SpamAssassin Rules

Frank Fiene ffiene at veka.com
Di Mai 17 08:19:44 CEST 2016


Hi, danke für die Antwort!


> Am 16.05.2016 um 21:10 schrieb Michael Seevogel <ms at ddnetservice.net>:
> 
> 
> 
> Am 16.05.2016 um 19:39 schrieb Frank Fiene:
>> 
>> Was macht FSL_HELO_HOME?
> 
> Gemäß der Datei updates_spamassassin_org/72_active.cf macht FSL_HELO_HOME folgendes:
> 
> header  FSL_HELO_HOME           X-Spam-Relays-External =~ /\bhelo=\S+\.home\b/i
> Wenn die Wortkette .home im Helo vorkommt dann wird gemacht.

Ja, hatte ich auch so gefunden.


> 
> Dass allerdings FSL_HELO_BARE_IP_2 und RCVD_NUMERIC_HELO anschlagen, finde ich allerdings auch etwas merkwürdig, denn der HELO scheint ja laut Amavis Log ja nicht numerisch zu sein.
> Da wäre vielleicht mal ein SMTP-Dialog interessant um zu sehen was da der andere Server überhaupt überträgt.

Vor allem ist erst seit ein paar Tagen so.


> 
>> 
>> Hier mal der Log-Eintrag:
>> 
>> May 16 15:15:17 smtp2 amavis[1437]: (01437-19) Blocked SPAM {RejectedInbound}, [212.85.119.9]:60778 [78.10.255.129] <drewnoplastsc at drewnoplast.com.pl> -> <bsacinska at veka.com>,<zam._veka_pl at veka.com>, Message-ID: <C79A1899F000463BBCDFDF8ACD6F670C at produkcja>, mail_id: Kr-19sNdfLDo, Hits: 7.185, size: 3245, Subject: "Fw: zam\303\203\302\263wienie drewnoplast sc (raw: =?iso-8859-2?Q?Fw:_zam=F3wienie_drewnoplast_sc?=)", From: "DrewnoplastSC"_<drewnoplastsc at drewnoplast.com.pl>, X-Mailer: Microsoft_Outlook_Express_6.00.2900.5512, helo=cloudserver005851.home.net.pl, Tests: [BAYES_50=0.8,FSL_HELO_BARE_IP_2=1.498,FSL_HELO_HOME=3.722,HTML_MESSAGE=0.001,RCVD_NUMERIC_HELO=1.164], autolearn=no autolearn_force=no, autolearnscore=6.086, 1887 ms
>> 
>> Ich vermute einen Fehler in den SA-Regeln.
>> 
>> 
> 
> 
> Diese Rule dürfte wohl schon etwas älter sein, da die ICANN die .home TLD ja zur (Vor-)Registrierung freigegeben hat.
> Ursprünglich dürfte die Rule dafür gedacht gewesen sein um gekaperte "Heim-Clients" - also solche mit .lan oder .home als TLD - zu erkennen und einen entsprechenden Score zu verpassen.
> 
> Allerdings muss man als Nachtrag dazu sagen, dass die .TLD hier im vorliegenden Fall gar nicht .home ist, sondern diese .net.pl lautet.
> Die verursachende Spamassassin Rule ist einfach nur - wie Du auch richtig vermutest - fehlerhaft bzw nicht ganz zu Ende gedacht worden.
> 
> Daher würde ich an Deiner Stelle die Rule einfach mit einem 0er Score über die local.cf neutralisieren, denn wer weiß wann es mal wieder ein offizielles Spamassassin Rule Update geben wird…

Das habe ich erstmal so gemacht.

> 
> Mit freundlichen Grüßen
> Michael Seevogel
> 

Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: ffiene at veka.com
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 801 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20160517/885f2461/attachment.asc>


Mehr Informationen über die Mailingliste Postfixbuch-users