Spammarkierung immer, obwohl kein SPAM

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Spammarkierung immer, obwohl kein SPAM

Post by umbroboy » 2005-12-12 13:46

Hallo,

habe mir jetzt mal ein Buch zu spamassassin gekauft und durchgelesen.

Allerdings hab ich immer noch das Problem, dass alle Emails als Spam markiert werden obwohl diese einen Score unter 5 haben.

Habe eine local.cf unter /etc/spamassassin wie folgt:

Code: Select all

# This is the right place to customize your installation of SpamAssassin.
#
# See 'perldoc Mail::SpamAssassin::Conf' for details of what can be
# tweaked.
#
###########################################################################
#
# rewrite_header Subject *****SPAM*****
# report_safe 1
# trusted_networks 212.17.35.
# lock_method flock
use_bayes=0
required_score 5.0
rewrite_subject 0
Spamassasin neugeladen.

In meiner Vexim-acl-check-content.conf sieht es wie folgt aus:

Code: Select all

  deny  senders = :
        hosts   = !+relay_from_hosts
        !acl    = spf_from_acl
        message = Your sender is not permitted (read spf.pobox.com)

  # First unpack MIME containers and reject serious errors.
  deny  message = This message contains a MIME error ($demime_reason)
        demime = *
        condition = ${if >{$demime_errorlevel}{2}{1}{0}}
        
  # Reject typically wormish file extensions. There is almost no
  # sense in sending such files by email.
  deny  message = This message contains an unwanted file extension ($found_extension)
        demime = bat:btm:cmd:com:cpl:dll:exe:lnl:msi:pif:prf:reg:scr:vbs:url
  
  # Reject virus infested messages.
  deny  message = This message contains malware ($malware_name)
        demime = *
	malware = *
        log_message = This message contains malware ($malware_name)

  # Reject messages containing "viagra" in all kinds of whitespace/case combinations
  # WARNING: this is an example !
  # deny  message = This message matches a blacklisted regular expression ($regex_match_string)
  #      regex = [Vv] *[Ii] *[Aa] *[Gg] *[Rr] *[Aa]

  # Always add X-Spam-Score and X-Spam-Report headers, using SA system-wide settings
  # (user "nobody"), no matter if over threshold or not.
  
  warn  message = X-Spam-Score: $spam_score ($spam_bar)
        hosts = !+relay_from_hosts
        condition = ${if <{$message_size}{550k}{1}{0}}
        spam = vmail:true
  warn  message = X-Spam-Report: $spam_report
        condition = ${if <{$message_size}{550k}{1}{0}}
        spam = vmail:true

  warn  message = X-Spam-Bar: $spam_bar
        spam = vmail:true 

        #tag the message as spam as per user settings..
	 warn  message = X-New-Subject: ***SPAM($spam_score)*** $h_subject
	         spam = vmail:true
		      condition = ${if >{$spam_score_int}{${lookup mysql
		                {select users.sa_tag *10 from users,domains 
		                where localpart = '${quote_mysql:$local_part}' 
		                and domain = '${quote_mysql:$domain}' 
		                and users.on_spamassassin = '1' 
		                and users.domain_id=domains.domain_id 
		                and users.sa_tag > 0 }{$value}fail}} {yes}{no}}
															





  # This code was derived from a post to exim-users by Alan J. Flavell:
  # http://www.exim.org/pipermail/exim-users/Week-of-Mon-20031201/063095.html
  deny  hosts           = emi.mail.pas.earthlink.net
        message         = X-PH-FW: leaky forwarder, $dnslist_domain=$dnslist_value
                          set acl_m4 = ${if match {$h_received:}
                                {N[(d+).(d+).(d+).(d+)])s+.*by 
                                emi.mail.pas.earthlink.netN}
                                {$4.$3.$2.$1}fail}
        dnslists        = sbl-xbl.spamhaus.org:list.dsbl.org:dynablock.njabl.org/$acl_m4

  deny  hosts           = emi.mail.pas.earthlink.net
        message         = Please use your FQDN for HELO
        condition       = ${if match {$h_received:}{Nhelo=d+.d+.d+.d+N}{yes}{no} }
Sorry falls es zu lang ist.

Habe als MTA Exim4.

Kann mir jemand helfen, warum jetzt noch alle emails als spam im header markiert werden?

Viele Grüße
umbroboy

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spammarkierung immer, obwohl kein SPAM

Post by dodolin » 2005-12-12 17:13

Allerdings hab ich immer noch das Problem, dass alle Emails als Spam markiert werden obwohl diese einen Score unter 5 haben.
Hast du mal eine Beispielmail samt Header, damit man sieht, was du meinst? Kann es sein, dass es sich um völlig normales Verhalten handelt?

Code: Select all

  # Always add X-Spam-Score and X-Spam-Report headers, using SA system-wide settings 
  # (user "nobody"), no matter if over threshold or not. 
  
  warn  message = X-Spam-Score: $spam_score ($spam_bar) 
        hosts = !+relay_from_hosts 
        condition = ${if <{$message_size}{550k}{1}{0}} 
        spam = vmail:true 
  warn  message = X-Spam-Report: $spam_report 
        condition = ${if <{$message_size}{550k}{1}{0}} 
        spam = vmail:true 

  warn  message = X-Spam-Bar: $spam_bar 
        spam = vmail:true 

Damit meine ich insbesondere obige Zeilen, die ja sogar durch den vorangestellten Kommentar erklärt werden.

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: Spammarkierung immer, obwohl kein SPAM

Post by umbroboy » 2005-12-12 19:35

Hi Dodolin,

achso aber ich hab doch extra in der local.cf diesen befehl:

Code: Select all

use_bayes=0 
required_score 5.0 
rewrite_subject 0
Darum dachte ich , er schreibt mir erst dann in den Header, wenn der Score 5 und mehr ist.

Wenn ich jetzt allerdings die zeilen ausklammer, dann macht er auch darübe rnichts mehr oder?
das heisst praktisch, hier muss ich noch eine Score bedingung mit 5 reintun?

Ebenso hier eine Beispiel Header:
    Return-path: <tania.hewitt@arteoninvest.com> Envelope-to: XXX@XXXXX.info Received: from i577a24df.versanet.de ([87.122.36.223] helo=localhost) by dXXX-XXX-XXX-XXX.dds.hosteurope.de with smtp (Exim 4.50) id 1ElmhA-0006gU-HI for XXX@XXXXX.info; Mon, 12 Dec 2005 13:22:23 +0100 Message-ID: <000001c5ff40$b5063580$0100007f@localhost> From: "James Stewart" <tania.hewitt@arteoninvest.com> To: <XXXX@XXXXXX.info> Date: Mon, 12 Dec 2005 13:23:51 +0100 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_NextPart_000_0001_01C5FF40.B5063580" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.2180 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180 Subject: ***SPAM(0.5)*** 0EM Software
Dies wäre allerdings eh eine spamemail. Wie werde ich denn diese noch los. Sonst wird das meiste schon immer rejected.

Viele Grüße und Danke
umbroboy

perlitz
Posts: 202
Joined: 2003-11-01 12:25

Re: Spammarkierung immer, obwohl kein SPAM

Post by perlitz » 2005-12-12 20:06

Also aus meiner Sicht ist das was Du da postest kein vollständiger "default" SA header! Der müsste nämlich zumindest das hier:

Code: Select all

X-Spam-Checker-Version: SpamAssassin 3.1.0 (2005-09-13) on 
	deinhost.de
X-Spam-Level: *
X-Spam-Status: No, score=1.3 required=5.0 tests=AWL,FROM_EXCESS_BASE64,
	HTML_ATTR_UNIQUE,HTML_MESSAGE,HTML_TAG_EXIST_TBODY autolearn=no version=3.1.0
drinne stehen haben! Poste doch mal den Header einer anderen E-Mail ;)

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: Spammarkierung immer, obwohl kein SPAM

Post by umbroboy » 2005-12-12 23:18

Hi Perlitz,

eine von mir empfange Email oder gesendete?

Oder sollte das egal sein?

Viele Grüße
umbroboy

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spammarkierung immer, obwohl kein SPAM

Post by dodolin » 2005-12-12 23:33

Bestimmte SA Einstellungen z.B. in der local.cf werden im Exim/SA Setup nicht berücksichtigt, da sie von Einstellungen in der exim.conf überschrieben werden.

umbroboy
Posts: 258
Joined: 2005-05-11 11:49

Re: Spammarkierung immer, obwohl kein SPAM

Post by umbroboy » 2005-12-13 10:19

Hi Dodolin,

hab jetzt mal meine exim4.conf auf nen server geladen.

80.237.145.233/exim4/

Kannst du mal darüber schauen.

Müsste ich dies dann nochmal seperat in die exim4.conf schreiben?

Wie sieht das eigentlich aus, was perlitz gemeint hat, gibt es diesen header nur bei incoming oder auch outgoing emails?

Vielen Dank schonmal.