[Postfixbuch-users] Bounce aufgrund policyd-weight score

Robert Felber r.felber at ek-muc.de
Fr Jul 18 10:37:01 CEST 2008 

On Thu, Jul 17, 2008 at 03:55:34PM +0200, Oliver Pürsten wrote:
> Hallo Liste,
> 
> ich habe eine Frage zu den checks des policyd-weight, da sich mir bei einer Email nicht 
> genau erschließt wieso diese einen so hohen score vom policyd-weiht erhalten hat.
> 
> Genau geht es um die Checks CLIENT_NOT_MX/A_FROM_DOMAIN und CLIENT/24_NOT_MX/A_FROM_DOMAIN.
> Ich habe leider auf meiner Suche keine genauen Informationen gefunden was genau diese Checks 
> prüfen und wie sich der Score der Checks dann zusammen setzt.

Die client IP matcht weder auf A noch auf MX records der sender domain, auch nicht im
24er Netz, scheinbar erst im 16er Netz - wofuer es dann auch keine minuspunkte gibt.

Der hohe score erklaert sich aus dem zusaetzlichen manitulisting, welches schon wieder
vorbei ist, darueber hinaus die RFC ignorant listings fuer "kein postmaster, kein abuse account":

09:57:16 info: decided action=PREPEND X-policyd-weight:  NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5
NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_HELO_IP=-2 (check from: .zahav. - helo: .mtaout2.012. - helo-domain: .012.)
FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1 IN_PM_RFCI=3.2 IN_ABUSE_RFCI=3.2 
<helo_ips:  mtaout2.012.net.il 84.95.1.220 212.199.88.67 192.117.172.16 84.95.2.4>; rate: 0.9;
<instance=> <client=84.95.2.4> <helo=mtaout2.012.net.il> <from=polaros at zahav.net.il> <to=>; delay: 2s
action=PREPEND X-policyd-weight:  NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_HELO_IP=-2 
(check from: .zahav. - helo: .mtaout2.012. - helo-domain: .012.)  FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1
IN_PM_RFCI=3.2 IN_ABUSE_RFCI=3.2 <helo_ips:  mtaout2.012.net.il 84.95.1.220 212.199.88.67 192.117.172.16 84.95.2.4>; rate: 0.9


CLIENT/24_NOT_MX/A_FROM_DOMAIN wird erst dann ausgefuehrt, wenn a) blacklisteintraege vorhanden _UND_
b) der client nicht als MX fuer helo oder sender domain gelistet ist.

Bei spammisch-positiven Befund, dann eben der hinterlegte score + BL scores.

Regeln kannst du das in kombination mit folgenden scores:

@helo_from_mx_eq_ip_score = (1.5, -3.1);

'ix.dnsbl.manitu.net', 4.35, 0, 'IX_MANITU'


und evtl., den term "IN_IX_MANITU=" mit in $DEFER_STRING eintragen, welches zur Folge hat,
dass der client, sollte der overall-score unter $DEFER_LEVEL (default: 5) bleiben, nur mit
einem 45x abgelehnt wird.

Obiges gilt nur, wenn du 0.1.14.17 einsetzt.

Zusammenfassend: der client scheint nicht zuverlaessig verantwortlich fuer den sender
zu sein und war auf mind. 1 blacklist (zum Vergleich: t-dialins die mit helo
123.t-dialin.de als korrektem helo unter "foo at t-com.de" spam senden und dabei erwischt wurden).


> Jul 15 11:12:13 mailin2 postfix/policyd-weight[92267]: weighted check: 
> NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 IN_IX_MANITU=4.35 
> CL_IP_EQ_HELO_IP=-2 (check from: .zahav. - helo: .mtaout2.012. - helo-domain: .012.) 
> FROM/MX_MATCHES_NOT_HELO(DOMAIN)=2.087 CLIENT_NOT_MX/A_FROM_DOMAIN=5.85 
> CLIENT/24_NOT_MX/A_FROM_DOMAIN=5.85; <client=84.95.2.4> <helo=mtaout2.012.net.il> 
> <from=polaros at zahav.net.il> <to=hrudolph at kvg-gmbh.de>; rate: 11.637
> 
> Ich vermute das der policyd-weight mit der israelischen Domainstruktur durcheinander kommt, 
> da dort auch die Möglichkeit besteht Domains unter einer Subdomain zu registrieren.
> (z.B. .co.il und .org.il) http://www.isoc.org.il/domains/

Nein.


-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany

Mehr Informationen über die Mailingliste Postfixbuch-users