Spamassassin erkennt Spam nicht

mail
german

#1

Hallo liebes Forum!

Mein System, ein UCS 4.1-0 errata75 mit darauf aufsetzender Open-Xchange AppSuite arbeitet prinzipiell super und fehlerfrei. Doch es kommt alles an Spam durch.
Spam-Mails werden also nicht als solche erkannt, sondern es erscheint im mail.log folgendes:

Feb 2 12:14:04 ox amavis[17326]: (17326-01) Passed SPAM {RelayedOutbound}, LOCAL [127.0.0.1]:46206 [127.0.0.1]

Und dies sogar bei dem speziellen spamassassin Spam-Teststring.

Jetzt hab ich schon sooo viel herumgeschaut in den Files und Einstellungen, komm aber einfach nicht auf den Knoten, warum Spam nicht erkannt wird.

Wer kann mir helfen und was braucht Ihr?

Liebe Grüße
Harald


UCS 3.1 + OXSE+ Spamassassin
#2

Hallo!

Keiner eine Idee hierzu?

Liebe Grüße
Harald


#3

Hallo,

was steht in den headern der Mails? (X-Virus-Scanned, X-Spam-*)

Gruß
Daniel Tröder


#4

Hallo!

Leider habe ich erst jetzt gesehen, dass hier geantwortet wurde. Habe witzigerweise keine Email-Notification dazu bekommen.

Hier aber eine beispielhafte Email - mehrfach hin und her gesendet und die FQDNs etc. sind natürlich verfälscht:

Return-Path: max.mustermann@example2.local
Received: from mail.example.local (localhost [127.0.0.1])
by ox (Cyrus v2.4.16-Debian-2.4.16-4.32.201410011447) with LMTPA;
Wed, 03 Feb 2016 10:46:20 +0100
X-Sieve: CMU Sieve 2.4
Received: from localhost (localhost [127.0.0.1])
by mail.example.local (Postfix) with ESMTP id ADE03BCABFA
for max.mustermann@example.local; Wed, 3 Feb 2016 10:46:20 +0100 (CET)
X-Virus-Scanned: by amavisd-new-2.7.1 (20120429) (Debian) at example.local
X-Spam-Flag: NO
X-Spam-Score: -2.598
X-Spam-Level:
X-Spam-Status: No, score=-2.598 tagged_above=-1000 required=5
tests=[BAYES_00=-1.9, HTML_MESSAGE=0.001, RCVD_IN_DNSWL_LOW=-0.7,
URIBL_BLOCKED=0.001] autolearn=ham
Received: from mail.example.local ([127.0.0.1])
by localhost (mail.example.local [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id Q6x6J0uLt4uL for max.mustermann@example.local;
Wed, 3 Feb 2016 10:46:19 +0100 (CET)
Received: from xmail.xpirio.net (xmail.xpirio.net [195.16.241.189])
by mail.example.local (Postfix) with ESMTPS id 3D9BFBC64AD
for max.mustermann@example.local; Wed, 3 Feb 2016 10:46:19 +0100 (CET)
Received: from webmail.example2.local (unknown [95.143.82.202])
(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
(No client certificate requested)
by xmail.xpirio.net (Postfix) with ESMTPS id 014B8498035F
for max.mustermann@example.local; Wed, 3 Feb 2016 10:46:46 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
by webmail.example2.local (Postfix) with ESMTP id B682A2AA0027
for max.mustermann@example.local; Wed, 3 Feb 2016 10:46:45 +0100 (CET)
X-Virus-Scanned: by amavisd-new-2.7.1 (20120429) (Debian) at example2.local
Received: from webmail.example2.local ([127.0.0.1])
by localhost (webmail.example2.local [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 1jVRo1yH4imB for max.mustermann@example.local;
Wed, 3 Feb 2016 10:46:45 +0100 (CET)
Received: from webmail.example2.local (localhost [127.0.0.1])
by webmail.example2.local (Postfix) with ESMTPA id 871882AA0025
for max.mustermann@example.local; Wed, 3 Feb 2016 10:46:45 +0100 (CET)
Date: Wed, 3 Feb 2016 10:46:45 +0100 (CET)
From: Harald Knapp max.mustermann@example2.local
To: Harald Knapp max.mustermann@example.local
Message-ID: 1921559028.24660.a9cf944b-3662-4eea-9493-9512a33b4ed7.open-xchange@webmail.example2.local
Subject: Fwd: mal jetzt
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_24659_1167733640.1454492805499"
X-Priority: 3
Importance: Medium
X-Mailer: Open-Xchange Mailer v7.8.0-Rev16
X-Originating-Client: com.openexchange.ox.gui.dhtml

Also mir zeigt sich dabei, dass der Score für diese SPAM-Email zu gering ist, um als Spam behandelt zu werden. Aber da ist definitv dieser Spam-Test-String drinnen!

PS: Beim weiteren Recherchieren habe ich diesen Beitrag gesehen, der anscheinend schon das gleiche Problem mal hatte: UCS 3.1 + OXSE+ Spamassassin

Liebe Grüße und schon mal danke.
Harald


#5

Sorry!

Der Email-Header von gerade vorhin, war von dem Virus-Test.

Jetzt hier der relevante Header-Ausschnitt bezüglich des Spam-Test-Strings und hier ist es Spam erkannt worden, aber kein entsprechendes Handling wurde vorgenommen - also den Betreff umschreiben oder/und in den Spam-Ordner verschieben:

X-Virus-Scanned: by amavisd-new-2.7.1 (20120429) (Debian) at palmfriendly.com
X-Spam-Flag: YES
X-Spam-Score: 997.401
X-Spam-Level: ****************************************************************
X-Spam-Status: Yes, score=997.401 tagged_above=-1000 required=5
tests=[BAYES_00=-1.9, GTUBE=1000, HTML_MESSAGE=0.001,
RCVD_IN_DNSWL_LOW=-0.7] autolearn=no

Liebe Grüße
Harald


#6

Hallo allerseits!

So, jetzt bin ich mal schlauer, denn ab sofort funktioniert das mit dem Betreff-Umschreiben. Dazu habe ich die UCR Variable für den Spam-Tag entsprechend setzen müssen und zwar mit dem gewünschten Text, der im Betreff voran gestellt werden soll. Das funktioniert also mal schon.

Liebe Grüße
Harald


#7

Hallo!

Wo und welchen Debug-Level bzw. dessen Variable muss man auf welchen Wert umändern, damit man mal entsprechend ein logging zur Spam-Detektion irgendwo sehen kann?

Liebe Grüße
Harald


#8

Das Verschieben in Spam-Ordner geschieht per Sieve-Script.
Bei >= mail/antispam/requiredhits wird verschoben.
Das Sieve-Script wird nur beim Anlegen eines Users kopiert und später auch durch ändern der UCR Variablen nicht mehr geändert.
Es findet sich unter /var/spool/dovecot/private/DOMAIN/LOCAL-PART/sieve/default.sieve , das gerade aktive Sieve-Skript ist /var/spool/dovecot/private/DOMAIN/LOCAL-PART/.dovecot.sieve


#9

Hallo troeder!

Verstehe ich Dich somit richtig, dass - wenn zB 200 User auf einem System bereits vorhanden sind - bei nachträglichem Setzen der Variable die sieve-Skripte nur für zukünfigt angelegte User gelten/aktiv werden und für bereits vorhandene User dies per Hand gemacht werden müsste??

Mein System ist mit cyrus, aber die von Dir angegebene Ordnerstruktur ist ziemlich ähnlich.

Danke mal und liebe Grüße
Harald


#10

Hallo Harald,

leider ist das richtig. Ich hoffe, dass wir eines Tages einen Mechanismus implementieren dies zu ändern. Für Sie und heute hätte ich eine (nicht supportete) Idee: wenn Sie sich sicher sind, dass Sie die Sieve-Scripte aller User ändern wollen und dürfen, dann können Sie dies so tun um von requiredhits=5 auf requiredhits=3 zu kommen:

find /var/spool/cyrus/sieve/ -type f -name default.script -exec sed --in-place 's/if header :comparator "i;ascii-casemap" :contains "X-Spam-Level" "\*\*\*\*\*"/if header :comparator "i;ascii-casemap" :contains "X-Spam-Level" "\*\*\*"/g' "{}" \; -exec bash -c '/usr/lib/cyrus/bin/sievec -C /etc/imapd/imapd.conf "{}" "$(dirname {})/default.bc"' \;

Am Besten testen Sie es mit dem Unterverzeichnis 1 users, nicht gleich aller auf einmal.