SpamAssassin Rules

Michael Seevogel ms at ddnetservice.net
Mo Mai 16 21:10:18 CEST 2016 


Am 16.05.2016 um 19:39 schrieb Frank Fiene:
> Moin!
>
> Ich habe im Moment Problem mit polnischen Kunden, deren Mails als SPAM abgewiesen werden.
> Zumeist wegen FSL_HELO_BARE_IP_2=1.498, FSL_HELO_HOME=3.722 und RCVD_NUMERIC_HELO=1.164, der Rest kommt dann schnell mal zusammen.
>
> Was ich nicht verstehe: FSL_HELO_BARE_IP_2 soll ja die letzten beiden HELO Commands mit IP-Adressen erkennen. Laut RFC muss ja [] um die IP-Adresse stehen.
> Tut es aber. RCVD_NUMERIC_HELO sollte dasselbe machen, warum gibt es dann beide Regeln?
>
> Was macht FSL_HELO_HOME?

Gemäß der Datei updates_spamassassin_org/72_active.cf macht 
FSL_HELO_HOME folgendes:

header  FSL_HELO_HOME           X-Spam-Relays-External =~ 
/\bhelo=\S+\.home\b/i
Wenn die Wortkette .home im Helo vorkommt dann wird gematcht.

Dass allerdings FSL_HELO_BARE_IP_2 und RCVD_NUMERIC_HELO anschlagen, 
finde ich allerdings auch etwas merkwürdig, denn der HELO scheint ja 
laut Amavis Log ja nicht numerisch zu sein.
Da wäre vielleicht mal ein SMTP-Dialog interessant um zu sehen was da 
der andere Server überhaupt überträgt.


>
> Hier mal der Log-Eintrag:
>
> May 16 15:15:17 smtp2 amavis[1437]: (01437-19) Blocked SPAM {RejectedInbound}, [212.85.119.9]:60778 [78.10.255.129] <drewnoplastsc at drewnoplast.com.pl> -> <bsacinska at veka.com>,<zam._veka_pl at veka.com>, Message-ID: <C79A1899F000463BBCDFDF8ACD6F670C at produkcja>, mail_id: Kr-19sNdfLDo, Hits: 7.185, size: 3245, Subject: "Fw: zam\303\203\302\263wienie drewnoplast sc (raw: =?iso-8859-2?Q?Fw:_zam=F3wienie_drewnoplast_sc?=)", From: "DrewnoplastSC"_<drewnoplastsc at drewnoplast.com.pl>, X-Mailer: Microsoft_Outlook_Express_6.00.2900.5512, helo=cloudserver005851.home.net.pl, Tests: [BAYES_50=0.8,FSL_HELO_BARE_IP_2=1.498,FSL_HELO_HOME=3.722,HTML_MESSAGE=0.001,RCVD_NUMERIC_HELO=1.164], autolearn=no autolearn_force=no, autolearnscore=6.086, 1887 ms
>
> Ich vermute einen Fehler in den SA-Regeln.
>
>


Diese Rule dürfte wohl schon etwas älter sein, da die ICANN die .home 
TLD ja zur (Vor-)Registrierung freigegeben hat.
Ursprünglich dürfte die Rule dafür gedacht gewesen sein um gekaperte 
"Heim-Clients" - also solche mit .lan oder .home als TLD - zu erkennen 
und einen entsprechenden Score zu verpassen.

Allerdings muss man als Nachtrag dazu sagen, dass die .TLD hier im 
vorliegenden Fall gar nicht .home ist, sondern diese .net.pl lautet.
Die verursachende Spamassassin Rule ist einfach nur - wie Du auch 
richtig vermutest - fehlerhaft bzw nicht ganz zu Ende gedacht worden.

Daher würde ich an Deiner Stelle die Rule einfach mit einem 0er Score 
über die local.cf neutralisieren, denn wer weiß wann es mal wieder ein 
offizielles Spamassassin Rule Update geben wird...


Mit freundlichen Grüßen
Michael Seevogel

Mehr Informationen über die Mailingliste Postfixbuch-users