Re: RspamD und Spamassassin mögliche integration

Carsten Rosenberg cr at ncxs.de
Fr Mär 15 16:22:44 CET 2024 

Hallo Christian

On 15.03.24 11:33, christian via Postfixbuch-users wrote:
> Hallo zusammen,
> ich würde mir gerne noch Spamassassin in meine RspamD Installation 
> integrieren, da ich noch immer einige Spamwellen nicht abwehren kann.
> Ich lerne zwar die Statistic Funktion (BAYES_SPAM) an und passe auf das 
> ich sie sauber halte, aber trotzdem sind die Ergebnisse nicht allzu gut.
> Die RspamD Funktionen schaffen schon sehr viel, aber trotzdem kommt 
> immer noch einiges durch. Meist in Wellen die ich nur durch multimap und 
> Badwords ausfiltern kann. Aber nach 3 Tagen kommt die nächste Welle. 
> Finanz Emails, Japanische Küchenmesser, von verschiedenen Absendern, aus 
> verschiedenen Ländern, teils nur mit verschiedenen Worten. Einfach 
> schwierig zu greifen.

Bayes ist soweit kein Allheilmittel. Das Anlernen hilft oft, aber die 
Spammer sind ja auch nicht doof und ändern oft genug die Texte. Siehe 
Apotheken-Spam. Und je näher die Texte wirklichen Newslettern sind, 
desto weniger helfen statistische Funktionen.

Schau dir mal Fuzzy an. Das matcht meiner Erfahrung nach viel besser.

Natürlich könnte man jetzt wieder Regeln und Listen pflegen oder sich im 
Internet besorgen. Siehe Mailbaby. Oder die Heinlein / Schaal-IT SA Listen.

Ich will sowas aber nicht mehr immerzu anfassen müssen. Was bei uns gut 
funktioniert, ist viele Indikatoren zusammen zu bekommen. Heißt aus 
allen Ecken gibt es ein paar Punkte und schon ist man über dem 
jeweiligen Level.

Fuzzy, Bayes, Reputation, RBL, ClamAV Securiteinfo+Sanesecurity
Razor, Pyzor, DCC dazu vielleicht ein paar Listen die Andere pflegen ;)

Die SA Rules von Heinlein/Schaal-IT kannst du direkt in das Rspamd 
spamassassin rules Plugin rein packen. (Die offiziellen SA Rules 
funktionieren nicht so gut und ergeben ein Haufen Warnungen)

Ich pflege eigentlich nur noch ganz wenige Listen selbst.

Bei Spamhaus und Abusix wenn möglich auch die E-Mail/Hash/Bitcoin DBs 
einbinden.

Wenn das alleine nicht reicht, suche ich mir typische Symbole der Mail 
aus dem Report und baue dafür eine Composite.

> 
> Jetzt hab ich mich mit Spamassassin befasst und auch installiert. Dazu 
> hab ich auch die zusätzlichen Filter von Heinlein und schaal-it 
> installiert. Darauf kommt es mir an. Lokale deutschsprachige Filter.
> sa-update funktioniert.
> 
> 
> Die Einbindung an RspamD per external_services
> 
> spamassassin {
>      symbol = "SPAMD"
>      type = "spamassassin";
>      servers = "127.0.0.1:783";
>      extended = false;
> }
> 
> funktioniert aber nicht so ganz. Auch die Einbindung über spamassassin.conf
> 
>      ruleset = "/etc/spamassassin/local.cf";
>      base_ruleset = "/var/lib/spamassassin/4.000000/*.cf";
>      match_limit = 100k;

Dein Match Limit ist für die offiziellen SA Rules viel zu klein.

> 
> bringt keinen Erfolg.
> 
> Ich hab mir mal die SPAMD Logdatei angeschaut und stelle folgendes fest:
> 
> Fri Mar 15 10:58:30 2024 [420891] info: spamd: result: .  0 - 
> scantime=0.2,size=7613,user=root,uid=109,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=48658,mid=<i7kcaj604dmkc91x-6h4na6yve5ifkjdu-225a5-8865b at umlockyourhip.best>,autolearn=ham autolearn_force=no
> Fri Mar 15 10:58:35 2024 [420891] info: spamd: connection from 
> localhost.localdomain [127.0.0.1]:48672 to port 783, fd 6
> Fri Mar 15 10:58:35 2024 [420891] info: spamd: checking message 
> <171049671508.20060.7522619451159021892 at WIN-EEUKD37DLD1> for root:109
> Fri Mar 15 10:58:36 2024 [420891] info: spamd: clean message (0.0/5.0) 
> for root:109 in 0.3 seconds, 51365 bytes.
> Fri Mar 15 10:58:36 2024 [420891] info: spamd: result: .  0 - 
> scantime=0.3,size=51365,user=root,uid=109,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=48672,mid=<171049671508.20060.7522619451159021892 at WIN-EEUKD37DLD1>,autolearn=ham autolearn_force=no


Was sagt denn SA wenn du den Spam direkt damit prüfst? spamassassin -D < 
spam.eml Sieht für mich so aus als ob Spamassassin soweit über nix 
meckert und die Mail normal gescannt wird.


Ich betreibe SA wenn nur noch als Minimal-Install. Bayes aus, RBL aus, 
URIBL aus ...
IX-Hash Plugin rein :)

(IX-Hash für Rspamd hab ich als POC aber das läuft noch nicht rund)

> 
> Spam Mails die ankommen, werden anscheinend geprüft, aber mit 0 bewertet 
> und autolearn=ham wird aktiv. Aber die Ergebnisse werden nicht an RspamD 
> weitergegeben. Normal sollten die Ergebnisse doch als SPAMD in den 
> MailHeadern auftauchen. Aber da tut sich nichts.

Rspamd schreibt keine SPAMD Header und wertet das SA Ergebnis nur aus 
wenn es größer als 0 ist.

> 
> Auch die Einbindung über spamassassin.conf ändert nichts. Ich hab zwar 
> dann natürlich keine Log Einträge über SPAMD, aber in den RspamD Logs 
> (debug) taucht gar nichts auf.
> 
> Woran könnte das liegen? Besten Dank für Hilfe
> Christian
> 
> debian 12.5 postfix, dovecot, rspamd 3.8.4
> 
> SA local.cf
> use_bayes 1
> bayes_auto_learn 1
> bayes_file_mode 777
> bayes_path /var/lib/spamassassin/bayes_db

Viele Grüße

Carsten

Mehr Informationen über die Mailingliste Postfixbuch-users