2 fast so vorgegangen wie bei 10.0, d.h. $max_requests = 20; # retire a child after that many accepts (default 10) $child_timeout=5*60; # abort child if it does not complete each task in hinzugefügt, sa_tag_level_deflt auf individuellen Wert gesetzt Weiters habe ich den F-prot-Bereich aus dem Backup-Bereich nach oben in den primären Bereich kopiert. die amavisd.conf sieht nun wie folgt aus. Da ist fast alles default. #/etc/amavisd.conf use strict; $max_servers = 2; # number of pre-forked children (2..15 is common) $max_requests = 20; # retire a child after that many accepts (default 10) $child_timeout=5*60; # abort child if it does not complete each task in $daemon_user = 'vscan'; $daemon_group = 'vscan'; $mydomain = 'gw.local.FQDN'; $MYHOME = '/var/spool/amavis'; $TEMPBASE = "$MYHOME/tmp"; # working directory, needs to be created manually $ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR $QUARANTINEDIR = '/var/spool/amavis/virusmails'; @local_domains_maps = ( [".$mydomain"] ); $log_level = 0; # verbosity 0..5 $log_recip_templ = undef; # disable by-recipient level-0 log entries $DO_SYSLOG = 1; # log via syslogd (preferred) $SYSLOG_LEVEL = 'mail.debug'; $enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny) $enable_global_cache = 1; # enable use of libdb-based cache if $enable_db=1 $inet_socket_port = 10024; # listen on this local TCP port(s) (see $protocol) $unix_socketname = "$MYHOME/amavisd.sock"; # when using sendmail milter $sa_tag_level_deflt = -99.0; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 5.0; $sa_kill_level_deflt = 6.31; # triggers spam evasive actions $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent $sa_mail_body_size_limit = 200*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? $sa_auto_whitelist = 1; # turn on AWL in SA 2.63 or older (irrelevant $virus_admin = "virusalert\@$mydomain"; # notifications recip. $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender $mailfrom_to_quarantine = ''; # null return path; uses original sender if undef @addr_extension_virus_maps = ('virus'); @addr_extension_spam_maps = ('spam'); @addr_extension_banned_maps = ('banned'); @addr_extension_bad_header_maps = ('badh'); $path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin'; $file = 'file'; # file(1) utility; use recent versions $gzip = 'gzip'; $bzip2 = 'bzip2'; $lzop = 'lzop'; $rpm2cpio = ['rpm2cpio.pl','rpm2cpio']; $cabextract = 'cabextract'; $uncompress = ['uncompress', 'gzip -d', 'zcat']; $unfreeze = ['unfreeze', 'freeze -d', 'melt', 'fcat']; $arc = ['nomarch', 'arc']; $unarj = ['arj', 'unarj']; $unrar = ['rar', 'unrar']; $zoo = 'zoo'; $lha = 'lha'; $cpio = ['gcpio','cpio']; $dspam = 'dspam'; $MAXLEVELS = 14; $MAXFILES = 1500; $MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not enforced) $MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes (default undef, not enforced) $sa_spam_subject_tag = '***SPAM*** '; $defang_virus = 1; # MIME-wrap passed infected mail $defang_banned = 1; # MIME-wrap passed mail containing banned name $final_spam_destiny = D_PASS; @viruses_that_fake_sender_maps = (new_RE( [qr'\bEICAR\b'i => 0], # av test pattern name [qr'^(WM97|OF97|Joke\.)'i => 0], # adjust names to match your AV scanner [qr/.*/ => 1], # true for everything else )); @keep_decoded_original_maps = (new_RE( qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i, )); $banned_filename_re = new_RE( qr'\.[^./]*\.(exe|vbs|pif|scr|bat|cmd|com|dll)\.?$'i, qr'^application/x-msdownload$'i, # block these MIME types qr'^application/x-msdos-program$'i, qr'^application/hta$'i, [ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any type in Unix archives qr'.\.(exe|vbs|pif|scr|bat|cmd|com)$'i, # banned extension - basic qr'^\.(exe-ms)$', # banned file(1) types ); @score_sender_maps = ({ # a by-recipient hash lookup table, '.' => [ # the _first_ matching sender determines the score boost new_RE( # regexp-type lookup table, just happens to be all soft-blacklist [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i => 5.0], [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0], [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0], [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i => 5.0], [qr'^(your_friend|greatoffers)@'i => 5.0], [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i => 5.0], ), { # a hash-type lookup table (associative array) 'nobody@cert.org' => -3.0, 'cert-advisory@us-cert.gov' => -3.0, 'owner-alert@iss.net' => -3.0, 'slashdot@slashdot.org' => -3.0, 'bugtraq@securityfocus.com' => -3.0, 'ntbugtraq@listserv.ntbugtraq.com' => -3.0, 'security-alerts@linuxsecurity.com' => -3.0, 'mailman-announce-admin@python.org' => -3.0, 'amavis-user-admin@lists.sourceforge.net'=> -3.0, 'notification-return@lists.sophos.com' => -3.0, 'owner-postfix-users@postfix.org' => -3.0, 'owner-postfix-announce@postfix.org' => -3.0, 'owner-sendmail-announce@lists.sendmail.org' => -3.0, 'sendmail-announce-request@lists.sendmail.org' => -3.0, 'donotreply@sendmail.org' => -3.0, 'ca+envelope@sendmail.org' => -3.0, 'noreply@freshmeat.net' => -3.0, 'owner-technews@postel.acm.org' => -3.0, 'ietf-123-owner@loki.ietf.org' => -3.0, 'cvs-commits-list-admin@gnome.org' => -3.0, 'rt-users-admin@lists.fsck.com' => -3.0, 'clp-request@comp.nus.edu.sg' => -3.0, 'surveys-errors@lists.nua.ie' => -3.0, 'emailnews@genomeweb.com' => -5.0, 'yahoo-dev-null@yahoo-inc.com' => -3.0, 'returns.groups.yahoo.com' => -3.0, 'clusternews@linuxnetworx.com' => -3.0, lc('lvs-users-admin@LinuxVirtualServer.org') => -3.0, lc('owner-textbreakingnews@CNNIMAIL12.CNN.COM') => -5.0, 'sender@example.net' => 3.0, '.example.net' => 1.0, }, ], # end of site-wide tables }); @av_scanners = ( ['KasperskyLab AVP - aveclient', ['/usr/local/kav/bin/aveclient','/usr/local/share/kav/bin/aveclient', '/opt/kav/bin/aveclient','aveclient'], '-p /var/run/aveserver -s {}/*', [0,3,6,8], qr/\b(INFECTED|SUSPICION)\b/, qr/(?:INFECTED|SUSPICION) (.+)/, ], ['KasperskyLab AntiViral Toolkit Pro (AVP)', ['avp'], '-* -P -B -Y -O- {}', [0,3,6,8], [2,4], # any use for -A -K ? qr/infected: (.+)/, sub {chdir('/opt/AVP') or die "Can't chdir to AVP: $!"}, sub {chdir($TEMPBASE) or die "Can't chdir back to $TEMPBASE $!"}, ], ['KasperskyLab AVPDaemonClient', [ '/opt/AVP/kavdaemon', 'kavdaemon', '/opt/AVP/AvpDaemonClient', 'AvpDaemonClient', '/opt/AVP/AvpTeamDream', 'AvpTeamDream', '/opt/AVP/avpdc', 'avpdc' ], "-f=$TEMPBASE {}", [0,8], [3,4,5,6], qr/infected: ([^\r\n]+)/ ], ['H+BEDV AntiVir or CentralCommand Vexira Antivirus', ['antivir','vexira'], '--allfiles -noboot -nombr -rs -s -z {}', [0], qr/ALERT:|VIRUS:/, qr/(?x)^\s* (?: ALERT: \s* (?: \[ | [^']* ' ) | (?i) VIRUS:\ .*?\ virus\ '?) ( [^\]\s']+ )/ ], ['Command AntiVirus for Linux', 'csav', '-all -archive -packed {}', [50], [51,52,53], qr/Infection: (.+)/ ], ['Symantec CarrierScan via Symantec CommandLineScanner', 'cscmdline', '-a scan -i 1 -v -s 127.0.0.1:7777 {}', qr/^Files Infected:\s+0$/, qr/^Infected\b/, qr/^(?:Info|Virus Name):\s+(.+)/ ], ['Symantec AntiVirus Scan Engine', 'savsecls', '-server 127.0.0.1:7777 -mode scanrepair -details -verbose {}', [0], qr/^Infected\b/, qr/^(?:Info|Virus Name):\s+(.+)/ ], ['F-Secure Antivirus', 'fsav', '--dumb --mime --archive {}', [0], [3,8], qr/(?:infection|Infected|Suspected): (.+)/ ], ['CAI InoculateIT', 'inocucmd', # retired product '-sec -nex {}', [0], [100], qr/was infected by virus (.+)/ ], ['CAI eTrust Antivirus', 'etrust-wrapper', '-arc -nex -spm h {}', [0], [101], qr/is infected by virus: (.+)/ ], ['MkS_Vir for Linux (beta)', ['mks32','mks'], '-s {}/*', [0], [1,2], qr/--[ \t]*(.+)/ ], ['MkS_Vir daemon', 'mksscan', '-s -q {}', [0], [1..7], qr/^... (\S+)/ ], ['ESET Software NOD32', 'nod32', '-all -subdir+ {}', [0], [1,2], qr/^.+? - (.+?)\s*(?:backdoor|joke|trojan|virus|worm)/ ], ['ESET Software NOD32 - Client/Server Version', 'nod32cli', '-a -r -d recurse --heur standard {}', [0], [10,11], qr/^\S+\s+infected:\s+(.+)/ ], ['Norman Virus Control v5 / Linux', 'nvcc', '-c -l:0 -s -u {}', [0], [1], qr/(?i).* virus in .* -> \'(.+)\'/ ], ['Panda Antivirus for Linux', ['pavcl'], '-aut -aex -heu -cmp -nbr -nor -nso -eng {}', qr/Number of files infected[ .]*: 0+(?!\d)/, qr/Number of files infected[ .]*: 0*[1-9]/, qr/Found virus :\s*(\S+)/ ], ['NAI McAfee AntiVirus (uvscan)', 'uvscan', '--secure -rv --mime --summary --noboot - {}', [0], [13], qr/(?x) Found (?: \ the\ (.+)\ (?:virus|trojan) | \ (?:virus|trojan)\ or\ variant\ ([^ ]+) | :\ (.+)\ NOT\ a\ virus)/, ], ['VirusBuster', ['vbuster', 'vbengcl'], "{} -ss -i '*' -log=$MYHOME/vbuster.log", [0], [1], qr/: '(.*)' - Virus/ ], ['CyberSoft VFind', 'vfind', '--vexit {}/*', [0], [23], qr/##==>>>> VIRUS ID: CVDL (.+)/, ], ['Ikarus AntiVirus for Linux', 'ikarus', '{}', [0], [40], qr/Signature (.+) found/ ], ['FRISK F-Prot Antivirus', ['f-prot','f-prot.sh'], '-dumb -archive -packed {}', [0,8], [3,6], qr/Infection: (.+)/ ], ['BitDefender', 'bdc', '--all --arc --mail {}', qr/^Infected files *:0+(?!\d)/, qr/^(?:Infected files|Identified viruses|Suspect files) *:0*[1-9]/, qr/(?:suspected|infected): (.*)(?:\033|$)/ ], ); @av_scanners_backup = ( ['ClamAV-clamscan', 'clamscan', "--stdout --disable-summary -r --tempdir=$TEMPBASE {}", [0], [1], qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ['FRISK F-Prot Antivirus', ['f-prot','f-prot.sh'], '-dumb -archive -packed {}', [0,8], [3,6], qr/Infection: (.+)/ ], ['Trend Micro FileScanner', ['/etc/iscan/vscan','vscan'], '-za -a {}', [0], qr/Found virus/, qr/Found virus (.+) in/ ], ['drweb - DrWeb Antivirus', ['/usr/local/drweb/drweb', '/opt/drweb/drweb', 'drweb'], '-path={} -al -go -ot -cn -upn -ok-', [0,32], [1,9,33], qr' infected (?:with|by)(?: virus)? (.*)$'], ['KasperskyLab kavscanner', ['/opt/kav/bin/kavscanner','kavscanner'], '-i1 -xp {}', [0,10,15], [5,20,21,25], qr/(?:CURED|INFECTED|CUREFAILED|WARNING|SUSPICION) (.*)/ , sub {chdir('/opt/kav/bin') or die "Can't chdir to kav: $!"}, sub {chdir($TEMPBASE) or die "Can't chdir back to $TEMPBASE $!"}, ], ); 1; # insure a defined return #Auszug aus: /var/log/mail postfix/postfix-script: starting the Postfix mail system postfix/master[5033]: daemon started -- version 2.1.5 freshclam[5137]: Daemon started. freshclam[5151]: freshclam daemon 0.88 (OS: linux-gnu, ARCH: i386, CPU: i686) freshclam[5151]: ClamAV update process started at Sat Jan 28 21:24:01 2006 clamd[5163]: Daemon started. clamd[5163]: clamd daemon 0.88 (OS: linux-gnu, ARCH: i386, CPU: i686) clamd[5163]: Log file size limited to 1048576 bytes. clamd[5163]: Running as user vscan (UID 65, GID 102) clamd[5163]: Reading databases from /var/lib/clamav freshclam[5151]: main.cvd is up to date (version: 35, sigs: 41649, f-level: 6, builder: tkojm) freshclam[5151]: daily.cvd is up to date (version: 1255, sigs: 1522, f-level: 7, builder: diego) freshclam[5151]: -------------------------------------- clamd[5163]: Protecting against 43171 viruses. clamd[5163]: Bound to address 127.0.0.1 on port 3310 clamd[5163]: Setting connection queue length to 15 clamd[5163]: Archive: Archived file size limit set to 10485760 bytes. clamd[5163]: Archive: Recursion level limit set to 8. clamd[5163]: Archive: Files limit set to 1000. clamd[5163]: Archive: Compression ratio limit set to 250. clamd[5163]: Archive support enabled. clamd[5163]: Archive: RAR support disabled. clamd[5163]: Portable Executable support enabled. clamd[5163]: Mail files support enabled. clamd[5163]: OLE2 support enabled. clamd[5163]: HTML support enabled. clamd[5163]: Self checking every 1800 seconds. poll.tcpip: Starting mail and news send/fetch amavis[5176]: starting. /usr/sbin/amavisd at gw amavisd-new-2.1.2, Unicode aware amavis[5176]: Perl version 5.008005 amavis[6209]: Module Amavis::Conf 2.032 amavis[6209]: Module Archive::Tar 1.08 amavis[6209]: Module Archive::Zip 1.14 amavis[6209]: Module BerkeleyDB 0.25 amavis[6209]: Module Compress::Zlib 1.33 amavis[6209]: Module Convert::TNEF 0.17 amavis[6209]: Module Convert::UUlib 1.0 amavis[6209]: Module DB_File 1.809 amavis[6209]: Module MIME::Entity 5.404 amavis[6209]: Module MIME::Parser 5.406 amavis[6209]: Module MIME::Tools 5.411 amavis[6209]: Module Mail::Header 1.60 amavis[6209]: Module Mail::Internet 1.60 amavis[6209]: Module Mail::SpamAssassin 3.000004 amavis[6209]: Module Net::Cmd 2.26 amavis[6209]: Module Net::DNS 0.48 amavis[6209]: Module Net::SMTP 2.29 amavis[6209]: Module Net::Server 0.87 amavis[6209]: Module Razor2::Client::Version 2.61 amavis[6209]: Module Time::HiRes 1.59 amavis[6209]: Module Unix::Syslog 0.100 amavis[6209]: Amavis::DB code loaded amavis[6209]: Amavis::Cache code loaded amavis[6209]: Lookup::SQL code NOT loaded amavis[6209]: Lookup::LDAP code NOT loaded amavis[6209]: AMCL-in protocol code loaded amavis[6209]: SMTP-in protocol code loaded amavis[6209]: ANTI-VIRUS code loaded amavis[6209]: ANTI-SPAM code loaded amavis[6209]: Unpackers code loaded amavis[6209]: Found $file at /usr/bin/file amavis[6209]: Found $arc at /usr/bin/arc amavis[6209]: Found $gzip at /usr/bin/gzip amavis[6209]: Found $bzip2 at /usr/bin/bzip2 amavis[6209]: No $lzop, not using it amavis[6209]: Found $lha at /usr/bin/lha amavis[6209]: Found $unarj at /usr/bin/unarj amavis[6209]: Found $uncompress at /usr/bin/uncompress amavis[6209]: No $unfreeze, not using it amavis[6209]: Found $unrar at /usr/bin/unrar amavis[6209]: Found $zoo at /usr/bin/zoo amavis[6209]: Found $cpio at /usr/bin/cpio amavis[6209]: Found $rpm2cpio at /usr/bin/rpm2cpio amavis[6209]: Found $cabextract at /usr/bin/cabextract amavis[6209]: No $dspam, not using it amavis[6209]: Found primary av scanner H+BEDV AntiVir or CentralCommand Vexira Antivirus at /usr/bin/antivir amavis[6209]: Found primary av scanner FRISK F-Prot Antivirus at /usr/local/bin/f-prot amavis[6209]: Found primary av scanner BitDefender at /usr/bin/bdc amavis[6209]: Found secondary av scanner ClamAV-clamscan at /usr/bin/clamscan amavis[6209]: Found secondary av scanner FRISK F-Prot Antivirus at /usr/local/bin/f-prot amavis[6209]: Creating db in /var/spool/amavis/db/; BerkeleyDB 0.25, libdb 4.2 poll.tcpip: Done mail and news send/fetch Al
Am Samstag, 28. Januar 2006 21:42 schrieb Al Bogner:
$mydomain = 'gw.local.FQDN';
Jetzt gab es gerade einen Aufschrei, als es nicht mehr funktionierte, d.h. externe Mails haben keinen X-Spam-Status-Eintrag, interne schon. Der Grund war aber nun leicht zu finden, da ich mich ja nur an die eine Änderung erinnerte. Da hatte sich offensichtlich mein Testmail mit der Änderung überschnitten. Da ich immer wissen wollte, welcher Rechner einen Header-Eintrag gemacht hat, habe ich es immer in der Art wie oben eingetragen. Das ist aber das Problem, wenn gilt: hostname gw hostname --fqdn gw.local.FQDN Dann muss mydomain so definiert sein: $mydomain = 'local.FQDN'; (und nicht wie im Zitat) Den Rechner kann man auch über leichte Änderung von sa_tag_level_deflt identifizieren. Al
Hallo, Am Sat, 28 Jan 2006, Al Bogner schrieb:
Den Rechner kann man auch über leichte Änderung von sa_tag_level_deflt identifizieren.
Oder du pappst via Amavis/SA noch nen eigenen Header rein ;)) Freut mich, dass es nun wohl klappt. -dnh -- schön, daß ich Dir helfen konnte. Soll ich Dich ein wenig knuddeln, oder lieber weitertätscheln? -- Bernd zu Marius in suse-talk
Am Sonntag, 29. Januar 2006 06:28 schrieb David Haller:
Hallo,
Am Sat, 28 Jan 2006, Al Bogner schrieb:
Den Rechner kann man auch über leichte Änderung von sa_tag_level_deflt identifizieren.
Oder du pappst via Amavis/SA noch nen eigenen Header rein ;))
So ganz kapiert habe ich es noch immer nicht, warum es da mit "mydomain" Probleme gibt. Interessanterweise läuft es unter Debian zwar anders, aber auch nicht verständlicher. Vgl. http://listi.jpberlin.de/pipermail/postfixbuch-users/2006-January/022436.htm... Es sieht so aus, dass dort der Eintrag: conf.d/50-user:$mydomain = 'local.FQDN'; ignoriert wird, aber das ist hier OT. Ich wollte nur erwähnen, dass diese Variable ganz schön Kopfzerbrechen machen kann.
Freut mich, dass es nun wohl klappt.
Zumindest theoretisch. Es ist allerdings noch immer so, dass Spam durchkommt, denn dann Kmail an einem Debian-Rechner mit neuestem Spamassassin erkennt, also überlege ich mir unter SuSE 9.2 von cpan zu installieren. Muss ich dann noch Startscripts etc. anpassen, oder reicht ein cpan -i ? Al
Hallo, Am Sun, 29 Jan 2006, Al Bogner schrieb:
Zumindest theoretisch. Es ist allerdings noch immer so, dass Spam durchkommt, denn dann Kmail an einem Debian-Rechner mit neuestem Spamassassin erkennt, also überlege ich mir unter SuSE 9.2 von cpan zu installieren.
Muss ich dann noch Startscripts etc. anpassen, oder reicht ein cpan -i ?
'cpan -i' sollte reichen. Wobei ich nochmal darauf hinweisen will, dass ein 'cpan -t' als user und 'make -C CPANROOT/build/PAKETNAME/ install' als root besser ist. Dein CPAN ist IIRC inzwischen ja korrekt konfiguriert bzw. falls du's bisher nicht als User verwendet hast, achte auf 'PREFIX'. -dnh -- I am now taking bets on when this planet will reach its window manager event horizon. At some distant point in the future some sort of alien life-form is going to land on this planet and find everything dead except for a lone Sparcstation in an abandoned building waiting for a consignment of small lemon-soaked Motif widgets to be loaded. -- Peter Gutmann
participants (6)
-
Al Bogner
-
Al Bogner
-
David Haller
-
Michael Schueller
-
Sandy Drobic
-
Thomas Becker