amavis + spamassassine "probleme" mit Erkennungsrate

Claas Goltz claas.goltz at contact-software.com
Di Okt 18 15:04:53 CEST 2016


Hallo!
Ich nutze Amavis in Verbdinung mit Spamassasine und ClamAV. Also ein 
klassiches Setup.
Es wird auch spam erkannt aber ich bin der Meinung, das es noch nicht 
gut genug ist. Mein Tag Level habe ich auch schon auf 3.7 gestellt, was 
ja eigentlich schon SEHR aggresiv sein sollte, oder?
Nun kommen noch viele Mails rein, die für uns Menschen ganz klarer Spam 
sind (CASINO Gewinne, Erotik usw.) aber nur um die 1-2 Points bekommen.

Ich lasse stündlich die SA Updates via:
/usr/bin/sa-update --nogpg --channel spamassassin.heinlein-support.de -v 
&>/dev/null
Einspielen. Wenn ich amavis im debug mode starte, sehe ich auch, dass 
diese Regeln wohl geladen werden:

(...)
amavis[7190]: SA dbg: config: fixed relative path: 
/var/lib/spamassassin/3.004000/spamassassin_heinlein-support_de/20_blatspammer.cf
amavis[7190]: SA dbg: config: using 
"/var/lib/spamassassin/3.004000/spamassassin_heinlein-support_de/20_blatspammer.cf" 
for included file
amavis[7190]: SA dbg: config: read file 
/var/lib/spamassassin/3.004000/spamassassin_heinlein-support_de/20_blatspammer.cf
amavis[7190]: SA dbg: config: fixed relative path: 
/var/lib/spamassassin/3.004000/spamassassin_heinlein-support_de/70_HS_body.cf
amavis[7190]: SA dbg: config: using 
"/var/lib/spamassassin/3.004000/spamassassin_heinlein-support_de/70_HS_body.cf" 
for included file
(...)

Ein Typischer E-Mail Header sieht nun so aus:

X-Spam-Flag: YES
X-Spam-Score: 5.219
X-Spam-Level: *****
X-Spam-Status: Yes, score=5.219 tagged_above=-999 required=3.7
     tests=[DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
     HEADER_FROM_DIFFERENT_DOMAINS=0.001, HTML_MESSAGE=0.001,
     MIME_HTML_ONLY=1.105, RAZOR2_CF_RANGE_51_100=0.365,
     RAZOR2_CF_RANGE_E8_51_100=2.43, RAZOR2_CHECK=1.729,
     RCVD_IN_DNSWL_NONE=-0.0001, RP_MATCHES_RCVD=-0.31,
     SPF_HELO_PASS=-0.001, SPF_PASS=-0.001] autolearn=no autolearn_force=no

Oder eine Mail die für uns Menschen offensichtlicher Spam ist:

X-Spam-Flag: NO
X-Spam-Score: 1.106
X-Spam-Level: *
X-Spam-Status: No, score=1.106 tagged_above=-999 required=3.7
     tests=[DKIM_SIGNED=0.1, DKIM_VALID=-0.1,
     HEADER_FROM_DIFFERENT_DOMAINS=0.001, HTML_MESSAGE=0.001,
     MIME_HTML_ONLY=1.105, RCVD_IN_DNSWL_NONE=-0.0001, SPF_PASS=-0.001]
     autolearn=no autolearn_force=no

Meint ihr, da Fehlt was? Ich hätte jetzt gedacht, da würden auch die 
HS_* Filter mit auftauchen.
Natürlich landen teilweise auch Mails mit über 10 Punkten in meiner 
Quarantäne. Aber auch da glaube ich, dass die Heinlein Regeln nicht ziehen:

Content analysis details:(10.7 points, 3.7 required)

pts rule namedescription

---- ---------------------- 
--------------------------------------------------

-0.0 RCVD_IN_MSPIKE_H3RBL: Good reputation (+3)

[85.25.203.149 listed in wl.mailspike.net]

2.7 RCVD_IN_PSBLRBL: Received via a relay in PSBL

[85.25.203.149 listed in psbl.surriel.com]

-0.0 SPF_HELO_PASSSPF: HELO matches SPF record

1.6 RCVD_IN_BRBL_LASTEXTRBL: No description available.

[85.25.203.149 listed in bb.barracudacentral.org]

1.9 URIBL_ABUSE_SURBLContains an URL listed in the ABUSE SURBL blocklist

[URIs: newdealeuropa.com]

0.8 HTML_IMAGE_RATIO_02BODY: HTML has a low ratio of text to image area

0.0 HTML_MESSAGEBODY: HTML included in message

0.1 DKIM_SIGNEDMessage has a DKIM or DK signature, not necessarily valid

-0.1 DKIM_VALID_AUMessage has a valid DKIM or DK signature from author's

domain

-0.1 DKIM_VALIDMessage has at least one valid DKIM or DK signature

2.0 PYZOR_CHECKListed in Pyzor (http://pyzor.sf.net/)

1.7 URIBL_BLACKContains an URL listed in the URIBL blacklist

[URIs: newdealeuropa.com]

-0.0 RCVD_IN_MSPIKE_WLMailspike good senders

#########
Meine 50-user.conf:
$max_servers = 5;
$inet_socket_port = [10024,10025];
$forward_method = 'smtp:[127.0.0.1]:10035';
$notify_method  = 'smtp:[127.0.0.1]:10035';
$interface_policy{'10025'} = 'SUBMISSION';
$policy_bank{'SUBMISSION'} = {
         originating => 1,
         # 7-bit Kodierung erzwingen, damit ein späteres Kodieren die 
DKIM-Signatur nicht zerstört
         smtpd_discard_ehlo_keywords => ['8BITMIME'],
         # Viren auch von auth. Sendern ablehnen
         final_virus_destiny => D_REJECT, #D_REJECT
         final_bad_header_destiny => D_PASS,
         final_spam_destiny => D_PASS,
         terminate_dsn_on_notify_success => 0,
         warnbadhsender => 1,
};
$myhostname = "MAILSERVER";
$virus_admin = "postmaster\@$mydomain";
$spam_admin = "postmaster\@$mydomain";
$banned_quarantine_to = "postmaster\@$mydomain";
$virus_quarantine_to = "virus-quarantine";
$banned_quarantine_to = 'banned-quarantine';
@bypass_virus_checks_maps = (
    \%bypass_virus_checks, \@bypass_virus_checks_acl, 
\$bypass_virus_checks_re);
@bypass_spam_checks_maps = (
    \%bypass_spam_checks, \@bypass_spam_checks_acl, 
\$bypass_spam_checks_re);
$sa_spam_subject_tag = '*****SPAM*****';
$warnvirusrecip   = 1;
$warnbannedrecip  = 1;
$sa_tag_level_deflt  = -999.0;  # add spam info headers if at, or above 
that level
$sa_tag2_level_deflt = 3.7;  # add 'spam detected' headers at that level
$sa_kill_level_deflt = 9.0;  # triggers spam evasive actions (e.g. 
blocks mail)
$log_level = 1;
$sa_debug = 0;
$DO_SYSLOG = 1; # log via syslogd (preferred)
$SYSLOG_LEVEL = 'mail.debug';
$hdrfrom_notify_sender = "postmaster\@$mydomain";
read_hash(\%whitelist_sender, '/etc/amavis/conf.d/whitelist.txt');
########
spamassassine local.cf

rewrite_header Subject *****SPAM*****
  required_score 3.7
  use_bayes 1
  bayes_auto_learn 1
ifplugin Mail::SpamAssassin::Plugin::Shortcircuit
use_pyzor 1
pyzor_path /usr/bin/pyzor
pyzor_timeout 20
endif # Mail::SpamAssassin::Plugin::Shortcircuit

#####

Danke für eure Zeit und Hilfe!

Claas Goltz

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20161018/28f59a5d/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users