• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] SpamAssassin & die Whitelist

Status
Für weitere Antworten geschlossen.
A

abalorio

Member
Hi Leute,
ich habe folgendes Problem. Wir erhalten seit Tagen Mails die nur eine Gif-Grafik enthällt. SpamAssassin gibt der ganzen Mail auch um die 12 Punkte wobei diese dann eigentlich gleich raus fliegen müsste. Nun stehen diese Mails aber angeblich auf der Whitelist (obwohl immer ein anderer Absender) und erhalten somit -100 Punkte. Resultat: DIE MAILS werden zugestellt.

Hatte von euch schon ein solches Problem oder weiß was ich machen kann?

Besten Dank und beste Grüße
Abalorio
 
Geier0815

Geier0815

Guru
Da ich von diesem Phänomen jetzt schon häufiger gelesen habe, vermute ich einfach mal das im Header der Mail ein Eintrag drin ist der besagt das die Mail schon geprüft wurde und in der whitelist drin steht. Leider weiß ich derzeit keine Lösung für das Problem, ausser evtl. die Mails zu waschen, dh sämtliche headereinträge zu entfernen bevor sie an spamassassin weitergeleitet werden. Wie Du das nun genau machen sollst, kann ich dir auch nicht sagen. Ich würde aber mal vermuten dass es genauso gehen könnte wie die Weiterleitung an spamassassin: Also erst empfangen, auf einem anderen Port an das entsprechende Skript leiten und erst von da aus an den SA weiterleiten.

Oder Du versuchst es mit Greylisting: Eingehende Mails erstmal umleiten, bouncen und warten ob von dem "angeblichen" Absender ein erneuter Zustellversuch kommt. Dazu gab es in einem Linuxmagazin vor ca. 4 Monaten mal einen guten Artikel.
 
OP
A

abalorio

Member
Hm.. SpamAssassin arbeitet aber doch nicht mit 'alten' Daten indem er vorher prüft ob im Header schon etwas steht.

Wie kann man die Punkte für die Whitelist von -100 auf -5 z.B. setzen? Das würde ja schon mal helfen, da viele SpamMails um die -89 Punkte.

Das andere Problem, dass angeblich SpamMails auf der Whitelist stehen verstehe ich trotzdem nicht und das mehrere das Problem haben ist mir auch schon aufgefallen.

Gruß
Abalorio
 
P

pft

Advanced Hacker
Wenn Du spamassassin über amavisd aufrufst findet sich in der amavisd.conf im Kap. V ab der Überschrift
Code: 
# ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING
folgendes (wg. der Länge hier nur der Anfang):
Code: 
# # per-recipient personal tables  (NOTE: positive: black, negative: white)
# 'user1@example.com'  => [{'bla-mobile.press@example.com' => 10.0}],
# 'user3@example.com'  => [{'.ebay.com'                 => -3.0}],
# 'user4@example.com'  => [{'cleargreen@cleargreen.com' => -7.0,
#                           '.cleargreen.com'           => -5.0}],

Dort sollte sich bei Dir der Wert -100 finden, der mir aber sehr hoch vorkommt. Wer hat das eingetragen? Klingt ja schon fast nach einer Virusattacke.
 
OP
A

abalorio

Member
Ich rufe SpamAssassin über .procmail auf. Ich hatte diese Stelle ja schon einmal in der Konfiguration gefunden aber nun suche ich schon seit zwei Tagen.
 
P

pft

Advanced Hacker
Bei der Kombination kenn ich mich nicht aus, aber dann sollte es eine vergleichbare config geben.
Oder steckt amavis hier soviel intelligenz hinein, d.h. passiert das whitelisting, Berechnung der Spamlevel etc alles in Amavis?

Ein schneller Blick in

http://spamassassin.apache.org/full/3.1.x/doc/Mail_SpamAssassin_Conf.html


zeigt
Code: 
DESCRIPTION
SpamAssassin is configured using traditional UNIX-style configuration files, loaded from the /usr/share/spamassassin and /etc/mail/spamassassin directories.
und
Code: 
SCORING OPTIONS
...
score SYMBOLIC_TEST_NAME n.nn [ n.nn n.nn n.nn ]

Assign scores (the number of points for a hit) to a given test. Scores can be positive or negative real numbers or integers. SYMBOLIC_TEST_NAME is the symbolic name used by SpamAssassin for that test; for example, 'FROM_ENDS_IN_NUMS'. 
...

da sollte dann bei Dir etwas mit "100" stehen, wenn deine Vermutung richtig ist.

Ich muss aber zugeben, dass ich eine solche echte Spamassassin config noch nie intensiv betrachtet habe
 
OP
A

abalorio

Member
Ah... jetzt hab ich es gefunden. Eigentlich ganz einfach. Es gibt eine extra Datei für die Punktevergabe: '50_scores.cf' und diese liegt in '/usr/share/spamassassin'. Die Zeilten


Code: 
# rescore never changes the whitelist/blacklist scores                                                                              
score USER_IN_BLACKLIST 100.000                                                                                                     
score USER_IN_WHITELIST -100.000                                                                                                    
score USER_IN_DEF_WHITELIST -15.000                                                                                                 
score USER_IN_BLACKLIST_TO 10.000

gehen dann Auskunft über die Punkteverteilung. Gruß und Danke
 
Status
Für weitere Antworten geschlossen.
Oben