amavis filtert zu schlecht

Claas Goltz claas.goltz at contact-software.com
Mi Jun 29 17:06:58 CEST 2016 

Hallo zusammen,
ich teste seit ein paar Tagen vergeblich eine vernünftige
Amavis/ClamAV/SpamAssassine Installation zum Laufen zu kriegen und ich
habe das Gefühl, dass Amavis keine Rule Updates bekommt und die
Erkennungsrate deshalb schlecht ist.

/etc/cron.hourly/spamassassin ist entsprechend um den Heinlein Eintrag
erweitert

[..]

/usr/bin/sa-update --nogpg --channel spamassassin.heinlein-support.de \
     --gpghomedir /var/lib/spamassassin/sa-update-keys 2>&1

usw.
[..]

und ich behaupte es funktioniert auch! Wo legt SpamAssassine eigentlich
die Rules ab?

Führe ich ein sa update manuell durch, bin ich scheinbar up2date:
/usr/bin/sa-update --nogpg --channel spamassassin.heinlein-support.de -v
Update finished, no fresh updates were available

Warum glaube ich, dass es funktioniert? Weil ich jetzt mehr als 24h die
E-Mails so filtere...

postfix master.cf
smtp      inet  n       -       n       -       -       smtpd -o
content_filter=spamassassin


... dann ist die Erkennungsrate SEHR gut! Es werden sehr viele Mails mit
Spamscore weit über 5.0 erkannt und weggefiltert

ist hingegen diese config aktiv:
smtp      inet  n       -       n       -       -       smtpd -o
content_filter=smtp-amavis:[127.0.0.1]:10024

Geht der Großteil vom Spam mit einem Score unter 5.0 durch. Meist so 0.1
bis 3.6

amavis erkennt Spam und Viren wenn ich den EICAR Teststring und die
Virentestdatei verwende. Da funktioniert alles wie es soll, aber unter
Realbedingungen hat amavis nur sehr sehr selten einen erfolgreichen Treffer.

Meine Anpassungen bzgl amavis:

15-content_filter_mode: entsprechend beide Strings auskommentiert
05-domain-id: @local_domains_acl = ( "." );
20-debian_defaults: $QUARANTINEDIR = "/clients01/virus-mails"; rest default
50-user:
$sa_tag_level_deflt  = -999;
$sa_tag2_level_deflt = 4.0;
$sa_kill_level_deflt = 6.9;
$sa_spam_subject_tag = '*****SPAM*****';
$log_templ = $log_verbose_templ;
$warnvirusrecip = 1;

postfix master.cf erweitert um
127.0.0.1:10025 inet    n       -       -       -       -       smtpd
         -o content_filter=
         -o local_recipient_maps=
         -o relay_recipient_maps=
         -o smtpd_restriction_classes=
         -o smtpd_delay_reject=no
         -o smtpd_client_restrictions=permit_mynetworks,reject
         -o smtpd_helo_restrictions=
         -o smtpd_sender_restrictions=
         -o smtpd_recipient_restrictions=permit_mynetworks,reject
         -o smtpd_data_restrictions=reject_unauth_pipelining
         -o smtpd_end_of_data_restrictions=
         -o mynetworks=127.0.0.0/8
         -o smtpd_error_sleep_time=0
         -o smtpd_soft_error_limit=1001
         -o smtpd_hard_error_limit=1000
         -o smtpd_client_connection_count_limit=0
         -o smtpd_client_connection_rate_limit=0
         -o
receive_override_options=no_header_body_checks,no_unknown_recipient_checks


Ich bin jetzt mit meinem Latein am Ende. Ich habe bestimmt schon 20
tutorials angeschaut die alle das Selbe zeigen und ich mich auch daran
gehalten habe.

Also ist
smtpd -o content_filter=smtp-amavis:[127.0.0.1]:10024
aktiv, dann ist die Erkennung sehr schlecht.

smtpd -o content_filter=spamassassine
damit ist die Erkennung wunderbar!


System:
debian 8.5
spamassassin 3.4.0-6
amavisd-new 1:2.10.1-2~deb8u1
clamav 0.99

Wer hat einen Tipp für mich, was ich falsch mache?
Danke!

-- 
Claas Goltz
IT-Systemadministrator

CONTACT Software GmbH
Wiener Straße 1–3, 28359 Bremen, Germany
T  +49 421 20153-27
F +49 421 20153-41
claas.goltz at contact-software.com
http://www.contact-software.com

Registered office: Bremen, Germany
Managing directors: Karl Heinz Zachries, Ralf Holtgrefe
Court of register: Amtsgericht Bremen HRB 13215

Mehr Informationen über die Mailingliste Postfixbuch-users