AW: amavis + spamassassine "probleme" mit Erkennungsrate

Do Okt 20 08:31:22 CEST 2016

Hallo Class,

bezüglich der Heinlein-Regeln könntest Du Dir selbst mal eine Testmail schicken mit einem Betreff aus diesen Regeln, um zu sehen ob sie ziehen.

Die nur niedrig eingestuften Spam-Mails enthalten evtl. Links. Hier könntest Du ansetzen, indem Du die Wertung für URIBL_DBL_* und URIBL_SBL hochsetzt. Laut Spamhaus FAQ gibt es bei DBL und SBL praktisch keine False Positives, daher gibt es eigentlich keinen Grund, Mails mit Links, die in DBL/SBL gelistet sind, anzunehmen.

Viele Grüße.

Christian

Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Claas Goltz
Gesendet: Dienstag, 18. Oktober 2016 15:05
An: postfixbuch-users at listen.jpberlin.de
Betreff: amavis + spamassassine "probleme" mit Erkennungsrate

Hallo!
Ich nutze Amavis in Verbdinung mit Spamassasine und ClamAV. Also ein klassiches Setup.
Es wird auch spam erkannt aber ich bin der Meinung, das es noch nicht gut genug ist. Mein Tag Level habe ich auch schon auf 3.7 gestellt, was ja eigentlich schon SEHR aggresiv sein sollte, oder?
Nun kommen noch viele Mails rein, die für uns Menschen ganz klarer Spam sind (CASINO Gewinne, Erotik usw.) aber nur um die 1-2 Points bekommen.

Ich lasse stündlich die SA Updates via:
/usr/bin/sa-update --nogpg --channel spamassassin.heinlein-support.de -v &>/dev/null
Einspielen. Wenn ich amavis im debug mode starte, sehe ich auch, dass diese Regeln wohl geladen werden:

(...)
amavis[7190]: SA dbg: config: fixed relative path: /var/lib/spamassassin/3.004000/spamassassin_heinlein-support_de/20_blatspammer.cf
amavis[7190]: SA dbg: config: using "/var/lib/spamassassin/3.004000/spamassassin_heinlein-support_de/20_blatspammer.cf" for included file
amavis[7190]: SA dbg: config: read file /var/lib/spamassassin/3.004000/spamassassin_heinlein-support_de/20_blatspammer.cf
amavis[7190]: SA dbg: config: fixed relative path: /var/lib/spamassassin/3.004000/spamassassin_heinlein-support_de/70_HS_body.cf
amavis[7190]: SA dbg: config: using "/var/lib/spamassassin/3.004000/spamassassin_heinlein-support_de/70_HS_body.cf" for included file
(...)

Ein Typischer E-Mail Header sieht nun so aus:

X-Spam-Flag: YES
X-Spam-Score: 5.219
X-Spam-Level: *****
X-Spam-Status: Yes, score=5.219 tagged_above=-999 required=3.7
    tests=[DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
    HEADER_FROM_DIFFERENT_DOMAINS=0.001, HTML_MESSAGE=0.001,
    MIME_HTML_ONLY=1.105, RAZOR2_CF_RANGE_51_100=0.365,
    RAZOR2_CF_RANGE_E8_51_100=2.43, RAZOR2_CHECK=1.729,
    RCVD_IN_DNSWL_NONE=-0.0001, RP_MATCHES_RCVD=-0.31,
    SPF_HELO_PASS=-0.001, SPF_PASS=-0.001] autolearn=no autolearn_force=no

Oder eine Mail die für uns Menschen offensichtlicher Spam ist:

X-Spam-Flag: NO
X-Spam-Score: 1.106
X-Spam-Level: *
X-Spam-Status: No, score=1.106 tagged_above=-999 required=3.7
    tests=[DKIM_SIGNED=0.1, DKIM_VALID=-0.1,
    HEADER_FROM_DIFFERENT_DOMAINS=0.001, HTML_MESSAGE=0.001,
    MIME_HTML_ONLY=1.105, RCVD_IN_DNSWL_NONE=-0.0001, SPF_PASS=-0.001]
    autolearn=no autolearn_force=no

Meint ihr, da Fehlt was? Ich hätte jetzt gedacht, da würden auch die HS_* Filter mit auftauchen.
Natürlich landen teilweise auch Mails mit über 10 Punkten in meiner Quarantäne. Aber auch da glaube ich, dass die Heinlein Regeln nicht ziehen:

Content analysis details:   (10.7 points, 3.7 required)

pts rule name              description

---- ---------------------- --------------------------------------------------

-0.0 RCVD_IN_MSPIKE_H3      RBL: Good reputation (+3)

                            [85.25.203.149 listed in wl.mailspike.net]

2.7 RCVD_IN_PSBL           RBL: Received via a relay in PSBL

                            [85.25.203.149 listed in psbl.surriel.com]

-0.0 SPF_HELO_PASS          SPF: HELO matches SPF record

1.6 RCVD_IN_BRBL_LASTEXT   RBL: No description available.

                            [85.25.203.149 listed in bb.barracudacentral.org]

1.9 URIBL_ABUSE_SURBL      Contains an URL listed in the ABUSE SURBL blocklist

                            [URIs: newdealeuropa.com]

0.8 HTML_IMAGE_RATIO_02    BODY: HTML has a low ratio of text to image area

0.0 HTML_MESSAGE           BODY: HTML included in message

0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily valid

-0.1 DKIM_VALID_AU          Message has a valid DKIM or DK signature from author's

                            domain

-0.1 DKIM_VALID             Message has at least one valid DKIM or DK signature

2.0 PYZOR_CHECK            Listed in Pyzor (http://pyzor.sf.net/)

1.7 URIBL_BLACK            Contains an URL listed in the URIBL blacklist

                            [URIs: newdealeuropa.com]

-0.0 RCVD_IN_MSPIKE_WL      Mailspike good senders

#########
Meine 50-user.conf:
$max_servers = 5;
$inet_socket_port = [10024,10025];
$forward_method = 'smtp:[127.0.0.1]:10035';
$notify_method  = 'smtp:[127.0.0.1]:10035';
$interface_policy{'10025'} = 'SUBMISSION';
$policy_bank{'SUBMISSION'} = {
        originating => 1,
        # 7-bit Kodierung erzwingen, damit ein späteres Kodieren die DKIM-Signatur nicht zerstört
        smtpd_discard_ehlo_keywords => ['8BITMIME'],
        # Viren auch von auth. Sendern ablehnen
        final_virus_destiny => D_REJECT, #D_REJECT
        final_bad_header_destiny => D_PASS,
        final_spam_destiny => D_PASS,
        terminate_dsn_on_notify_success => 0,
        warnbadhsender => 1,
};
$myhostname = "MAILSERVER";
$virus_admin = "postmaster\@$mydomain";
$spam_admin = "postmaster\@$mydomain";
$banned_quarantine_to = "postmaster\@$mydomain";
$virus_quarantine_to = "virus-quarantine";
$banned_quarantine_to = 'banned-quarantine';
@bypass_virus_checks_maps = (
   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);
@bypass_spam_checks_maps = (
   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);
$sa_spam_subject_tag = '*****SPAM*****';
$warnvirusrecip   = 1;
$warnbannedrecip  = 1;
$sa_tag_level_deflt  = -999.0;  # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 3.7;  # add 'spam detected' headers at that level
$sa_kill_level_deflt = 9.0;  # triggers spam evasive actions (e.g. blocks mail)
$log_level = 1;
$sa_debug = 0;
$DO_SYSLOG = 1; # log via syslogd (preferred)
$SYSLOG_LEVEL = 'mail.debug';
$hdrfrom_notify_sender = "postmaster\@$mydomain";
read_hash(\%whitelist_sender, '/etc/amavis/conf.d/whitelist.txt');
########
spamassassine local.cf

rewrite_header Subject *****SPAM*****
 required_score 3.7
 use_bayes 1
 bayes_auto_learn 1
ifplugin Mail::SpamAssassin::Plugin::Shortcircuit
use_pyzor 1
pyzor_path /usr/bin/pyzor
pyzor_timeout 20
endif # Mail::SpamAssassin::Plugin::Shortcircuit

#####

Danke für eure Zeit und Hilfe!

Claas Goltz
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20161020/237fac2d/attachment.html>