spamass-milter - whitelist 127.0.0.1

  • ich finde in letzter Zeit einige interne User in den maillogs - "Blocked by SpamAssassin"

    im Debian wiki ist anders als bei der spamass-milter config das local user whitelisting angegeben:

    Code
    1. OPTIONS="-u spamass-milter -i 127.0.0.1 -r 5 -- -s 10485760"
    2. bei imscp spamassassin plugin
    3. OPTIONS="-e localhost -f -u spamass-milter -r 15 -- --socket=/var/run/spamassassin.sock"

    also -i 127.0.0.1

    https://wiki.debian.org/DebianSpamAssassin


    kann man das zusammen mit dem -e localhost verwenden?

    Code
    1. OPTIONS="-e localhost -f -u spamass-milter -i 127.0.0.1 -r 15 -- --socket=/var/run/spamassassin.sock"


    ich habe es vorhin mal damit versucht und spamass-milter neu gestartet, es treten jedenfalls keine Fehler auf, der Service läuft, keine Fehler oder warnungen in den mail.log


    Kann man das so machen?

  • Kann man schon so machen.


    Ich persönlich hatte so (also ohne Exklud von 127.0.0.1) mit der Filterung noch keine Probleme. Bedenke bitte auch, dass Du den Reject-Level derzeit auf 15 hast, das ist doch relativ hoch und braucht viel, bis der anschlägt. Von daher würde ich eher mal schauen, weshalb einzelne E-Mails solch einen hohen Score erhalten, nicht, dass dann doch noch Spam-E-Mails versendet werden.

  • Kann man schon so machen.


    Ich persönlich hatte so (also ohne Exklud von 127.0.0.1) mit der Filterung noch keine Probleme. Bedenke bitte auch, dass Du den Reject-Level derzeit auf 15 hast, das ist doch relativ hoch und braucht viel, bis der anschlägt. Von daher würde ich eher mal schauen, weshalb einzelne E-Mails solch einen hohen Score erhalten, nicht, dass dann doch noch Spam-E-Mails versendet werden.

    OK, dann lasse ich das mal sein mit dem extra exclude ...

    Ich habe zum testen mal DNSBL aktiviert mit hostkarma rules, könnte es daran liegen?

    skip_rbl_checks 0


    sonstiges rules:

  • Die Regeln sehen so beim überfliegen eigentlich in Ordnung aus.

    Gibt Spamassassin kein Ergebnis im Log aus? Evt. hilft Dir dieser Filter etwas weiter:

    Code
    1. zgrep "spamd: result: Y" /var/log/mail.log* | sed "s/\(.*\),user=.*,uid=[0-9]\+,\(.*\)/\1 [...] \2/g ; s/.* \(spamd: result.*\)/\1/g"

    Einfach noch darauf achten, dass bei "mid=" noch heikle Daten auftauchen könnten.


    Kannst Du vielleicht die eine oder andere Meldung hier mal posten?

  • Danke, gute Idee ich checke das nachher mal ... hab gestern das DNSBL mal rausgenommen aus der local.cf und die settings in der table wieder auf skip_rbl_checks 1 gesetzt.

    Ich poste später etwas vom Output, muss gerade dringend ein Web umziehen ;-)

  • die Situation scheint sich zu bessern, lag wohl an dem aktivierten DNSBL check, hier sind noch ein paar eigenartige, scheint sich um Weiterleitungen zu handeln

    Code
    1. spamd: result: Y 8 - DKIM_SIGNED,DKIM_VALID,HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,LIST_UNSUBSCRIBE,SPF_HELO_PASS,SPF_PASS,T_REMOTE_IMAGE,URIBL_BLACK scantime=0.4,size=60407 [...] required_score=7.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamassassin.sock,mid=<2ptg6qev1wgp7nt4gl6El_dsFV9SluHGR4c9q0ALgpdBZaG4vS9asm2SP0XJVVQ@ip10.rp02.net>,autolearn=disabled
    2. und diese hier vermutlich der autoresponder
    3. spamd: result: Y 9 - AWL,DKIMWL_WL_MED,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF,HEADER_FROM_DIFFERENT_DOMAINS,HTML_IMAGE_RATIO_02,HTML_MESSAGE,SPF_HELO_PASS,SPF_PASS,URIBL_GREY,WEIRD_PORT scantime=0.6,size=20475 [...] required_score=7.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamassassin.sock,mid=<iSYhEZCa9HscuHP9Nc6nxszR4haHZJjWUpBc6XDfk@localhost.localdomain>,autolearn=disabled
    4. spamd: result: Y 9 - AWL,DKIMWL_WL_MED,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF,HEADER_FROM_DIFFERENT_DOMAINS,HTML_IMAGE_RATIO_02,HTML_MESSAGE,SPF_HELO_PASS,SPF_PASS,URIBL_GREY,WEIRD_PORT scantime=0.2,size=20849 [...] required_score=7.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamassassin.sock,mid=<BmTIQln3SWsABGmQlc4FD0rjFAn51inDkRzCGgXMrg@localhost.localdomain>,autolearn=disabled

    die beiden letzten sind interessant localhost.localdomain existiert nicht in den configs, nehme mal an es war eine Attacke und der autoresponder ist hier aktiv

  • So aus der Ferne scheinen mir alle E-Mails von extern zu stammen, ausser, die I-MSCP-Plugins hätten sich bei Dir in einer anderen Reihenfolge installiert. Spamassassin kommt ja (oder sollte) vor OpenDKIM kommen. Und Spamassassin erkennt hier eine DKIM-Signatur: DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF


    Wie hast Du hostkarma derzeit eingebunden? Ich setze die RBL nicht in Spamassassin ein, sondern in Postfix/Postscreen. Wobei ich Hostkarma nicht einsetze.

  • So aus der Ferne scheinen mir alle E-Mails von extern zu stammen, ausser, die I-MSCP-Plugins hätten sich bei Dir in einer anderen Reihenfolge installiert. Spamassassin kommt ja (oder sollte) vor OpenDKIM kommen. Und Spamassassin erkennt hier eine DKIM-Signatur: DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,DKIM_VALID_EF


    Wie hast Du hostkarma derzeit eingebunden? Ich setze die RBL nicht in Spamassassin ein, sondern in Postfix/Postscreen. Wobei ich Hostkarma nicht einsetze.


    ich meine auch das Problem wurde durch die DNSBL checks in SA verursacht, bis jetzt sehe ich nichts auffälliges ...


    hier mal das vorige DNSBL setup

    Code
    1. #/etc/spamassassin/init.pre
    2. loadplugin Mail::SpamAssassin::Plugin::URIDNSBL

    skip_rbl_checks 0 in der local.cf und der settings table vom Plugin


  • Sieht soweit auch gut aus.


    Was ich persönlich jetzt nie machen würde: Bei einem Blacklist-Check gleich 12 Punkte zu vergeben. Da kann ja auch mal ein Eintrag theoretisch falsch drin oder eine System-Störung vorhanden sein (Siehe kürzliches Problem mit Spamcop). Das ist aber einfach eine Preferenz von mir.


    Mir ist noch in den Sinn gekommen, dass man dem Spamass-Milter mitgeben kann, dass er authentifizierte E-Mails nicht scannen soll (Option "-I"). Im Plugin ist das die Option: "ignore_auth_sender_msgs".


    Ich denke, dass ist die Option, die Du wirklich gesucht hast.


    Sonst um dem Problem wirklich auf den Grund gehen zu können, müsste das Log weiter analyisert und ausgewertet werden. Vermutlich wirst Du aber bereits mit ignore_auth_sender_msgs um einiges glücklichere Kunden haben ^^

  • Danke, da wird also ein "-I" in der /etc/default/spamass-milter hinzugefügt

    Code
    1. #/etc/default/spamass-milter
    2. # 'ignore_auth_sender_msgs' => false,
    3. OPTIONS="-e localhost -f -u spamass-milter -r 7 -- --socket=/var/run/spamassassin.sock"
    4. # 'ignore_auth_sender_msgs' => true,
    5. OPTIONS="-e localhost -f -u spamass-milter -I -r 7 -- --socket=/var/run/spamassassin.sock"