[Postfixbuch-users] Mal 'ne Frage zu eigenen Spamassassin-Regeln

Daniel Stellwagen Daniel.Stellwagen at brunata-muenchen.de
Mi Jun 28 10:32:22 CEST 2006 

Hallo Rainer,

Rainer Frey wrote:
> On Tuesday 27 June 2006 16:25, Daniel Stellwagen wrote:
> 
>>>>> Was willst du denn erreichen?
>>>> Anhand eines bestimmten Headereintrages Punkte vergeben.
>>>>
>>>> Hier: X-RBL-Check: dnsbl.space.net
>>>> Diesen Eintrag setzt unser Relay-Host
>>>>
>>>> In der Regel ist jede Mail mit diesem Header Spam, doch möchte ich
>>>> nicht einfach abweisen, sondern durch Punktevergabe gewichten,
>>>> weil ja vielleicht doch auch mal eine "false positive" dabei sein
>>>> könnte . Im Moment schlägt aber meine Regel erst zu, wenn die
>>>> internen Regeln gegriffen haben. Entscheidet sich aber Spassassin
>>>> das die Mail kein Spam ist kommt auch meine Regel nicht zum
>>>> tragen.
>>> Kapier ich nicht. SpamAssassin arbeitet zuerst alle vordefinierten
>>> Regeln ab - /usr/share/spamassassin/*.cf . Dann die systemweiten
>>> eigenen Regeln /etc/mail/spamassassin/*. Die Summe daraus ergibt
>>> den Spam Score. Warum sollte in dieser Reihenfolge deine Regel
>>> nicht mehr zum tragen kommen?
>> Habe keine Erklärung für dieses Verhalten.
> 
> Wie kommst du darauf, dass das Verhalten anders wäre, wenn deine Regel 
> zuerst geprüft würde[1]? Schick bitte mal die Header einer geprüften 
> und getaggten Mail (da musst du evtl. erst konfigurieren, dass 
> Nicht-Spam getaggt wird) mit dem  X-RBL-Check-Header, um zu sehen, dass 
> die Regel definitiv nicht greift. Ist vielleicht einfach der 
> Gesamt-Score zu niedrig, trotz den Punkten deiner Regel?

Ich habe nur versucht das beobachte Verhalten zu Umgehen, das meine
Prüfung nur benutzt wird, wenn interne Prüfungen erfolgreich angewendet
wurden. Hier ein Auszug mit Konfiguration local.cf

....
header   X_RBL_CHECKING                ALL =~ /dnsbl\.space\.net/
score    X_RBL_CHECKING                6.000 6.000 6.000 6.000
....


Content analysis details:   (18.2 points, 8.0 required)

  pts rule name              description
---- ---------------------- 
--------------------------------------------------
  2.0 INVALID_DATE           Invalid Date: header (not RFC 2822)
  0.7 EXTRA_MPART_TYPE       Header has extraneous Content-type:...type= 
entry
  6.0 X_RBL_CHECKING         X_RBL_CHECKING
  1.9 DATE_IN_FUTURE_06_12   Date: is 6 to 12 hours after Received: date
  3.5 HTML_IMAGE_ONLY_08     BODY: HTML: images with 400-800 bytes of words
  0.0 HTML_MESSAGE           BODY: HTML included in message
  3.5 BAYES_99               BODY: Bayesian spam probability is 99 to 100%
                             [score: 1.0000]
  0.6 HTML_90_100            BODY: Message is 90% to 100% HTML

------------------------- BEGIN HEADERS -----------------------------
Return-Path: <majyf at netzero.com>
Received: from mail.space.net (mail.space.net [195.30.0.8])
	by mail.brunata-muenchen.de (Postfix) with SMTP id B335E107805
	for <info-defromat at defromat.de>; Wed, 28 Jun 2006 07:14:47 +0200 (CEST)
Received: (qmail 87853 invoked from network); 28 Jun 2006 05:14:41 -0000
Received: from unknown (HELO netzero.com) (61.144.182.94)
   by mail.space.net with SMTP; 28 Jun 2006 05:14:41 -0000
X-RBL-Check: dnsbl.space.net
X-RBL-Warning: (unknown:61.144.182.94) dnsbl.space.net
X-RBL-Check: dul.dnsbl.sorbs.net
X-RBL-Warning: (unknown:61.144.182.94) dul.dnsbl.sorbs.net
Message-Id: <002d01c69a71$02776280$08a6a8c0 at wube>
From: "Amy" <majyf at netzero.com>
To: <info-defromat at defromat.de>
Subject: ditij
Date: Wed, 28 Jun 2006 13:14:58 0800
MIME-Version: 1.0
Content-Type: multipart/related;
	type="multipart/alternative";
	boundary="----=_NextPart_000_0007_01C01746.17339860"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2869
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2869
-------------------------- END HEADERS ------------------------------


Im Moment läuft ein Versuch bei einem Score von 8.000 in der 
selbstgebastelte Prüfung, bei einem $sa_tag2_level_deflt = 7.000.
Ich warte aufs Ergebnis.

>>   Vielleicht mailst du mal deine Regeldatei (evtl. gekürzt).
>>
>> /etc/mail/spamassassin/local.cf
>>   ...
>>   header   X_RBL_CHECKING         ALL =~ /.*dnsbl\.space\.net.*/
> 
> Du kennst doch den Header-Namen. Gibt es einen Grund, warum du gegen 
> alle Header prüfst, ob dnsbl.space.net drin vorkommt? 

Dieser Eintrag ist seit meinem letzten Versuch drin. Vorher hatte
ich auch die Variante

.... exists:X-RBL-Check

getestet.

> 
> [1]Das kannst du übrigens ganz leicht prüfen, indem due die Regel und 
> Score entgegen allen Empfehlungen in eine Datei 
> in /usr/(local/)share/spamassassin/ einträgst. Entweder in die erste 
> Datei reinpacken, oder eine neue Datei anlegen, deren Name in 
> alphanumerischer Sortierung vor allen vorhandenen Dateien kommt. 

Das hab ich jetzt mal gemacht.

/usr/share/spamassassin/10_misc:

....
header   X_RBL_CHECKING         ALL =~ /dnsbl\.space\.net/
score    X_RBL_CHECKING         8.000 8.000 8.000 8.000


Daniel

Mehr Informationen über die Mailingliste Postfixbuch-users