[Postfixbuch-users] Amavisd-new und Spam beim Versenden über SASL

Michael Köhler postfixbuch-users at makomi.de
Fr Apr 1 15:33:51 CEST 2011


Hallo,

beim Aufsetzen eines neuen Servers (Debian Squeeze, Postfix 2.8.1, Dovecot 2.0.11, amavisd-new 2.6.4, Postfixadmin 2.4svn) auf einem Root-Server habe ich Postfix so konfiguriert, dass die Users sich zum Versenden per SASL authentifizieren. Das klappt auch wunderbar. Nun habe ich aber das Problem, das amavisd-new mir teilweise Mails als Spam rausfiltern und das auch bei Emails, die an Domains gehen, für die der Server verantwortlich ist. Hier mal den Log-Auszug einer Beispielmail:

Apr  1 14:33:37 mailserver postfix/smtpd[16397]: connect from 177-22-101-113-dynip.superkabel.de[177.22.101.113]
Apr  1 14:33:37 mailserver postfix/smtpd[16397]: setting up TLS connection from 177-22-101-113-dynip.superkabel.de[177.22.101.113]
Apr  1 14:33:37 mailserver postfix/smtpd[16397]: Anonymous TLS connection established from 177-22-101-113-dynip.superkabel.de[177.22.101.113]: TLSv1 with cipher AES128-SHA (128/128 bits)
Apr  1 14:33:37 mailserver postfix/smtpd[16397]: NOQUEUE: client=177-22-101-113-dynip.superkabel.de[177.22.101.113], sasl_method=CRAM-MD5, sasl_username=USER1 at DOMAIN-2
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) ESMTP::10024 /var/lib/amavis/tmp/amavis-20110401T120433-08140: <USER1 at DOMAIN-2> -> <USER4 at DOMAIN-3>,<USER3 at DOMAIN-3> Received: from mailserver.DOMAIN-1 ([127.0.0.1]) by localhost (mailserver.DOMAIN-1 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP; Fri,  1 Apr 2011 14:33:38 +0200 (CEST)
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) Checking: 3KuvBldLOlsW [177.22.101.113] <USER1 at DOMAIN-2> -> <USER4 at DOMAIN-3>,<USER3 at DOMAIN-3>,<USER2 at DOMAIN-2>,<USER5 at DOMAIN-4>,<USER6 at DOMAIN-4>
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) p001 1 Content-Type: text/plain, size: 621 B, name: 
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) local delivery: <USER1 at DOMAIN-2> -> spam-quarantine, mbx=/var/lib/amavis/virusmails/3/spam-3KuvBldLOlsW.gz
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) SPAM, <USER1 at DOMAIN-2> -> <USER4 at DOMAIN-3>,<USER3 at DOMAIN-3>,<USER2 at DOMAIN-2>,<USER5 at DOMAIN-4>,<USER6 at DOMAIN-4>, Yes, score=11.182 tag=-999 tag2=6.31 kill=6.31 tests=[AXB_HELO_HOME_UN=2.31, HELO_LH_HOME=2.023, RCVD_IN_BRBL_LASTEXT=1.644, RCVD_IN_PBL=3.558, RCVD_IN_RP_RNBL=1.284, RDNS_DYNAMIC=0.363] autolearn=no, quarantine 3KuvBldLOlsW (spam-quarantine,spam-quarantine,spam-quarantine,spam-quarantine,spam-quarantine)
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) Blocked SPAM, [177.22.101.113] [177.22.101.113] <USER1 at DOMAIN-2> -> <USER4 at DOMAIN-3>,<USER3 at DOMAIN-3>,<USER2 at DOMAIN-2>,<USER5 at DOMAIN-4>,<USER6 at DOMAIN-4>, quarantine: 3/spam-3KuvBldLOlsW.gz, Message-ID: <39D46799-EAF7-4328-8007-08198755038F at DOMAIN-2>, mail_id: 3KuvBldLOlsW, Hits: 11.182, size: 1659, 256 ms
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) TIMING-SA total 199 ms - parse: 1.45 (0.7%), extract_message_metadata: 2 (1.1%), get_uri_detail_list: 0.54 (0.3%), tests_pri_-1000: 4 (1.8%), tests_pri_-950: 0.87 (0.4%), tests_pri_-900: 0.95 (0.5%), tests_pri_-400: 0.75 (0.4%), tests_pri_0: 98 (49.2%), check_dkim_adsp: 8 (3.8%), check_spf: 42 (21.4%), poll_dns_idle: 111 (55.8%), check_pyzor: 0.15 (0.1%), tests_pri_500: 76 (38.4%), get_report: 1.19 (0.6%)
Apr  1 14:33:38 mailserver postfix/smtpd[16397]: proxy-accept: END-OF-MESSAGE: 250 2.7.0 Ok, discarded, id=08140-14 - SPAM; from=<USER1 at DOMAIN-2> to=<USER4 at DOMAIN-3> proto=ESMTP helo=<pc.lan>
Apr  1 14:33:38 mailserver amavis[8140]: (08140-14) TIMING [total 258 ms] - SMTP greeting: 1 (0%)0, SMTP EHLO: 0 (0%)1, SMTP pre-MAIL: 0 (0%)1, SMTP pre-DATA-flush: 2 (1%)1, SMTP DATA: 0 (0%)2, check_init: 0 (0%)2, digest_hdr: 1 (0%)2, digest_body_dkim: 0 (0%)2, gen_mail_id: 1 (0%)2, mime_decode: 5 (2%)4, get-file-type1: 24 (9%)13, parts_decode: 0 (0%)14, check_header: 2 (1%)14, AV-scan-1: 2 (1%)15, spam-wb-list: 2 (1%)16, SA parse: 3 (1%)17, SA check: 195 (75%)92, update_cache: 4 (1%)94, decide_mail_destiny: 2 (1%)95, notif-quar: 2 (1%)95, stat-mbx: 2 (1%)96, open-mbx: 2 (1%)97, write-header: 1 (0%)97, save-to-local-mailbox: 0 (0%)97, prepare-dsn: 1 (0%)98, main_log_entry: 4 (2%)99, update_snmp: 1 (1%)100, SMTP pre-response: 0 (0%)100, SMTP response: 0 (0%)100, unlink-1-files: 0 (0%)100, rundown: 0 (0%)100
Apr  1 14:34:38 mailserver postfix/smtpd[16397]: disconnect from 177-22-101-113-dynip.superkabel.de[177.22.101.113]

Was ich anhand des Logfiles verstehe bzw. gerade noch so akzeptiere ist:

helo=<pc.lan> führt zu AXB_HELO_HOME_UN=2.31 und HELO_LH_HOME=2.023

Was ich nicht verstehen ist: 

RCVD_IN_BRBL_LASTEXT=1.644, RCVD_IN_PBL=3.558, RCVD_IN_RP_RNBL=1.284

besonders RCVD_IN_PBL=3.558 sollte ja nur so hoch sein, wenn 

"The Spamhaus PBL is a DNSBL database of end-user IP address ranges which should not be delivering unauthenticated SMTP email to any Internet mail server except those provided for specifically by an ISP for that customer's use. The PBL helps networks enforce their Acceptable Use Policy for dynamic and non-MTA customer IP ranges."

Nun kommen die User aber nicht unauthentifiziert sondern über SASL rein.

Wie kann ich amavisd-new dazu bewegen SASL-User als authorisiert anzusehen? Zur Zeit helfe ich mir mit @whitelist_sender_maps. Aber das kann ja nicht die Lösung sein, besonders weil ich hier meine Domains direkt eintragen muss, währenddessen alles andere über Dovecot bzw. die MySQL-DB von postfixadmin läuft.

Mein Konfiguration von amavisd-new sieht vom Standard abweichend so aus:

$sa_spam_subject_tag = '***SPAM*** ';
$sa_tag_level_deflt  = -999.0;
$sa_dsn_cutoff_level = 10;
@local_domains_acl = ( "." );
$final_banned_destiny     = D_PASS;
$final_spam_destiny       = D_DISCARD;
@mynetworks = qw( 127.0.0.0/8 );

Kann mir bitte jemand den entscheidenden Tipp geben? Ich denke ja nicht, das ich der Erste bin, der solch eine Konfiguration hat.

Gruß,
Michael




Mehr Informationen über die Mailingliste Postfixbuch-users