amavisd-new ergibt anderen Score wie spamassasin -D

[taurin]

Servus,

ich hab mich dank übelster Spamflut der letzten Wochen mal wieder meinem Filter angenommen und die Regeln mit

Code: Select all

 spamassassin -D < testmail > /tmp/log 2>&1

getestet. Hat prima geklappt, läuft wie am Schnürchen.

Leider hab ich zwischen Direktaufruf spamassassin und dem Verhalten von spamassassin über amavisd-new eine Diskrepanz die ich mir nicht erklären kann. Wenn ich eMails die über die normale Zustellung nicht erkannt werden nachträglich direkt mit spamassasssin teste, werden sie als Spam erkannt. Versteh ich nicht, ist doch die gleiche Config!?

Die Tests auf der Konsole laufen als amavisd. Also an der Berechtigung dürfte es nicht liegen.

Danke schonmal für Tipps und Ideen jeglicher Art.

[Roger Wilco]

Wenn ich eMails die über die normale Zustellung nicht erkannt werden nachträglich direkt mit spamassasssin teste, werden sie als Spam erkannt. Versteh ich nicht, ist doch die gleiche Config!?

Nein, das gerade nicht. amavisd-new ersetzt praktisch den spamd und hat diesbezüglich eine eigene Konfiguration (siehe amavisd.conf).

[taurin]

Nein, das gerade nicht. amavisd-new ersetzt praktisch den spamd und hat diesbezüglich eine eigene Konfiguration (siehe amavisd.conf).

? Die Optionen z. B. den iXhash zu inkludieren gibts aber nicht in amavisd, das läuft auch über das Spamassasssin-Verzeichnis (und funktioniert). Darüber hinaus steht sogar explizit in der amavisd.conf drin, dass ab Spamassassin > 3.x die Auto-Whitelist in Spamassassin und nicht mehr, wieder ein Indiz

Code: Select all

#$sa_auto_whitelist = 1;      # turn on AWL in SA 2.63 or older (irrelevant
                             # for SA 3.0, cf option is 'use_auto_whitelist')

Ich meine, dass nur einige wenige Optionen wie z. B. required_hits und
rewrite_header von amavisd-new überschrieben werden, der Rest aber nicht.

Ich lasse mich aber auch gerne eines besseren belehren.

[rootsvr]

naja es gibt ein paar Fallstricke.. ist die Domain bei amavisd nicht im local_domains wird sie garnicht gescannt und dann auch nicht erkannt.

Im Notfall: amavisd im debug starten und mal schauen was er so von sich gibt.

Hast Du nen Header von einer nicht erkannten Amavisd_mail und den gleichen der wenn er durch SA gelaufen und erkannt wurde?

[Roger Wilco]

? Die Optionen z. B. den iXhash zu inkludieren gibts aber nicht in amavisd, das läuft auch über das Spamassasssin-Verzeichnis (und funktioniert).

Ich nehme (fast) alles zurück und behaupte das Gegenteil! ;)

Zumindest ändert amavisd-new einige Optionen des SpamAssassin. Deshalb erhältst du bei der Überprüfung mit amavisd-new ein anderes Ergebnis, als mit dem reinen SpamAssassin.

[taurin]

Hast Du nen Header von einer nicht erkannten Amavisd_mail und den gleichen der wenn er durch SA gelaufen und erkannt wurde?

Code: Select all

Return-Path: <Markets@aknn.de>
Received: from murder ([unix socket])
     by mailgate4.mydomain.local (Cyrus v2.2.12-Mandriva-RPM-2.2.12-15mdk) with LMTPA;
     Fri, 08 Dec 2006 07:18:08 +0100
X-Sieve: CMU Sieve 2.2
Delivered-To: user@mydomain.de
Received: from popserver6.ispgateway.de
     by localhost with POP3 (fetchmail-6.2.5)
     for user@mydomain.local (single-drop); Fri, 08 Dec 2006 07:18:02 +0100 (CET)
Received: (qmail 23184 invoked from network); 8 Dec 2006 06:15:55 -0000
Received: from unknown ([80.67.18.103])
     by levant.ispgateway.de (qmail-ldap-1.03) with QMQP; 8 Dec 2006 06:15:55 -0000
Delivered-To: CLUSTERHOST mx24.ispgateway.de user@mydomain.de
Received: (qmail 7157 invoked by alias); 8 Dec 2006 06:15:55 -0000
Delivered-To: user@mydomain.de
X-Envelope-To: user@mydomain.de
Precedence: bulk
Received: (qmail 6847 invoked from network); 8 Dec 2006 06:15:55 -0000
Received: from cable-89-216-189-185.dynamic.sbb.co.yu ([89.216.189.185])
     (envelope-sender <Markets@aknn.de>)
     by mx24.ispgateway.de (qmail-ldap-1.03) with SMTP
     for <user@mydomain.de>; 8 Dec 2006 06:15:52 -0000
Received: from WPYAXBU (unknown [164.181.125.117])
     by aknn.de with ESMTP id 5FBCE54A479E
     for <user@mydomain.de>; Fri, 8 Dec 2006 07:16:22 +0100 (GMT)
Message-ID: <000c01c71a90$4e896b30$b9bdd859@devin>
From: "Billy" <Markets@aknn.de>
To: user@mydomain.de
Subject: Stores Nationwide Present
Date: Fri, 8 Dec 2006 07:15:49 +0100
MIME-Version: 1.0
Content-Type: multipart/related;
     type="multipart/alternative";
     boundary="----=_NextPart_000_0008_01C71A98.B04DD330"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-Virus-Scanned: amavisd-new at mydomain.local
X-Spam-Status: No, hits=4.382 tagged_above=2 required=5
     tests=[BAYES_00=-2.599, HELO_DYNAMIC_DHCP=1.248, HELO_DYNAMIC_IPADDR=4.4,
     HTML_50_60=0.087, HTML_IMAGE_ONLY_16=1.047, HTML_MESSAGE=0.001,
     INVALID_TZ_GMT=0.198]
X-Spam-Score: 4.382
X-Spam-Level: ****

Scoring amavisd-new siehe im Header, Scoring direktaufruf SA:

Code: Select all

Inhaltsanalyse im Detail:   (7.2 Punkte, 5.0 benötigt)

Pkte Regelname              Beschreibung
---- ---------------------- --------------------------------------------------
 1.2 HELO_DYNAMIC_DHCP      HELO-Rechnername verdächtig (DHCP)
 0.2 INVALID_TZ_GMT         Ungültiges Datum in Kopfzeile (falsche GMT/UTC Zeitzone)
 4.4 HELO_DYNAMIC_IPADDR    HELO-Rechnername verdächtig (IP-Adresse 1)
 0.1 HTML_50_60             BODY: Nachricht besteht zu 50-60% aus HTML
 0.0 HTML_MESSAGE           BODY: Nachricht enthält HTML
 0.0 BAYES_50               BODY: Spamwahrscheinlichkeit nach Bayes-Test: 40-60%
                            [score: 0.5000]
 1.0 HTML_IMAGE_ONLY_16     BODY: Außer Bildern nur 1200-1600 Zeichen Text
 3.1 RCVD_IN_XBL            RBL: Transportiert via Rechner in XBL-Liste (http://www.spamhaus.org/xbl/)
                            [89.216.189.185 listed in sbl-xbl.spamhaus.org]
-2.8 AWL                    AWL: From: address is in the auto white-list

[rootsvr]

So wie es ausschuat macht amavisd keine Networkchecks (Rcvd in XBL fehlt)

--> /etc/spamassassin/local.cf
skip_rbl_checks 0

ggf auch:
use_razor2 1
use_dcc 1
use_pyzor 1

und die bayes db scheint eine andere zu sein .. machts Du den Aufruf von sa als gleicher user (imho vscan?)

[taurin]

--> /etc/spamassassin/local.cf

Hab ich bereits

Code: Select all

required_hits 5
rewrite_header Subject [SPAM] _SCORE_
report_safe 1
auto_whitelist_path        /var/spool/spamassassin/auto-whitelist
auto_whitelist_file_mode   0666
dcc_home                   /var/lib/dcc
skip_rbl_checks            0
use_bayes                  1
bayes_auto_learn           1
use_razor2                 1
use_dcc                    1
use_pyzor                  1

und die bayes db scheint eine andere zu sein .. machts Du den Aufruf von sa als gleicher user (imho vscan?)

Ich hab den Befehl in der Kommandozeile als User amavis ausgeführt (nachdem ich ihm kurzzeitig eine Shell gegeben hatte), wie der Daemon-User. Aus meiner /etc/amavisd/amavisd.conf (inkl. der Zeile, dass SA Network Tests laufen sollen).

Code: Select all

$daemon_user  = 'amavis';     # (no default;  customary: vscan or amavis)
$daemon_group = 'amavis';     # (no default;  customary: vscan or amavis)
### SCHNIPP
$sa_local_tests_only = 0; 

Menno, da muss es doch was geben, was ich übersehen hab

[taurin]

So, ich habs raus, das Problem mit dem Bayes.

Das Problem mit dem Junk Filter war, dass der Amavis natürlich in seine eigene DB geschrieben hat. Daher ist der Lernbefehl folgender:

Code: Select all

sa-learn -D -u amavis --dbpath /var/spool/amavis/.spamassassin --spam /var/spool/imap/t/user/taurin/Junk/