Trotz Spam Assassin viele SPAMS

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Sigix, 21. Okt. 2010.

  1. Sigix

    Sigix Member

    Hallo,

    brauche eure Hilfe:

    Ich habe ISPConfig 3.0.3 auf meinem Server laufen und bekomme sehr viele SPAM-Mails in meine Inbox!

    Habe für alle Email-Boxen den Spamfilter auf Normal eingestellt!

    Habe auch schon bei der Richtline ("Normal") das tag2 level auf 5.9 gestellt!

    Was kann ich noch machen damit nicht soviel rein kommen???

    Im Mail-Protokoll werden zwar einige gefiltert aber das scheint zu wenig zu sein!

    Bitte um eure Hilfe!

    Danke im Voraus!
     
  2. Till

    Till Administrator

    Schau in den mail header, dort steht drin welche Regeln bei der Email gegriffen haben und poste das hier.

    den spam tag 2 level kannst Du auch weiter runter setzen, ich nehme dort zur zeit:

    3.501

    (muss ein Punkt und kein Komma sein).
     
  3. Sigix

    Sigix Member

    Hallo Till,

    Anbei die Mail-Headers:
    Mail1:

    Return-Path: <PetraautonomyDawkins@sofitel.com>
    Delivered-To: bla@bla.at
    Received: from localhost (localhost [127.0.0.1])
    by mail1.mailserver.com(Postfix) with ESMTP id 0453F1DC089
    for <bla@bla.at>; Thu, 21 Oct 2010 13:08:17 +0200 (CEST)
    X-Virus-Scanned: Debian amavisd-new at mail1.mailserver.com
    X-Spam-Flag: NO
    X-Spam-Score: 3.858
    X-Spam-Level: ***
    X-Spam-Status: No, score=3.858 tagged_above=3 required=5.9
    tests=[BAYES_50=0.001, HTML_MESSAGE=0.001, RCVD_IN_PBL=0.905,
    RCVD_IN_SORBS_DUL=0.877, RDNS_NONE=0.1, URIBL_SC_SURBL=0.474,
    URIBL_WS_SURBL=1.5]
    Received: from mail1.mailserver.com([127.0.0.1])
    by localhost (mail1.mailserver.com[127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id RqFJmuMCCrOH for <bla@bla.at>;
    Thu, 21 Oct 2010 13:08:11 +0200 (CEST)
    Received: from microsofvlm1b0 (unknown [122.161.19.138])
    by mail1.sx-it.com (Postfix) with SMTP id F0B171DC05C
    for <bla@bla.at>; Thu, 21 Oct 2010 13:08:09 +0200 (CEST)
    Received: (qmail 0281 by uid 281); Thu, 21 Oct 2010 16:34:58 -0530
    From: "Petra Stern" <PetraautonomyDawkins@sofitel.com>
    To: <bla@bla.at>
    Subject: Registrieren Sie sich noch heute und erleben Sie die beste Unterhaltung.
    Date: Thu, 21 Oct 2010 16:31:24 -0530
    Message-ID: <006001cb713e$494e2440$dbea6cc0$@com>
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_005F_01CB713E.494E2440"
    X-Mailer: Microsoft Office Outlook 12.0
    Thread-Index: Acjg7Gut6f85oVKJTv4Mvs0Y2hIbhA==
    Content-Language: en-us


    Mail2:
    Return-Path: <codify@drcaplanis.com>
    Delivered-To: bla@bla.at
    Received: from localhost (localhost [127.0.0.1])
    by mail1.mailserver.com(Postfix) with ESMTP id A334F1DC087
    for <bla@bla.at>; Thu, 21 Oct 2010 12:45:46 +0200 (CEST)
    X-Virus-Scanned: Debian amavisd-new at mail1.mailserver.com
    X-Spam-Flag: NO
    X-Spam-Score: 4.04
    X-Spam-Level: ****
    X-Spam-Status: No, score=4.04 tagged_above=3 required=5.9
    tests=[BAYES_50=0.001, DYN_RDNS_AND_INLINE_IMAGE=0.001,
    RCVD_IN_PBL=0.905, RCVD_IN_XBL=3.033, RDNS_DYNAMIC=0.1]
    Received: from mail1.mailserver.com([127.0.0.1])
    by localhost (mail1.mailserver.com[127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id yfNEk90tc2bL for <bla@bla.at>;
    Thu, 21 Oct 2010 12:45:38 +0200 (CEST)
    Received: from dkxd.user.ono.com (84.123.175.52.dyn.user.ono.com [84.123.175.52])


    Mail3:

    Return-Path: <ElenaraindropHutchison@creativecommons.org>
    Delivered-To: bla@bla.at
    Received: from localhost (localhost [127.0.0.1])
    by mail1.mailserver.com(Postfix) with ESMTP id A0FFC1DC087
    for <bla@bla.at>; Thu, 21 Oct 2010 10:46:05 +0200 (CEST)
    X-Virus-Scanned: Debian amavisd-new at mail1.mailserver.com
    X-Spam-Flag: NO
    X-Spam-Score: 5.853
    X-Spam-Level: *****
    X-Spam-Status: No, score=5.853 tagged_above=3 required=5.9
    tests=[BAYES_20=-0.74, HTML_MESSAGE=0.001,
    RCVD_IN_BL_SPAMCOP_NET=1.96, RCVD_IN_XBL=3.033, RDNS_NONE=0.1,
    URIBL_SBL=1.499]
    Received: from mail1.mailserver.com([127.0.0.1])
    by localhost (mail1.mailserver.com[127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id XMzfx3RqV00e for <bla@bla.at>;
    Thu, 21 Oct 2010 10:46:01 +0200 (CEST)
    Received: from nbaziendale (unknown [217.221.32.105])
    by mail1.mailserver.com(Postfix) with SMTP id DD32C1DC05C
    for <bla@bla.at>; Thu, 21 Oct 2010 10:46:00 +0200 (CEST)
    Received: (qmail 1662 by uid 662); Thu, 21 Oct 2010 10:43:41 -0100
    From: "Elena Waddell" <ElenaraindropHutchison@creativecommons.org>
    To: <bla@bla.at>
    Subject: Risiko freies Casino erleben mit gratis Geld fr Sie
    Date: Thu, 21 Oct 2010 09:44:04 -0100



    Was soll ich einstellen???
    Bzw. was ist wenn ich das Kill-Level ein wenig herunter setze, dann könnten echte also ham-Mails auch gekillt werden oder?

    Danke für deine Antwort!
     
    Zuletzt bearbeitet: 21. Okt. 2010
  4. Till

    Till Administrator

    Setz den spam level auf 3.501 und den Kill Level auf 10 oder 15. Du kannst den Kill-Level auch weiter runter setzen, aber dann kann doch eher mal eine nicht spam mail gelöscht werden.

    P.s. Editier mal Deinen post oben und erstetze die Emailadressen mit fakes a la ich@domain.tld. Du willst ja nicht noch mehr spam haben und die robots der spammer scannen gerne mal Foren nach Emailadressen :)
     
  5. Sigix

    Sigix Member

    Hallo Till,

    danke für deine Nachricht habe jetzt wie folgt abgeändert:
    SPAM tag: 3
    SPAM tag2: 3.501
    SPAM kill: 6.9
    SPAM dsn cutoff: 0
    SPAM quarantine cutoff: 0

    Ist das so korrekt??

    PS.: Danke für den Hinweis, hab schon alle emailadressen geändert!
     
  6. Till

    Till Administrator

    Das ist eine individuele Einstellung, also ein korrekt oder nicht gibt es da nicht wirklich. Schau einfach mal, ob es so gut für Dich funktioniert. Mir persönlich wäre der Kill-Level zu niedrig. Das hängt aber auch davon ab von wem man emails bekommt und wie hoch der normale spam-level bei diesen nicht spam mails im Normalfall ist.
     
  7. Sigix

    Sigix Member

    Alles klar,...danke ich werde das mal so lassen und meine SPAMs regelmäßig kontrollieren!

    Danke!
     
  8. Sigix

    Sigix Member

    Hallo Till,

    ich habe jetzt einige Zeit folgende SPAMfilter Richtlinie getestet:

    Richtlinie:
    Richtlinienname - Normal
    Virus Liebhaber - No
    SPAM Liebhaber - No
    Banned Files Liebhaber - No
    Bad Header Liebhaber - No
    Umgehe Virus Überprüfungen - No
    Umgehe Banned Überprüfungen - No
    Umgehe Header Überprüfungen - No

    Tag-Level:
    SPAM tag Level - 3 SPAM tag2 Level - 3.501
    SPAM kill Level - 6.9
    SPAM dsn cutoff Level - 0
    SPAM quarantine cutoff Level - 0
    SPAM ändert Betreff - Yes
    SPAM Betreff Markierung tag - leer
    SPAM Betreff Markierung tag2 - leer


    Trotzdem kommen noch immer SPAMS durch (ca. 10-20 am Tag)

    hier der Header von einer SPAM-Nachricht:

    Return-Path: <promo@m.pixmania-pro.com>
    Delivered-To: meine@email.adresse
    Received: from localhost (localhost [127.0.0.1])
    by mail.server.com (Postfix) with ESMTP id 5865F1DC087
    for <meine@email.adresse>; Tue, 2 Nov 2010 13:15:18 +0100 (CET)
    X-Virus-Scanned: Debian amavisd-new at mail.server.com
    Received: from mail.server.com ([127.0.0.1])
    by localhost (mail.server.com [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id mhv0JOveIzwu for <meine@email.adresse>;
    Tue, 2 Nov 2010 13:15:13 +0100 (CET)
    Received: from 28.mout.e-merchant.com (28.mout.e-merchant.com [77.75.49.72])
    by mail.server.com (Postfix) with ESMTP id 02BFB1DC05C
    for <meine@email.adresse>; Tue, 2 Nov 2010 13:15:12 +0100 (CET)
    DomainKey-Signature: s=mailerstd; d=m.pixmania-pro.com; c=nofws; q=dns;
    h=Message-Id:To:Subject:From:Content-Transfer-Encoding:
    MIME-Version:Content-Type:Reply-To:Return-Path:Errors-To:
    X-Priority:X-Mailer:Date;
    b=VG1nBi3qh8pWxw2r6QCjOdx+65qWFFlqLaQ4sJwr0cvurgs+YBA8srO9
    WkEyKomp1E1V4p0vQZxQUMIH1XCvJyWhBDzWP6oC6nJzFBDihsSv3TA+q
    Xi3WKqYk5jWt74s;
    DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple;
    d=m.pixmania-pro.com; i=promo@m.pixmania-pro.com;
    q=dns/txt; s=mailerstd; t=1288700112; x=1320236112;
    h=to:subject:from:content-transfer-encoding:mime-version:
    content-type:reply-to:errors-to:x-priority:x-mailer:date:
    message-id;
    z=To:=20meine@email.adresse|Subject:=20Black=20&=20White-Selec
    tion=20schon=20ab=2058=20Euro|From:=20PIXmania-PRO.com=20
    <promo@m.pixmania-pro.com>|Content-Transfer-Encoding:=20b
    inary|MIME-Version:=201.0|Content-Type:=20multipart/alter
    native=3B=20boundary=3D"-----=3DXU8L7aTj49fz6SnVB"
    |Reply-To:=20promo@m.pixmania-pro.com|Errors-To:=20<promo
    @m.pixmania-pro.com>|X-Priority:=203|X-Mailer:=20FotoVist
    a|Date:=20Tue,=202=20Nov=202010=2013:15:12=20+0100
    |Message-Id:=20<8ut323$1kiibh@mailerstd.fotovista.com>;
    bh=7XU8o76KHTMgBL0h5elSGxo+cZpvVuM6zqgQE4p//Hk=;
    b=jaFhdVr9LQMq5Cvea3JKDrvUHmHgRxcWkxvjgNkm8b6IU+M7ZcYcsPW9
    Fl0fvKwUpjYMboEZgJxDL5x8HdGhMoRTYWZ3o9TE4PTU+9z6gBI/9g36F
    ZKhzabGm7ZOlIF/;
    Message-Id: <8ut323$1kiibh@mailerstd.fotovista.com>
    To: meine@email.adresse
    Subject: Black & White-Selection schon ab 58 Euro
    From: PIXmania-PRO.com <promo@m.pixmania-pro.com>
    Content-Transfer-Encoding: binary
    MIME-Version: 1.0
    Content-Type: multipart/alternative; boundary="-----=XU8L7aTj49fz6SnVB"
    Reply-To: promo@m.pixmania-pro.com
    Errors-To: <promo@m.pixmania-pro.com>
    X-Priority: 3
    X-Mailer: FotoVista
    Date: Tue, 2 Nov 2010 13:15:12 +0100
    --------------------------------

    Wird diese Mail überhaupt auf SPAM geprüft, von meinem Mailserver??
    (am Client wird diese Mail mit ESET geprüft!)

    Bei den anderen Mail-Headern (welche im SPAM-Folder landen) steht folgendes:
    --------------
    X-Virus-Scanned: Debian amavisd-new at mail1.sx-it.com
    X-Spam-Flag: YES
    X-Spam-Score: 6.543
    X-Spam-Level: ******
    X-Spam-Status: Yes, score=6.543 tagged_above=3 required=3.501
    tests=[BAYES_99=3.5, HTML_MESSAGE=0.001, RCVD_IN_PBL=0.905,
    RDNS_NONE=0.1, SPF_NEUTRAL=0.686, TVD_RCVD_SINGLE=1.351]
    ---------------


    Wie kann ich da vorgehen damit diese Mails von meinem Mailserver auch auf SPAM geprüft werden?

    Danke,....
     
  9. Till

    Till Administrator

    Ja, sie wurde auch geprüft, aber halt asl nicht spam klassifiziert. Du kannst mal den tag level auf -100 einstellen (nicht mit dem tag2 level verwechseln). Der taglevel ist der score, ab dem er das filterergebnis in den header schreibt.

    Außerdem kannst Du mal den spamassassin mittels:

    sa-update

    aktualisieren und dann amavisd neu starten.
     
  10. Sigix

    Sigix Member

    Alles klar, den Tag-level wo derzeit 3 steht auf - Meinst du "100" oder "-100" ??? setzen!!

    sa-update werde ich einfügen als crontab und täglich laufen lassen!
     
  11. Sigix

    Sigix Member

    aja was ich vergessen habe,...
    gibt es eine Möglichkeit einen Monatlichen SPAM-Report zu erstellen?

    Also eine Liste welche SPAMS alle geblockt wurden bzw. die Anzahl der geblockten SPAMS und diese per Mail an eine EMailadresse zu senden?
     
  12. Till

    Till Administrator

    Soweit ich weiß hat amavisd keine solche Funktion.
     
  13. F4RR3LL

    F4RR3LL Member

  14. Sigix

    Sigix Member

  15. catfish

    catfish New Member

    Hi, bei mir kommt trotz täglichem sa-learn/update noch einiges an spam durch.
    90% davon von yahoo-konten mit vailden DKIM. SpamAssassin prüft die Mail garnicht weiter, wenn ein valdier DKIM bei ist.

    Hier ein Bsp.
    Code:
    Return-Path: <*@yahoo.com>
    Delivered-To: catfish
    Received: from localhost (localhost [127.0.0.1])
    	by reniced.net (Postfix) with ESMTP id 46F8F2C0BAD
    	for me
    X-Virus-Scanned: Debian amavisd-new at reniced.net
    Received: from x ([127.0.0.1])
    	by localhost (reniced.net [127.0.0.1]) (amavisd-new, port 10024)
    	with ESMTP id mjMHlEvq+zn8 for <catfish>;
    	Thu, 29 Sep 2011 22:55:15 +0200 (CEST)
    Received: from nm40-vm7.bullet.mail.ne1.yahoo.com (nm40-vm7.bullet.mail.ne1.yahoo.com [98.138.229.183])
    	by reniced.net (Postfix) with SMTP id 29CE12C0A77
    	for <catfish>; Thu, 29 Sep 2011 22:55:14 +0200 (CEST)
    Received: from [98.138.90.51] by nm40.bullet.mail.ne1.yahoo.com with NNFMP; 29 Sep 2011 20:55:13 -0000
    Received: from [98.138.89.165] by tm4.bullet.mail.ne1.yahoo.com with NNFMP; 29 Sep 2011 20:55:13 -0000
    Received: from [127.0.0.1] by omp1021.mail.ne1.yahoo.com with NNFMP; 29 Sep 2011 20:55:13 -0000
    X-Yahoo-Newman-Property: ymail-3
    X-Yahoo-Newman-Id: [email]849549.11491.bm@omp1021.mail.ne1.yahoo.com[/email]
    Received: (qmail 78712 invoked by uid 60001); 29 Sep 2011 20:55:13 -0000
    DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1317329713; bh=papDNF0tB7bCdjafrs6xxDphy6QYucVICMfBIv6BQu4=; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:MIME-Version:Content-Type:Content-Transfer-Encoding; b=pK5JEfMF1Qy/VtZngMPdOsGMt2EQbq4Yp/VKSOoRp4Nf7B6y+Th+IBYk4kJ9y+V04atkPAdfPLADuda11nVdaFPkNox47wUbx+MCQ9BfO3CnVo/hj0dbaXFVS0aq1n2hjuJdHX+5GQAElR7RYMbHIqIO2ozbyvuAQc3wgfnWdm8=
    DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;
      s=s1024; d=yahoo.com;
      h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:MIME-Version:Content-Type:Content-Transfer-Encoding;
      b=BS0BNHoreWg01fB3IZt1H5sn4jqCkn0zn3CY93iFlzRFCxNKubNfVIstEYQwLC12jGSz1qsElfSjA+obWUWtXBZcdVn590Eq4g4pC3toWj2PcJfrys3hrst/EJ3PkWen0mT8Gk2+jdDVrYQnqMedXfFLsqMGTZYOl+OO5qX7gD4=;
    X-YMail-OSG: Mdj7gpwVM1nIlXaiwfL0kh6wduIweddskv4DqOp9agoktIh
     NscyN4Tf.o4OmYVcTr2lG2fAUXhxzLXcUzKvrQupR42cVMsleeTqIicbOOLF
     sqD2zdyOChZSYRpfbuU6rzd8Kp_jQXIrPcHKNn5CxZ9UcI6kzUEEFMVCuGeO
     ssesy0PsXkIOVs7blSUErSDVGsGmIadkpZ.s9KkPP6W0q9lJRCF_X8VIhlwA
     mMeh3Guks4.yxHn6a0I8kXHjrtnJ4cl1BzIo9KvjebobNy3P7uPDjx2YvvKR
     .y4eMUPQ3Wg7Swf.8PRy4JClUBx2OCkxEvbawn4FHg3PCSNOe14prs9ywmFp
     MjfatEQqaNwFo0o60JJjoCEjEb90shc.xhQiZ5QSguSGfZeTT9c3INDr2Tii
     IqrcNTQMHgpGyx4jyC2XqSDlmvtZeLYeNk8rFN0iLzSgzUDG7HvemFatgv97
     ut0bkNSpqhPvEwxEyBvEem173KvEh40NgUjWf9KnIeBDu5Tw-
    Received: from [189.146.193.43] by web121804.mail.ne1.yahoo.com via HTTP; Thu, 29 Sep 2011 13:55:13 PDT
    X-Mailer: YahooMailWebService/0.8.114.317681
    Message-ID: <1317329713.78025.yint-ygo-j2me@web121804.mail.ne1.yahoo.com>
    Date: Thu, 29 Sep 2011 13:55:13 -0700 (PDT)
    From: Filipe Castelli <*@yahoo.com>
    Subject: amateurmaturelesbiansdildoingeachotherspussy  watch ababeb017c82fcae
    To: me, *...
    MIME-Version: 1.0
    Content-Type: text/plain; charset=iso-8859-1
    Content-Transfer-Encoding: quoted-printable
    
    Was kann ich dagegen tun?

    Thx,
    catfish
     
  16. Till

    Till Administrator

    Deswegen würde ich auch kein Dkim im Spamassassin benutzen :) Denn zur Zeit haben mehr Spammer Dkim als nicht Spammer.
     
  17. catfish

    catfish New Member

    scheint mir auch so..

    Wie bekomme ich den SA die Mails trotzdem zuprüfen?
     
  18. Till

    Till Administrator

    Mache einfach die dkim Konfiguration rückgängig, die Du beim sa eingefüpgt hast. Dann prüft SA auch wieder alle Mails.
     
  19. catfish

    catfish New Member

    Habe das DKIM Plugin in /etc/spamassassin/v312.pre deaktiviert; amavis und postfix neugestartet - leider ohne Wirkung.
     
  20. catfish

    catfish New Member

    Er filtert doch - hatte etwas übersehen...
     

Diese Seite empfehlen