Frage zu amavis und spam score

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

Frage zu amavis und spam score

Dr. Peer-Joachim Koch
Hallo,

folgendes Problem. Ich sehe im Log der Mailgates das die Annahme von
Mails als SPAM abgelehnt wird

und ich sehe auch den Score. Was ich nicht sehe sind die Bewertungen die
zu den Score geführt haben.

Wo kann ich das einstellen, so dass ich nach vollziehen kann, was schief
läuft (im Falle das es sich um eine

erwünschte E-Mail handelt) ?


--
Ciao,
     Peer
________________________________________________________

Max-Planck-Institut für Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705



smime.p7s (6K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu amavis und spam score

Winfried Neessen
Hi,

Am 13.10.2017 um 10:09 schrieb Dr. Peer-Joachim Koch <[hidden email]>:

> Wo kann ich das einstellen, so dass ich nach vollziehen kann, was schief läuft (im Falle das es sich um eine
> erwünschte E-Mail handelt) ?
>

Wenn die Mail den $sa_quarantine_cutoff_level nicht ueberschreitet, wird sie im Quarantaene-Verz.
abgelegt. Im maillog siehst Du unter welchem Dateinamen AMaViSd die Mail abgelegt hat:

,---
| [...] Blocked SPAM {DiscardedInbound,Quarantined}, [...] quarantine: spam/y/yMt7sKxLdoUv
`---

In der entsprechenden Mail kannst Du dann den entsprechenden X-Spam-Report Header analysieren:

,---
| X-Spam-Report:
|  *  0.5 RCVD_IN_SORBS_SPAM RBL: SORBS: sender is a spam source
|  *      [113.201.51.26 listed in dnsbl.sorbs.net]
|  *  1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
|  *      [Blocked - see <http://www.spamcop.net/bl.shtml?113.201.51.26>]
|  *  3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS
|  *      [113.201.51.26 listed in zen.spamhaus.org]
| [...]
`---


Winni

smime.p7s (1K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu amavis und spam score

Dr. Peer-Joachim Koch
Hi,

in diesem Fall wurde nichts abgelegt, da der Score zu hoch war.

Ich habe jetzt in der amavisd.conf

$log_level = 1;
$log_templ = $log_verbose_templ;

eingetragen und bekomme

....aus dem log
Tests:
[ALL_TRUSTED=-1,BAYES_00=-6.1,RP_MATCHES_RCVD=-0.001,T_HK_NAME_DR=0.01]
---

Sehe ich das richtig, das nur Tests die "irgendwie" angeschlagen haben
hier gelistet werden ?

Das wäre dann in etwa was ich bräuchte ...


Danke, Peer

On 13.10.2017 10:19, Winfried Neessen wrote:

> Hi,
>
> Am 13.10.2017 um 10:09 schrieb Dr. Peer-Joachim Koch <[hidden email]>:
>
>> Wo kann ich das einstellen, so dass ich nach vollziehen kann, was schief läuft (im Falle das es sich um eine
>> erwünschte E-Mail handelt) ?
>>
> Wenn die Mail den $sa_quarantine_cutoff_level nicht ueberschreitet, wird sie im Quarantaene-Verz.
> abgelegt. Im maillog siehst Du unter welchem Dateinamen AMaViSd die Mail abgelegt hat:
>
> ,---
> | [...] Blocked SPAM {DiscardedInbound,Quarantined}, [...] quarantine: spam/y/yMt7sKxLdoUv
> `---
>
> In der entsprechenden Mail kannst Du dann den entsprechenden X-Spam-Report Header analysieren:
>
> ,---
> | X-Spam-Report:
> |  *  0.5 RCVD_IN_SORBS_SPAM RBL: SORBS: sender is a spam source
> |  *      [113.201.51.26 listed in dnsbl.sorbs.net]
> |  *  1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
> |  *      [Blocked - see <http://www.spamcop.net/bl.shtml?113.201.51.26>]
> |  *  3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS
> |  *      [113.201.51.26 listed in zen.spamhaus.org]
> | [...]
> `---
>
>
> Winni

--
Mit freundlichen Grüßen,
     Peer-Joachim Koch
________________________________________________________

Max-Planck-Institut für Biogeochemie
Dr. Peer-Joachim Koch
Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
D-07745 Jena                 Telefax: ++49 3641 57-7705



smime.p7s (6K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu amavis und spam score

Klaus Tachtler
Hallo Peer,

das Erhöhen des log_level wie nachfolgend

log_level = 3;              # verbosity 0..5, -d

ist das, was wir bei uns durchgeführt haben, um zu sehen warum die
E-Mails abgelehnt wurden.


Grüße
Klaus.


> Hi,
>
> in diesem Fall wurde nichts abgelegt, da der Score zu hoch war.
>
> Ich habe jetzt in der amavisd.conf
>
> $log_level = 1;
> $log_templ = $log_verbose_templ;
>
> eingetragen und bekomme
>
> ....aus dem log
> Tests:
> [ALL_TRUSTED=-1,BAYES_00=-6.1,RP_MATCHES_RCVD=-0.001,T_HK_NAME_DR=0.01]
> ---
>
> Sehe ich das richtig, das nur Tests die "irgendwie" angeschlagen
> haben hier gelistet werden ?
>
> Das wäre dann in etwa was ich bräuchte ...
>
>
> Danke, Peer
>
> On 13.10.2017 10:19, Winfried Neessen wrote:
>> Hi,
>>
>> Am 13.10.2017 um 10:09 schrieb Dr. Peer-Joachim Koch
>> <[hidden email]>:
>>
>>> Wo kann ich das einstellen, so dass ich nach vollziehen kann, was
>>> schief läuft (im Falle das es sich um eine
>>> erwünschte E-Mail handelt) ?
>>>
>> Wenn die Mail den $sa_quarantine_cutoff_level nicht ueberschreitet,
>> wird sie im Quarantaene-Verz.
>> abgelegt. Im maillog siehst Du unter welchem Dateinamen AMaViSd die
>> Mail abgelegt hat:
>>
>> ,---
>> | [...] Blocked SPAM {DiscardedInbound,Quarantined}, [...]
>> quarantine: spam/y/yMt7sKxLdoUv
>> `---
>>
>> In der entsprechenden Mail kannst Du dann den entsprechenden
>> X-Spam-Report Header analysieren:
>>
>> ,---
>> | X-Spam-Report:
>> |  *  0.5 RCVD_IN_SORBS_SPAM RBL: SORBS: sender is a spam source
>> |  *      [113.201.51.26 listed in dnsbl.sorbs.net]
>> |  *  1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
>> |  *      [Blocked - see <http://www.spamcop.net/bl.shtml?113.201.51.26>]
>> |  *  3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS
>> |  *      [113.201.51.26 listed in zen.spamhaus.org]
>> | [...]
>> `---
>>
>>
>> Winni
>
>
> --
> Mit freundlichen Grüßen,
>     Peer-Joachim Koch
> ________________________________________________________
>
> Max-Planck-Institut für Biogeochemie
> Dr. Peer-Joachim Koch
> Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
> D-07745 Jena                 Telefax: ++49 3641 57-7705

----- Ende der Nachricht von "Dr. Peer-Joachim Koch"
<[hidden email]> -----



attachment0 (3K) Download Attachment
attachment1 (853 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu amavis und spam score

Philipp Faeustlin
Hallo Klaus,

das hatte ich auch, aber dann wird so viel geloggt, was mich im Betrieb
nicht interessiert.
Zudem wurden bei mir bei ausgehenden Mails die Test auch bei log_level =
3; nicht zuverlässig geloggt.

Gruß Philipp

Am 13.10.2017 um 10:44 schrieb Klaus Tachtler:

> Hallo Peer,
>
> das Erhöhen des log_level wie nachfolgend
>
> log_level = 3;              # verbosity 0..5, -d
>
> ist das, was wir bei uns durchgeführt haben, um zu sehen warum die
> E-Mails abgelehnt wurden.
>
>
> Grüße
> Klaus.
>
>
>> Hi,
>>
>> in diesem Fall wurde nichts abgelegt, da der Score zu hoch war.
>>
>> Ich habe jetzt in der amavisd.conf
>>
>> $log_level = 1;
>> $log_templ = $log_verbose_templ;
>>
>> eingetragen und bekomme
>>
>> ....aus dem log
>> Tests:
>> [ALL_TRUSTED=-1,BAYES_00=-6.1,RP_MATCHES_RCVD=-0.001,T_HK_NAME_DR=0.01]
>> ---
>>
>> Sehe ich das richtig, das nur Tests die "irgendwie" angeschlagen haben
>> hier gelistet werden ?
>>
>> Das wäre dann in etwa was ich bräuchte ...
>>
>>
>> Danke, Peer
>>
>> On 13.10.2017 10:19, Winfried Neessen wrote:
>>> Hi,
>>>
>>> Am 13.10.2017 um 10:09 schrieb Dr. Peer-Joachim Koch
>>> <[hidden email]>:
>>>
>>>> Wo kann ich das einstellen, so dass ich nach vollziehen kann, was
>>>> schief läuft (im Falle das es sich um eine
>>>> erwünschte E-Mail handelt) ?
>>>>
>>> Wenn die Mail den $sa_quarantine_cutoff_level nicht ueberschreitet,
>>> wird sie im Quarantaene-Verz.
>>> abgelegt. Im maillog siehst Du unter welchem Dateinamen AMaViSd die
>>> Mail abgelegt hat:
>>>
>>> ,---
>>> | [...] Blocked SPAM {DiscardedInbound,Quarantined}, [...]
>>> quarantine: spam/y/yMt7sKxLdoUv
>>> `---
>>>
>>> In der entsprechenden Mail kannst Du dann den entsprechenden
>>> X-Spam-Report Header analysieren:
>>>
>>> ,---
>>> | X-Spam-Report:
>>> |  *  0.5 RCVD_IN_SORBS_SPAM RBL: SORBS: sender is a spam source
>>> |  *      [113.201.51.26 listed in dnsbl.sorbs.net]
>>> |  *  1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in
>>> bl.spamcop.net
>>> |  *      [Blocked - see
>>> <http://www.spamcop.net/bl.shtml?113.201.51.26>]
>>> |  *  3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS
>>> |  *      [113.201.51.26 listed in zen.spamhaus.org]
>>> | [...]
>>> `---
>>>
>>>
>>> Winni
>>
>>
>> --
>> Mit freundlichen Grüßen,
>>     Peer-Joachim Koch
>> ________________________________________________________
>>
>> Max-Planck-Institut für Biogeochemie
>> Dr. Peer-Joachim Koch
>> Hans-Knöll Str.10            Telefon: ++49 3641 57-6705
>> D-07745 Jena                 Telefax: ++49 3641 57-7705
>
>
> ----- Ende der Nachricht von "Dr. Peer-Joachim Koch"
> <[hidden email]> -----
>
>

--
Philipp Fäustlin
Universität Hohenheim
Kommunikations-, Informations- und Medienzentrum (630)
IT-Dienste | Abt. Kommunikation, E-Learning u. Print | Mail

Schloss, Westhof Süd | 70599 Stuttgart
Tel.: +49 711 459-22838 | Fax: +49 711 459-23449
https://kim.uni-hohenheim.de/
Reply | Threaded
Open this post in threaded view
|

Re: Frage zu amavis und spam score

Klaus Tachtler
Hallo Philipp,

ich habe noch etwas gefunden:

https://lists.amavis.org/pipermail/amavis-users/2012-January/001157.html


--- Auszug aus der E-Mail ---

If you are referring to X-Spam-Status, X-Spam-Level, X-Spam-Flag and
X-Spam-Score header fields, these should be there like you said: when
recipient matches @local_domains_maps and spam score is above
$sa_tag_level_deflt, or $sa_tag_level_deflt is undefined.

If you are referring to a debug log line "Spam-tag, ...", it is now logged
at log level 3 starting with 2.7.0.  Previously it was a "SPAM-TAG, ...",
logged at level 2. I suggest not to bother with this debug line.
If you need SpamAssassin test results in the log, this can be achieved
by uncommenting the line, i.e. changing:

#[? %#T ||, Tests: \[[%T|,]\]]#

into a:

[? %#T ||, Tests: \[[%T|,]\]]#

in the main log template (twice), or assigning a customized log template
to $log_templ, e.g. (in amavisd.conf):

$log_templ = <<'EOD';
[?%#D|#|Passed #
[? [:ccat|major] |#
OTHER|CLEAN|MTA-BLOCKED|OVERSIZED|BAD-HEADER-[:ccat|minor]|SPAMMY|SPAM|\
UNCHECKED|BANNED (%F)|INFECTED (%V)] {[:actions_performed]}#
, [? %p ||%p ][?%a||[?%l||LOCAL ][:client_addr_port] ][?%e||\[%e\] ]%s
-> [%D|,]#
[? %q ||, quarantine: %q]#
[? %Q ||, Queue-ID: %Q]#
[? %m ||, Message-ID: %m]#
[? %r ||, Resent-Message-ID: %r]#
[? %i ||, mail_id: %i]#
, Hits: [:SCORE]#
, size: %z#
[? [:partition_tag] ||, pt: [:partition_tag]]#
[~[:remote_mta_smtp_response]|["^$"]||[", queued_as: "]]\
[remote_mta_smtp_response|[~%x|["queued as
([0-9A-Za-z]+)$"]|["%1"]|["%0"]]|/]#
#, Subject: [:dquote|[:mime2utf8|[:header_field|Subject]|100|1]]#
#, From: [:uquote|[:mime2utf8|[:header_field|From]|100|1]]#
[? %#T ||, Tests: \[[%T|,]\]]#
[? [:dkim|sig_sd]    ||, dkim_sd=[:dkim|sig_sd]]#
[? [:dkim|newsig_sd] ||, dkim_new=[:dkim|newsig_sd]]#
, %y ms#
]
[?%#O|#|Blocked #
[? [:ccat|major|blocking] |#
OTHER|CLEAN|MTA-BLOCKED|OVERSIZED|BAD-HEADER-[:ccat|minor]|SPAMMY|SPAM|\
UNCHECKED|BANNED (%F)|INFECTED (%V)] {[:actions_performed]}#
, [? %p ||%p ][?%a||[?%l||LOCAL ][:client_addr_port] ][?%e||\[%e\] ]%s
-> [%O|,]#
[? %q ||, quarantine: %q]#
[? %Q ||, Queue-ID: %Q]#
[? %m ||, Message-ID: %m]#
[? %r ||, Resent-Message-ID: %r]#
[? %i ||, mail_id: %i]#
, Hits: [:SCORE]#
, size: %z#
[? [:partition_tag] ||, pt: [:partition_tag]]#
#, Subject: [:dquote|[:mime2utf8|[:header_field|Subject]|100|1]]#
#, From: [:uquote|[:mime2utf8|[:header_field|From]|100|1]]#
[? %#T ||, Tests: \[[%T|,]\]]#
[? [:dkim|sig_sd]    ||, dkim_sd=[:dkim|sig_sd]]#
[? [:dkim|newsig_sd] ||, dkim_new=[:dkim|newsig_sd]]#
, %y ms#
]
EOD

--- Auszug aus der E-Mail ---

Grüße
Klaus.

> Hallo Klaus,
>
> das hatte ich auch, aber dann wird so viel geloggt, was mich im
> Betrieb nicht interessiert.
> Zudem wurden bei mir bei ausgehenden Mails die Test auch bei
> log_level = 3; nicht zuverlässig geloggt.
>
> Gruß Philipp
>
> Am 13.10.2017 um 10:44 schrieb Klaus Tachtler:
>> Hallo Peer,
>>
>> das Erhöhen des log_level wie nachfolgend
>>
>> log_level =
>> 3;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # verbosity 0..5,
>> -d
>>
>> ist das, was wir bei uns durchgeführt haben, um zu sehen warum die
>> E-Mails abgelehnt wurden.
>>
>>
>> Grüße
>> Klaus.
>>
>>
>>> Hi,
>>>
>>> in diesem Fall wurde nichts abgelegt, da der Score zu hoch war.
>>>
>>> Ich habe jetzt in der amavisd.conf
>>>
>>> $log_level = 1;
>>> $log_templ = $log_verbose_templ;
>>>
>>> eingetragen und bekomme
>>>
>>> ....aus dem log
>>> Tests:
>>> [ALL_TRUSTED=-1,BAYES_00=-6.1,RP_MATCHES_RCVD=-0.001,T_HK_NAME_DR=0.01]
>>> ---
>>>
>>> Sehe ich das richtig, das nur Tests die "irgendwie" angeschlagen
>>> haben hier gelistet werden ?
>>>
>>> Das wäre dann in etwa was ich bräuchte ...
>>>
>>>
>>> Danke, Peer
>>>
>>> On 13.10.2017 10:19, Winfried Neessen wrote:
>>>> Hi,
>>>>
>>>> Am 13.10.2017 um 10:09 schrieb Dr. Peer-Joachim Koch
>>>> <[hidden email]>:
>>>>
>>>>> Wo kann ich das einstellen, so dass ich nach vollziehen kann,
>>>>> was schief läuft (im Falle das es sich um eine
>>>>> erwünschte E-Mail handelt) ?
>>>>>
>>>> Wenn die Mail den $sa_quarantine_cutoff_level nicht
>>>> ueberschreitet, wird sie im Quarantaene-Verz.
>>>> abgelegt. Im maillog siehst Du unter welchem Dateinamen AMaViSd
>>>> die Mail abgelegt hat:
>>>>
>>>> ,---
>>>> | [...] Blocked SPAM {DiscardedInbound,Quarantined}, [...]
>>>> quarantine: spam/y/yMt7sKxLdoUv
>>>> `---
>>>>
>>>> In der entsprechenden Mail kannst Du dann den entsprechenden
>>>> X-Spam-Report Header analysieren:
>>>>
>>>> ,---
>>>> | X-Spam-Report:
>>>> |&nbsp; *&nbsp; 0.5 RCVD_IN_SORBS_SPAM RBL: SORBS: sender is a spam source
>>>> |&nbsp; *&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [113.201.51.26 listed in
>>>> dnsbl.sorbs.net]
>>>> |&nbsp; *&nbsp; 1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a
>>>> relay in bl.spamcop.net
>>>> |&nbsp; *&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [Blocked - see
>>>> <http://www.spamcop.net/bl.shtml?113.201.51.26>]
>>>> |&nbsp; *&nbsp; 3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in
>>>> Spamhaus SBL-CSS
>>>> |&nbsp; *&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; [113.201.51.26 listed in
>>>> zen.spamhaus.org]
>>>> | [...]
>>>> `---
>>>>
>>>>
>>>> Winni
>>>
>>>
>>> --
>>> Mit freundlichen Grüßen,
>>> &nbsp;&nbsp;&nbsp; Peer-Joachim Koch
>>> ________________________________________________________
>>>
>>> Max-Planck-Institut für Biogeochemie
>>> Dr. Peer-Joachim Koch
>>> Hans-Knöll
>>> Str.10&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
>>> Telefon: ++49 3641 57-6705
>>> D-07745
>>> Jena&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Telefax: ++49 3641
>>> 57-7705
>>
>>
>> ----- Ende der Nachricht von "Dr. Peer-Joachim Koch"
>> <[hidden email]> -----
>>
>>
>
> --
> Philipp Fäustlin
> Universität Hohenheim
> Kommunikations-, Informations- und Medienzentrum (630)
> IT-Dienste | Abt. Kommunikation, E-Learning u. Print | Mail
>
> Schloss, Westhof Süd | 70599 Stuttgart
> Tel.: +49 711 459-22838 | Fax: +49 711 459-23449
> https://kim.uni-hohenheim.de/

----- Ende der Nachricht von Philipp Faeustlin
<[hidden email]> -----



attachment0 (3K) Download Attachment
smime.p7s (5K) Download Attachment