[Postfixbuch-users] Hilfe Botnet.pm blockt meine ausgehenden Mails

Matthias Haegele mhaegele at linuxrocks.dyndns.org
Mo Sep 15 10:31:17 CEST 2008 

Christian Roessner schrieb:
> Hallo,
> 
> irgendwie habe ich im Moment ein leichtes False-Positive-Problem mit
> meinem Setup. Ich hatte in Peer's Buch gelesen, dass es nicht wirklich
> gut ist, mit sa-lern herumzuexperimentieren. Daher hatte ich dann die
> Bayes-DB gelöscht und beschlossen, davon die Finger wegzulassen :-) (Ich
> habe es einfach vorher nicht besser gewusst).

suboptimal ;-).
Warum soll sa-learn nicht gut sein, eine gut trainierte Bayes-DB bringt 
imho schon was.
Man sollte halt einigermassen sicherstellen dass nicht spam als ham 
trainiert wird und umgekehrt,
eine falsch trainierte Message kann man aber einfach durch neues 
Trainieren korrigieren.
Wo ist das Problem?

Hattest du denn BAYES_XX Werte die total daneben lagen?.

> Nun habe ich folgendes Problem:
> 
> Schaut mal bitte hier:
> 
> ==========
> Inhaltsanalyse im Detail:   (6.4 Punkte, 5.0 benötigt)
> 
> Pkte Regelname              Beschreibung
> ---- ----------------------
> --------------------------------------------------
>  3.6 TVD_SPACED_SUBJECT_WORD3 TVD_SPACED_SUBJECT_WORD3

Woher kommt das, mit welcher Regel?
Hast du diese FPs bei allen Mails?

>  5.0 BOTNET                 Relay might be a spambot or virusbot
> [botnet0.8,ip=81.210.147.217,rdns=ip-81-210-147-217.hsi.iesy.net,maildomain=roessner-net.com,client,ipinhostname,clientwords]
>  0.1 RDNS_DYNAMIC           Delivered to trusted network by host with
>                             dynamic-looking rDNS
> -2.3 AWL                    AWL: From: address is in the auto white-list

Du hättest ohne das TVD_ ... immer noch "nur" einen Score von 2.8 wenn 
das AWL immer zuschlägt ...

[...]

> Könnte ich hier nicht auch irgendwie das Modul wieder entladen? Oder
> geht so etwas nicht zur Laufzeit.

Hmm. afaik nicht?

> Und dann nochmal eine weitergehende Frage: Ich verwende diverse Regeln
> vom Spamassassin-Rules-Emporium. Ich könnte mich schlagen (lassen), weil
> ich mal wieder aus einem sch*** Howto einfach Regeln kopiert habe.
> Vielleicht sind nicht alle schlecht. Könntet ihr mal euren wirklich
> professionellen Tipp dazu abgeben?

Ich sag mal trotzdem was ;-).

> cat /etc/spamassassin/sa-update.d/sare.txt
> updates.spamassassin.org
> 70_sare_stocks.cf.sare.sa-update.dostech.net
> 70_sare_adult.cf.sare.sa-update.dostech.net
> 70_sare_spoof.cf.sare.sa-update.dostech.net
> 70_sare_bayes_poison_nxm.cf.sare.sa-update.dostech.net
> 70_sare_genlsubj_x30.cf.sare.sa-update.dostech.net
> 70_sare_oem.cf.sare.sa-update.dostech.net
> 70_sare_random.cf.sare.sa-update.dostech.net
> 70_sare_specific.cf.sare.sa-update.dostech.net
> 70_zmi_german.cf.zmi.sa-update.dostech.net
> 88_FVGT_Bayes_Poison.cf.sare.sa-update.dostech.net
> 88_FVGT_Tripwire.cf.sare.sa-update.dostech.net
> 88_FVGT_rawbody.cf.sare.sa-update.dostech.net
> 88_FVGT_subject.cf.sare.sa-update.dostech.net
> chickenpox.cf.sare.sa-update.dostech.net
> 
> Ist das _überhaupt_ sinnvoll?

Du aktualisierst das über sa-update, gut.
Einige der sare rules sind outdated, bzw. schlagen bei "deutschen Mails" 
bzw. bestimmten Mailclients fälschlicherweise an,
  welche das in deinem Fall sind kann ich allerdings auch nicht sagen. 
Nimm mal eine Mail her und jage sie durch, dann solltest du sehen was 
fälschlicherweise anschlägt, dann könntest du die Regel evtl. 
rausnehmen, oder den Score runtersetzen ...

spamassassin -D < /pfad/zur/mail
(den richtigen user beachten)

> Ansonsten ist mein Setup nicht verspielt. Fast alles Defaults (habe ich
> ja jetzt gelernt). Auch die Kill-Level und co sind Defaults von 6.31.
> 
> Ich würde mich über konstruktive Hilfe wirklich äußerst freuen.
> 
> Schon mal ganz herzlichen Dank

-- 
Gruesse/Greetings
MH


Dont send mail to: ubecatcher at linuxrocks.dyndns.org
--

Mehr Informationen über die Mailingliste Postfixbuch-users