RootForum Community

Posted: **2006-11-12 15:10**

Hallo zusammen,

ich schlage mich hier seit einigen Tagen mit einem bizarren Problem auf einem Rootserver herum: erkannte Spams werden doppelt ausgeliefert!

Konkret heisst das, dass eine nicht-erkannte Spammail einfach als normale Mail im Postfach landet. Für erkannte Spams gilt das Gleiche, sie werden also "normal" ausgeliefert, zusätzlich aber noch einmal vom Spamassassin bearbeitet - dadurch also doppelt ausgeliefert.

Verwendet werden exim4, spamassassin und teapop - wobei ich schon mehrere pop-Server probiert habe, das Problem bleibt aber bestehen.

Die Kombination exim4/spamassassin wurde installiert wie auf http://www.win.tue.nl/~martijna/Debianstuff/ beschrieben und funktionierte zuerst auch klaglos.

Das Problem trat dann nach einigen Wochen erst auf, ich bin mir keiner Änderung bewusst die das verursacht haben könnte.

Hier mal die Header einer normalen, nicht-Spam Mail.
Die Mail wurde als kein Spam erkannt (zu Recht), aber von Spamassassin bearbeitet wie an der Headern erkennbar

Code: Select all

From - Sun Nov 12 13:12:09 2006
X-Account-Key: account1
X-UIDL: d0b22138946295a9d1372e6d087668b6
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-path: <XXXXXXXXXX@t-online.de>
Envelope-to: XXXXXXXXXX@XXXXXXXXXX.de
Delivery-date: Sun, 12 Nov 2006 12:44:14 +0100
Received: from Debian-exim by XXXXXXXXXX with spam-scanned (Exim 4.50)
	id 1GjDkv-0002aC-3q
	for XXXXXXXXXX@XXXXXXXXXX.de; Sun, 12 Nov 2006 12:44:14 +0100
Received: from mailout03.sul.t-online.com ([194.25.134.81]:58355)
	by XXXXXXXXXX.de with esmtp (Exim 4.50)
	id 1GjDkv-0002a9-2H
	for XXXXXXXXXX@XXXXXXXXXX.de; Sun, 12 Nov 2006 12:44:09 +0100
Received: from fwd29.aul.t-online.de 
	by mailout03.sul.t-online.com with smtp 
	id 1GjDko-00057q-02; Sun, 12 Nov 2006 12:44:02 +0100
Received: from golfball (G58Q7mZTwedzCnYtSAHVNfTRyouMB9nGZUlrRoY-9b48EZNIcPAvEx@[84.152.125.90]) by fwd29.sul.t-online.de
	with smtp id 1GjDki-0oR6Aq0; Sun, 12 Nov 2006 12:43:56 +0100
Message-ID: <001501c70650$49ed5770$6502a8c0@golfball>
From: "XXXXXXXXXX" <XXXXXXXXXX@t-online.de>
To: "XXXXXXXXXX" <XXXXXXXXXX@XXXXXXXXXX.de>
Subject: XXXXXXXXXX
Date: Sun, 12 Nov 2006 12:47:10 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0012_01C70658.AB591820"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2869
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2962
X-ID: G58Q7mZTwedzCnYtSAHVNfTRyouMB9nGZUlrRoY-9b48EZNIcPAvEx
X-TOI-MSGID: 3ef196b2-270f-4ca2-84b8-ac96088a286e
X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on 
	XXXXXXXXXX.de
X-Spam-Level: 
X-Spam-Status: No, score=-2.5 required=5.0 tests=BAYES_00,HTML_50_60,
	HTML_MESSAGE autolearn=ham version=3.0.3

Jetzt die Header einer Spam-Mail, die auch als solches erkannt wird:

Code: Select all

From - Sun Nov 12 13:10:49 2006
X-Account-Key: account1
X-UIDL: a03a35afa5c8a19bf7be8be8b7437f42
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
Return-path: <hostmaster@10-million-hits.com>
Envelope-to: XXXXXX@XXXXXX.de
Delivery-date: Sat, 11 Nov 2006 12:18:11 +0100
Received: from Debian-exim by XXXXXX.de with spam-scanned (Exim 4.50)
	id 1Giqs6-0006Ud-RR
	for XXXXXX@XXXXXX.de; Sat, 11 Nov 2006 12:18:11 +0100
Received: from localhost by XXXXXX.de
	with SpamAssassin (version 3.0.3);
	Sat, 11 Nov 2006 12:18:11 +0100
From: "Denise Villanueva" <hostmaster@10-million-hits.com>
To: <XXXXXX@XXXXXX.de>
Subject: *** SPAM *** Sweet
Date: Sat, 11 Dec 2006 11:13:22 -0480
Message-Id: <01c70582$669a3ce0$6c822ecf@hostmaster>
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on 
	XXXXXX.de
X-Spam-Level: ********************
X-Spam-Status: Yes, score=20.8 required=5.0 tests=BAYES_99,
	DATE_IN_FUTURE_96_XX,DNS_FROM_AHBL_RHSBL,HTML_40_50,HTML_MESSAGE,
	MIME_QP_LONG_LINE,RAZOR2_CF_RANGE_51_100,RAZOR2_CHECK,RCVD_IN_XBL,
	URIBL_AB_SURBL,URIBL_OB_SURBL,URIBL_SBL,URIBL_SC_SURBL,URIBL_WS_SURBL 
	autolearn=spam version=3.0.3
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------=_4555B173.287BEA91"

This is a multi-part message in MIME format.

------------=_4555B173.287BEA91
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

Software zur Erkennung von "Spam" auf dem Rechner

    XXXXXX.de

...usw

Soweit also in Ordnung, Spamassassin hat sich die Mail angesehen und als Spam erkannt.

Nun kommt aber die exakt gleiche Mail eben nochmal an:

Code: Select all

From - Sun Nov 12 13:10:49 2006
X-Account-Key: account1
X-UIDL: d3c1c1f42b661bda8c39159ff3d91e4a
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Received: from [222.243.194.42] (port=61429 helo=mxs.mail.ru)
	by XXXXXX.de with esmtp (Exim 4.50)
	id 1Giqs6-0006Tl-3A
	for XXXXXX@XXXXXX.de; Sat, 11 Nov 2006 12:18:02 +0100
Received: from 80.67.18.126 (HELO mxlb.ispgateway.de)
     by XXXXXX.de with esmtp (QF2W07TDA ZZ6V)
     id 6WTKJW-GRQEOZ-Q0
     for info@XXXXXX.de; Sat, 11 Dec 2006 11:13:22 -0480
From: "Denise Villanueva" <hostmaster@10-million-hits.com>
To: <info@XXXXXX.de>
Subject: Sweet
Date: Sat, 11 Dec 2006 11:13:22 -0480
Message-ID: <01c70582$669a3ce0$6c822ecf@hostmaster>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0006_01C705C5.74BD7CE0"
X-Mailer: Microsoft Office Outlook, Build 11.0.6353
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1807
Thread-Index: Aca6QQA44687P1MAJ3LYDMUVVAETBC==

This is a multi-part message in MIME format.

------=_NextPart_000_0006_01C705C5.74BD7CE0
Content-Type: text/plain;
	charset="iso-8859-2"
Content-Transfer-Encoding: 7bit

Thank you for your loan request,...

...usw

Hier scheint der Spamassassin nichts getan zu haben, es sieht so aus als wäre sie an Ihm vorbei-geliefert worden?
Nachdem das aber nur mit positiven Spams passiert, muss der Spamassassin da wohl irgendwo Mist bauen!

Kann sich jemand erlkären was da möglicherweise falsch läuft?
Ich bin mit meinem Latein am Ende :(

Gruss und Danke
Thomas

Posted: **2006-11-14 10:53**

Hallo nochmal,

der Vollständigkeit halber:

Aus lauter Verzweiflung hab ich die Debian-Pakete

Code: Select all

spamassassin-enable 0.1-1.intergenia
spamassassin/stable uptodate 3.0.3-2sarge1
spamc/stable uptodate 3.0.3-2sarge1
spamassassin-exim4 0.1-1.intergenia

mal entfernt und den Spamassassin in Version 3.1.7 von Hand installiert - nun tut er wieder exakt so, wie er soll :)

Gruss

Posted: **2006-11-15 14:44**

Ein Tag war Ruhe, jetzt ist das Problem wieder da :(

Ich werd jetzt mal den Exim gegen Postfix tauschen...

Posted: **2006-11-15 18:02**

ThomasK wrote:Ein Tag war Ruhe, jetzt ist das Problem wieder da :(

Ich werd jetzt mal den Exim gegen Postfix tauschen...

Meinst du damit bekommst du es besser hin?

Posted: **2006-11-15 18:06**

Wenn ich was besseres wüsste, würd ich's anders machen, glaub mir ;)

Bislang ist aber leider noch niemand mit einer besseren Idee gekommen...

Was bleibt mir schon als im Dunklen zu stochern :(

Posted: **2006-11-15 18:23**

Schau mit `exim -bh 123.123.123.123` nach, welche Router und Transports beim Maileinliefern durchlaufen werden. Dann solltest du feststellen können, weshalb die Mails doppelt ausgeliefert werden.

Und deine (vollständige) Eximkonfiguration würde auch nicht schaden.

Posted: **2006-11-16 09:51**

Danke, das hat mich jetzt tatsächlich schon ein Stück weitergebracht :)

Ich habe mit dem -bh <ip> ein wenig herumgespielt, die Ausgabe über verwendete Transports/Routen war aber wenig ergiebig, egal ob ich den transport/route aktiviere für den SA, die Ausgabe ist immer:

Routers: accept dnslookup ipliteral iplookup manualroute queryprogram redirect
Transports: appendfile/maildir/mailstore/mbx autoreply lmtp pipe smtp

Was mich jetzt aber irritiert ist was anderes.
Ich mache meine Änderungen in /etc/exim4/conf.d, diese werden auch beachtet.
Laut der Debug-Ausgabe aber verwendet exim4 aber /var/lib/exim4/config.autogenerated

Nachdem ich der totale exim4-noob bin habe ich natürlich kein update-exim4.conf ausgeführt - die Änderungen waren ja auch so wirksam.

Kann es sein, dass er beide configs beachtet und es dadurch zu der doppelten Auslieferung kommt?

Posted: **2006-11-16 17:53**

ThomasK wrote:Kann es sein, dass er beide configs beachtet und es dadurch zu der doppelten Auslieferung kommt?

Nein, eigentlich nicht. Die gesplittete Exim Konfiguration bei Debian wird vom Initskript beim Start zusammengeführt (unter /var/lib/exim4/config.autogenerated) und der Exim mit dieser Datei gefüttert.

Posted: **2006-11-17 09:27**

Schade - wär auch zu schön gewesen :(

Als letzten Rettungsanker packe ich hier mal die config.autogenerated rein, vielleicht findet ja tatsächlich jemand was, was falsch ist...

Allerdings wollte ich das Forum nicht damit zubomben, man kann es als direkt bei phpfi.com unter diesem Link sehen: http://phpfi.com/175484

Und auch wenn ich zu keiner Lösung des Problems kommen sollte, ich bin Euch wirklich dankbar für die Hilfe :)

Posted: **2006-11-17 11:13**

Nochmal ein kleines Update; Kunde ruft mich grad an "Hey hast Du was gemacht? Spam geht wieder wie es soll?!?"

Sprich: kommt markiert, und nur einfach.

Jetzt bin ich mal gespannt ob sich das heute Nacht wieder ändert.

Wie kann das sein?
Hab echt NICHTS geändert, ausser die route/transport vom SA wieder in den Exim mit einzubauen um Euch hier die config zeigen zu können....

RootForum Community

[nicht mehr solved] Erkannte Spams werden doppelt geliefert

[nicht mehr solved] Erkannte Spams werden doppelt geliefert

Re: [nicht mehr solved] Erkannte Spams werden doppelt geliefert

Re: [nicht mehr solved] Erkannte Spams werden doppelt geliefert

Re: [nicht mehr solved] Erkannte Spams werden doppelt geliefert

Re: [nicht mehr solved] Erkannte Spams werden doppelt geliefert

Re: [nicht mehr solved] Erkannte Spams werden doppelt geliefert

Re: [nicht mehr solved] Erkannte Spams werden doppelt geliefert

Re: [nicht mehr solved] Erkannte Spams werden doppelt geliefert

Re: [nicht mehr solved] Erkannte Spams werden doppelt geliefert

Re: [nicht mehr solved] Erkannte Spams werden doppelt geliefert