Frage zu amavis und spam score

Klaus Tachtler klaus at tachtler.net
Fr Okt 13 11:23:14 CEST 2017


Hallo Philipp,

ich habe noch etwas gefunden:

https://lists.amavis.org/pipermail/amavis-users/2012-January/001157.html


--- Auszug aus der E-Mail ---

If you are referring to X-Spam-Status, X-Spam-Level, X-Spam-Flag and
X-Spam-Score header fields, these should be there like you said: when
recipient matches @local_domains_maps and spam score is above
$sa_tag_level_deflt, or $sa_tag_level_deflt is undefined.

If you are referring to a debug log line "Spam-tag, ...", it is now logged
at log level 3 starting with 2.7.0.  Previously it was a "SPAM-TAG, ...",
logged at level 2. I suggest not to bother with this debug line.
If you need SpamAssassin test results in the log, this can be achieved
by uncommenting the line, i.e. changing:

#[? %#T ||, Tests: \[[%T|,]\]]#

into a:

[? %#T ||, Tests: \[[%T|,]\]]#

in the main log template (twice), or assigning a customized log template
to $log_templ, e.g. (in amavisd.conf):

$log_templ = <<'EOD';
[?%#D|#|Passed #
[? [:ccat|major] |#
OTHER|CLEAN|MTA-BLOCKED|OVERSIZED|BAD-HEADER-[:ccat|minor]|SPAMMY|SPAM|\
UNCHECKED|BANNED (%F)|INFECTED (%V)] {[:actions_performed]}#
, [? %p ||%p ][?%a||[?%l||LOCAL ][:client_addr_port] ][?%e||\[%e\] ]%s  
-> [%D|,]#
[? %q ||, quarantine: %q]#
[? %Q ||, Queue-ID: %Q]#
[? %m ||, Message-ID: %m]#
[? %r ||, Resent-Message-ID: %r]#
[? %i ||, mail_id: %i]#
, Hits: [:SCORE]#
, size: %z#
[? [:partition_tag] ||, pt: [:partition_tag]]#
[~[:remote_mta_smtp_response]|["^$"]||[", queued_as: "]]\
[remote_mta_smtp_response|[~%x|["queued as  
([0-9A-Za-z]+)$"]|["%1"]|["%0"]]|/]#
#, Subject: [:dquote|[:mime2utf8|[:header_field|Subject]|100|1]]#
#, From: [:uquote|[:mime2utf8|[:header_field|From]|100|1]]#
[? %#T ||, Tests: \[[%T|,]\]]#
[? [:dkim|sig_sd]    ||, dkim_sd=[:dkim|sig_sd]]#
[? [:dkim|newsig_sd] ||, dkim_new=[:dkim|newsig_sd]]#
, %y ms#
]
[?%#O|#|Blocked #
[? [:ccat|major|blocking] |#
OTHER|CLEAN|MTA-BLOCKED|OVERSIZED|BAD-HEADER-[:ccat|minor]|SPAMMY|SPAM|\
UNCHECKED|BANNED (%F)|INFECTED (%V)] {[:actions_performed]}#
, [? %p ||%p ][?%a||[?%l||LOCAL ][:client_addr_port] ][?%e||\[%e\] ]%s  
-> [%O|,]#
[? %q ||, quarantine: %q]#
[? %Q ||, Queue-ID: %Q]#
[? %m ||, Message-ID: %m]#
[? %r ||, Resent-Message-ID: %r]#
[? %i ||, mail_id: %i]#
, Hits: [:SCORE]#
, size: %z#
[? [:partition_tag] ||, pt: [:partition_tag]]#
#, Subject: [:dquote|[:mime2utf8|[:header_field|Subject]|100|1]]#
#, From: [:uquote|[:mime2utf8|[:header_field|From]|100|1]]#
[? %#T ||, Tests: \[[%T|,]\]]#
[? [:dkim|sig_sd]    ||, dkim_sd=[:dkim|sig_sd]]#
[? [:dkim|newsig_sd] ||, dkim_new=[:dkim|newsig_sd]]#
, %y ms#
]
EOD

--- Auszug aus der E-Mail ---

Grüße
Klaus.

> Hallo Klaus,
>
> das hatte ich auch, aber dann wird so viel geloggt, was mich im  
> Betrieb nicht interessiert.
> Zudem wurden bei mir bei ausgehenden Mails die Test auch bei  
> log_level = 3; nicht zuverlässig geloggt.
>
> Gruß Philipp
>
> Am 13.10.2017 um 10:44 schrieb Klaus Tachtler:
>> Hallo Peer,
>>
>> das Erhöhen des log_level wie nachfolgend
>>
>> log_level =  
>> 3;              # verbosity 0..5,  
>> -d
>>
>> ist das, was wir bei uns durchgeführt haben, um zu sehen warum die  
>> E-Mails abgelehnt wurden.
>>
>>
>> Grüße
>> Klaus.
>>
>>
>>> Hi,
>>>
>>> in diesem Fall wurde nichts abgelegt, da der Score zu hoch war.
>>>
>>> Ich habe jetzt in der amavisd.conf
>>>
>>> $log_level = 1;
>>> $log_templ = $log_verbose_templ;
>>>
>>> eingetragen und bekomme
>>>
>>> ....aus dem log
>>> Tests:  
>>> [ALL_TRUSTED=-1,BAYES_00=-6.1,RP_MATCHES_RCVD=-0.001,T_HK_NAME_DR=0.01]
>>> ---
>>>
>>> Sehe ich das richtig, das nur Tests die "irgendwie" angeschlagen  
>>> haben hier gelistet werden ?
>>>
>>> Das wäre dann in etwa was ich bräuchte ...
>>>
>>>
>>> Danke, Peer
>>>
>>> On 13.10.2017 10:19, Winfried Neessen wrote:
>>>> Hi,
>>>>
>>>> Am 13.10.2017 um 10:09 schrieb Dr. Peer-Joachim Koch  
>>>> <pkoch at bgc-jena.mpg.de>:
>>>>
>>>>> Wo kann ich das einstellen, so dass ich nach vollziehen kann,  
>>>>> was schief läuft (im Falle das es sich um eine
>>>>> erwünschte E-Mail handelt) ?
>>>>>
>>>> Wenn die Mail den $sa_quarantine_cutoff_level nicht  
>>>> ueberschreitet, wird sie im Quarantaene-Verz.
>>>> abgelegt. Im maillog siehst Du unter welchem Dateinamen AMaViSd  
>>>> die Mail abgelegt hat:
>>>>
>>>> ,---
>>>> | [...] Blocked SPAM {DiscardedInbound,Quarantined}, [...]  
>>>> quarantine: spam/y/yMt7sKxLdoUv
>>>> `---
>>>>
>>>> In der entsprechenden Mail kannst Du dann den entsprechenden  
>>>> X-Spam-Report Header analysieren:
>>>>
>>>> ,---
>>>> | X-Spam-Report:
>>>> |  *  0.5 RCVD_IN_SORBS_SPAM RBL: SORBS: sender is a spam source
>>>> |  *      [113.201.51.26 listed in  
>>>> dnsbl.sorbs.net]
>>>> |  *  1.3 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a  
>>>> relay in bl.spamcop.net
>>>> |  *      [Blocked - see  
>>>> <http://www.spamcop.net/bl.shtml?113.201.51.26>]
>>>> |  *  3.3 RCVD_IN_SBL_CSS RBL: Received via a relay in  
>>>> Spamhaus SBL-CSS
>>>> |  *      [113.201.51.26 listed in  
>>>> zen.spamhaus.org]
>>>> | [...]
>>>> `---
>>>>
>>>>
>>>> Winni
>>>
>>>
>>> -- 
>>> Mit freundlichen Grüßen,
>>>     Peer-Joachim Koch
>>> ________________________________________________________
>>>
>>> Max-Planck-Institut für Biogeochemie
>>> Dr. Peer-Joachim Koch
>>> Hans-Knöll  
>>> Str.10             
>>> Telefon: ++49 3641 57-6705
>>> D-07745  
>>> Jena                 Telefax: ++49 3641  
>>> 57-7705
>>
>>
>> ----- Ende der Nachricht von "Dr. Peer-Joachim Koch"  
>> <pkoch at bgc-jena.mpg.de> -----
>>
>>
>
> -- 
> Philipp Fäustlin
> Universität Hohenheim
> Kommunikations-, Informations- und Medienzentrum (630)
> IT-Dienste | Abt. Kommunikation, E-Learning u. Print | Mail
>
> Schloss, Westhof Süd | 70599 Stuttgart
> Tel.: +49 711 459-22838 | Fax: +49 711 459-23449
> https://kim.uni-hohenheim.de/


----- Ende der Nachricht von Philipp Faeustlin  
<philipp.faeustlin at uni-hohenheim.de> -----


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-keys
Dateigröße  : 3120 bytes
Beschreibung: Öffentlicher PGP-Schlüssel
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20171013/6afbc4d5/attachment.skr>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 3982 bytes
Beschreibung: S/MIME-Signatur
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20171013/6afbc4d5/attachment.p7s>


Mehr Informationen über die Mailingliste Postfixbuch-users