[suse-linux-s] Spamassassin pruebas red y como saber las calificaciones
Buenas Tardes. Actualmente tengo spamassassin 2.6 instalado en mi SLES9.0 y estoy interesado en implementar pruebas de "network test options" como por ejemplo *dcc *razor *pyzor **rbl_checks He ingresado las lineas que hacen referencia a este tipo de configuraciones dentro de /etc/mail/spamassassin/local.cf Esto es lo que ingrese a mi archivo #Listas Negras skip_rbl_checks 0 rbl_timeout 15 #Razor, dcc, pyzor use_razor2 1 use_dcc 1 use_pyzor 1 para luego reiniciar mi spamassassin, la incognita que tengo es... ¿Cómo se si esta realmente funcionando esto? ¿Qué calificación se da a este tipo de pruebas, donde las puedo ver ? ¿Cómo puedo conocer las calificaciones a todas las pruebas de spamassassin que se hancen sobre los mensajes de correo? Recuerdo que una vez vi un mensaje que entre sus cabeceras contenia todas las pruebas realizadas al mensaje y aun lado tenia el número de hits y su total, pero no encuentro como habilitarlo Lo anterior me es importante para ver cuantos hits se estan asignando y poder tener control total del sistema antispam... Cuando reinicie mi spamd no me marco mensajes de error, pero tengo la sospecha de que esto que implemente no esta funcionando, pues no veo la diferencia y sobre todo pienso que taqlvez necesite alguna otro paquete o procedimiento para que esto funcione de forma correcta... Agradeceria mucho sus comentarios al respecto. Saludos * -- Instituto de Ingeniería de la UNAM Coordinación de Sistemas de Cómputo Área de Sistemas Unix/Linux
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-07-11 a las 17:35 -0500, Instituto de Ingenieria Unix escribió:
Actualmente tengo spamassassin 2.6 instalado en mi SLES9.0 y estoy interesado en implementar pruebas de "network test options" como por ejemplo ... para luego reiniciar mi spamassassin, la incognita que tengo es...
¿Cómo se si esta realmente funcionando esto?
Examinando el log y/o los correos analizados.
¿Qué calificación se da a este tipo de pruebas, donde las puedo ver ? ¿Cómo puedo conocer las calificaciones a todas las pruebas de spamassassin que se hancen sobre los mensajes de correo? Recuerdo que una vez vi un mensaje que entre sus cabeceras contenia todas las pruebas realizadas al mensaje y aun lado tenia el número de hits y su total, pero no encuentro como habilitarlo
En tu versión es distinto, pero era en /etc/mail/spamassassin/local.cf; creo que era: rewrite_subject 0 use_terse_report 1 ahora es (3.x) report_safe 1 En el log yo veo cosas como esta: Jul 12 00:43:11 nimrodel spamd[26756]: spamd: clean message (-1.9/5.0) for cer:500 in 0.5 seconds, 4984 bytes. Jul 12 00:43:11 nimrodel spamd[26756]: spamd: result: . -1 - AWL,BAYES_00,FORGED_RCVD_HELO scantime=0.5,size=4984,user=cer,uid=500,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=28717,mid=<67a4dc590607111535j6eeaef44l89f764c8c4d3c42b@mail.gmail.com>,bayes=0,autolearn=disabled Uno "sucio": Jul 11 21:45:39 nimrodel spamd[22273]: spamd: result: Y 12 - ADVANCE_FEE_1,BAYES_99,DNS_FROM_RFC_ABUSE,DNS_FROM_RFC_WHOIS,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_SBL,RCVD_IN_SORBS_WEB scantime=1.9,size=3753,user=cer,uid=500,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=15595,mid=<1152640174.44b3e4aed61ec@webmail.elitel.it>,bayes=1,autolearn=disabled Si te fijas, éste ha dado positivo en varias pruebas de red.
Cuando reinicie mi spamd no me marco mensajes de error, pero tengo la sospecha de que esto que implemente no esta funcionando, pues no veo la diferencia y sobre todo pienso que taqlvez necesite alguna otro paquete o procedimiento para que esto funcione de forma correcta...
Yo tardé en verlo. Por cierto, las pruebas de red muchas veces consisten en consultas tipo DNS, por lo que se se aceleran si tienes un servidor DNS local. Además, se puede observar el tráfico de las consultas. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEtDGItTMYHG2NR9URAvXwAJ9hTNDhaprBPZTIBVBJc1lCuPr9UQCcDTOi /jR53gJWLvwWfGQ60ruBmeI= =RjdR -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
Hola...
Gracias por la respuesta.
He realizado tus sugerencias de ingresar las lineas
rewrite_subject 0
use_terse_report 1
y sigo sin obtener los reportes de los hits :( también he checando las
configuraciones del local.cf y si es lo correcto incluso intente otras
combinaciones y nada...
Respecto a mi logs tengo los siguientes
mail
amavis
Respecto al amavis, he modificado em amavis.conf en el campo
# 0: startup/exit/failure messages, viruses detected
# 1: args passed from client, some more interesting messages
# 2: virus scanner output, timing
# 3: server, client
# 4: decompose parts
# 5: more debug details
$log_level = 5;
En donde lo mas que puedo ver es el resultado del final de la prueba, y
algunas de las pruebas realizadas, pero no las calificaciones
individuales... este es un ejemplo
Jul 13 13:35:31 server.unam.mx amavisd[29779]: (29779-10) calling SA parse,
SA version 2.64
Jul 13 13:35:31 server.unam.mx amavisd[29779]: (29779-10) CALLING SA check
Jul 13 13:35:33 server.unam.mx amavisd[29779]: (29779-10) RETURNED FROM
NoMailAudit::check, time left: 28 s
Jul 13 13:35:33 server.unam.mx amavisd[29779]: (29779-10) prolong_timer
after spam_scan_SA: remaining time = 300 s
Jul 13 13:35:33 server.unam.mx amavisd[29779]: (29779-10) spam_scan: hits=
6.803tests=BAD_CREDIT,BAYES_99,CLICK_BELOW,HTML_70_80,HTML_LINK_CLICK_HERE,HTML_MESSAGE,HTTP_WITH_EMAIL_IN_URL,WHY_WAIT
Jul 13 13:35:33 server.unam.mx amavisd[29779]: (29779-10) prolong_timer
after spam_scan: remaining time = 300 s
Jul 13 13:35:33 server.iingen.unam.mx amavisd[29779]: (29779-10) SPAM,
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-07-11 a las 17:35 -0500, Instituto de Ingenieria Unix escribió:
Actualmente tengo spamassassin 2.6 instalado en mi SLES9.0 y estoy interesado en implementar pruebas de "network test options" como por ejemplo ... para luego reiniciar mi spamassassin, la incognita que tengo es...
¿Cómo se si esta realmente funcionando esto?
Examinando el log y/o los correos analizados.
¿Qué calificación se da a este tipo de pruebas, donde las puedo ver ? ¿Cómo puedo conocer las calificaciones a todas las pruebas de spamassassin que se hancen sobre los mensajes de correo? Recuerdo que una vez vi un mensaje que entre sus cabeceras contenia todas las pruebas realizadas al mensaje y aun lado tenia el número de hits y su total, pero no encuentro como habilitarlo
En tu versión es distinto, pero era en /etc/mail/spamassassin/local.cf; creo que era:
rewrite_subject 0 use_terse_report 1
ahora es (3.x)
report_safe 1
En el log yo veo cosas como esta:
Jul 12 00:43:11 nimrodel spamd[26756]: spamd: clean message (-1.9/5.0) for cer:500 in 0.5 seconds, 4984 bytes. Jul 12 00:43:11 nimrodel spamd[26756]: spamd: result: . -1 - AWL,BAYES_00,FORGED_RCVD_HELO scantime=0.5,size=4984,user=cer,uid=500,required_score=5.0 ,rhost=localhost,raddr=127.0.0.1,rport=28717,mid=< 67a4dc590607111535j6eeaef44l89f764c8c4d3c42b@mail.gmail.com
,bayes=0,autolearn=disabled
Uno "sucio":
Jul 11 21:45:39 nimrodel spamd[22273]: spamd: result: Y 12 -
ADVANCE_FEE_1,BAYES_99,DNS_FROM_RFC_ABUSE,DNS_FROM_RFC_WHOIS,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_SBL,RCVD_IN_SORBS_WEB scantime=1.9,size=3753,user=cer,uid=500,required_score=5.0 ,rhost=localhost,raddr=127.0.0.1,rport=15595,mid=< 1152640174.44b3e4aed61ec@webmail.elitel.it>,bayes=1,autolearn=disabled
Si te fijas, éste ha dado positivo en varias pruebas de red.
Cuando reinicie mi spamd no me marco mensajes de error, pero tengo la sospecha de que esto que implemente no esta funcionando, pues no veo la diferencia y sobre todo pienso que taqlvez necesite alguna otro paquete o procedimiento para que esto funcione de forma correcta...
Yo tardé en verlo.
Por cierto, las pruebas de red muchas veces consisten en consultas tipo DNS, por lo que se se aceleran si tienes un servidor DNS local. Además, se puede observar el tráfico de las consultas.
- -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76
iD8DBQFEtDGItTMYHG2NR9URAvXwAJ9hTNDhaprBPZTIBVBJc1lCuPr9UQCcDTOi /jR53gJWLvwWfGQ60ruBmeI= =RjdR -----END PGP SIGNATURE-----
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
spam@pumas.iingen.unam.mx
spam@pumas.iingen.unam.mx -- Instituto de Ingeniería de la UNAM Coordinación de Sistemas de Cómputo Área de Sistemas Unix/Linux
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-07-13 a las 14:00 -0500, Instituto de Ingenieria Unix escribió:
Gracias por la respuesta.
He realizado tus sugerencias de ingresar las lineas
rewrite_subject 0 use_terse_report 1
y sigo sin obtener los reportes de los hits :( también he checando las configuraciones del local.cf y si es lo correcto incluso intente otras combinaciones y nada...
Vale, no sigas, ya se que te pasa. ¿Estás usando spamd, verdad? Edita /etc/sysconfig/spamd, variable SPAMD_ARGS or SPAMD_OPTS. Por defecto tiene "-d -c -L", y la "L" siginifica "sólo pruebas locales". Quitala, y reinicia spamd. Es que lo preguntó otro en la lista inglesa y me di cuenta.
Respecto a mi logs tengo los siguientes mail amavis
No los leo porque creo que es lo que te he dicho. O;-)
Respecto al amavis, he modificado em amavis.conf en el campo
la final me lo voy a leer. Aclara, ¿usas el antispam via amavis, o via spamd? Son independientes.
# 0: startup/exit/failure messages, viruses detected # 1: args passed from client, some more interesting messages # 2: virus scanner output, timing # 3: server, client # 4: decompose parts # 5: more debug details $log_level = 5;
En donde lo mas que puedo ver es el resultado del final de la prueba, y algunas de las pruebas realizadas, pero no las calificaciones individuales... este es un ejemplo
Jul 13 13:35:31 server.unam.mx amavisd[29779]: (29779-10) calling SA parse, SA version 2.64 Jul 13 13:35:31 server.unam.mx amavisd[29779]: (29779-10) CALLING SA check Jul 13 13:35:33 server.unam.mx amavisd[29779]: (29779-10) RETURNED FROM NoMailAudit::check, time left: 28 s Jul 13 13:35:33 server.unam.mx amavisd[29779]: (29779-10) prolong_timer after spam_scan_SA: remaining time = 300 s Jul 13 13:35:33 server.unam.mx amavisd[29779]: (29779-10) spam_scan: hits= 6.803tests=BAD_CREDIT,BAYES_99,CLICK_BELOW,HTML_70_80,HTML_LINK_CLICK_HERE,HTML_MESSAGE,HTTP_WITH_EMAIL_IN_URL,WHY_WAIT
Esa es la linea interesante, y no tiene pruebas de red, lo cual no significa que no se hayan hecho, sino que no han dado positivo.
Despues de leer una rato mas encontre que si al iniciar mi demonio spamd le agregaba lo siguiente me enviarria en debug... este fue lo que paso, modifique el /etc/sysconfig/spamd quedando asi
SPAMD_ARGS="-d -a -D"
y este fue el resultado que parecio en el /var/log/mail
Jul 13 13:28:39 pumas spamd[29777]: debug: is DNS available? 1
Jul 13 13:28:40 pumas spamd[29777]: debug: Razor2 is not available
Jul 13 13:28:40 pumas spamd[29777]: debug: Pyzor is not available: pyzor not found
Dos pruebas de red desactivadas.
Jul 13 13:28:40 pumas spamd[29777]: debug: RBL: success for 1 of 1 queries
Una activada.
Por lo anterior puedo concluir que No me esta funcionadno el Razor,Pyzor y DCC estoy checando la pagina del primero y bueno ya descargue algunos tar.gz, me voy aventar la instalación con cpan, haber que tal me va : )
Lo que puedes es modernizar el SA a la versión 3.x, pero puesto que tienes una SLES, me andaría con cuidado. pero tienes que aclarar si usas el antispam del amavis o el del spamd. Son independientes. El amavis _no_ usa el spamd. Aclarate, y según cual uses, respondo.
Tambien encontre un documento en donde me dice esto...
To turn on the tests, simply assign them a non-zero score, e.g. by adding these lines to your ~/.spamassassin/user_prefs file:
score RCVD_IN_MAPS_RBL 3 score RCVD_IN_MAPS_DUL 1 score RCVD_IN_MAPS_RSS 2 score RCVD_IN_MAPS_NML 2 score RCVD_IN_MAPS_OPS 2
Me parece que esto ha cambiado. Quizás porque por defecto ya viene hecho.
On 7/11/06, Carlos E. R. <> wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Porfa, acostumbrate a borrar esto ^ - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEtp26tTMYHG2NR9URAvGFAKCFlECraD/0zJtDJ5BoZVefkq8ZbgCgharN jny1lp5LLyQIzkhv6CY3tVY= =u1zN -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
El 13/07/06, Carlos E. R. escribió:
Vale, no sigas, ya se que te pasa. ¿Estás usando spamd, verdad?
Edita /etc/sysconfig/spamd, variable SPAMD_ARGS or SPAMD_OPTS. Por defecto tiene "-d -c -L", y la "L" siginifica "sólo pruebas locales". Quitala, y reinicia spamd.
No lo tiene configurado en local, ya lo ha puesto en el correo anterior. Sólo utiliza los modificadores -a -D y -d. Lo que sí puede hacer es: - Actualizar a una versión superior (3.1.x) - Verificar la salida del comando "spamassassin -D --lint" para ver qué plugins tiene activados o si falla alguno. Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-07-13 a las 23:02 +0200, Camaleón escribió:
No lo tiene configurado en local, ya lo ha puesto en el correo anterior. Sólo utiliza los modificadores -a -D y -d.
En este hilo no lo ha aclarado. Pero me da la impresión, por el log: ] Jul 13 13:35:33 server.unam.mx amavisd[29779]: (29779-10) spam_scan: ] hits= ] 6.803tests=BAD_CREDIT,BAYES_99,CLICK_BELOW,HTML_70_80,HTML_LINK_CLICK_HERE,HTML_MESSAGE,HTTP ] _WITH_EMAIL_IN_URL,WHY_WAIT que está usando el filtrado a través del amavis, y en ese caso las opciones que tenga el spamd para arrancar importan un bledo: no se usan. El spamd sólo se usa mediante llamadas directas a spamc desde el procmail, por ejemplo, pero no desde el amavis.
Lo que sí puede hacer es:
- Actualizar a una versión superior (3.1.x)
Si - siempre que no se rompa el enganche con el amavis. Es una sles, recuerda.
- Verificar la salida del comando "spamassassin -D --lint" para ver qué plugins tiene activados o si falla alguno.
Puede, pero no garantiza lo que haga el amavis. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFEtsSOtTMYHG2NR9URAo9cAJ4qq4+oC1OCMujSE7aXRrJg39JONQCfcKkL emclKACiXowPMV9t1dUqLYs= =lIRo -----END PGP SIGNATURE----- -- Para dar de baja la suscripci�n, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
participants (3)
-
Camaleón
-
Carlos E. R.
-
Instituto de Ingenieria Unix