Problem mit spamassassin

[ava2k3]

hi,

ich habe mir heute spamassassin eingerichtet. Funktioniert soweit teilweise.

Ein Problem habe ich jedoch.

Er scheint nicht alle Checks (pyzor, razor etc.) auszuführen, wenn er vom postfix aus aufgerufen wird.

Ich hab das folgendermassen getestet:

die Datei "sample-spam.txt" angelegt, welchen folgenden Inhalt hat:

Subject: Test spam mail (GTUBE)

Message-ID: <GTUBE1.1010101@example.net>

Date: Wed, 23 Jul 2003 23:30:00 +0200

From: Sender <sender@example.net>

To: Recipient <recipient@example.net>

Precedence: junk

MIME-Version: 1.0

Content-Type: text/plain; charset=us-ascii

Content-Transfer-Encoding: 7bit


This is the GTUBE, the

        Generic

        Test for

        Unsolicited

        Bulk

        Email


If your spam filter supports it, the GTUBE provides a test by which you

can verify that the filter is installed correctly and is detecting incoming

spam. You can send yourself a test mail containing the following string of

characters (in upper case and with no white spaces and line breaks):


XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X


You should send this test mail from an account outside of your network.

die lasse ich dann von spamassassin auf der konsole checken: spamassassin < sample-spam.txt In der zuasammenfassung des reports sieht man dann schön was alles zugetroffen hat:

-0.0 NO_RELAYS              Informational: message was not relayed via SMTP

1000 GTUBE                  BODY: Generic Test for Unsolicited Bulk Email

 2.7 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%

                            [cf: 100]

 0.5 RAZOR2_CF_RANGE_E4_51_100 Razor2 gives engine 4 confidence level

                            above 50%

                            [cf: 100]

 1.8 RAZOR2_CHECK           Listed in Razor2 (http://razor.sf.net/)

 4.8 PYZOR_CHECK            Listed in Pyzor (http://pyzor.sf.net/)

 0.0 DIGEST_MULTIPLE        Message hits more than one network digest check

-0.0 NO_RECEIVED            Informational: message has no Received headers

nun nehme ich einfach den Body der sampl-spam datei und schicke ihn mir per Mail. Nun ist die zusammenfassung viel kleiner:

Zusammenfassug:


1000 GTUBE                  BODY: Generic Test for Unsolicited Bulk Email

das wars. Sie hat auch nur noch 1000 Punkte statt 1009.8 wie auf der konsole. Habt ihr eine idee was das problem sein könnte? Hier meine local.cf

# These values can be overridden by editing ~/.spamassassin/user_prefs.cf

# (see spamassassin(1) for details)


# These should be safe assumptions and allow for simple visual sifting

# without risking lost emails.


required_hits 5

required_score 2.0

report_safe 1

rewrite_header Subject  [***** SPAM _SCORE_ *****]

add_header all Status _YESNO_, score=_SCORE_ required=_REQD_ tests=_TESTSSCORES(,)_ _PYZOR_ _RBL_ autolearn=_AUTOLEARN_ version=_VERSION_


# Enable the Bayes system

use_bayes 1

use_bayes_rules 1

bayes_path /var/vmail/.spamassassin/bayes

# Enable Bayes auto-learning

bayes_auto_learn 1


# Enable or disable network checks

skip_rbl_checks 0


use_razor2 1

razor_config /var/vmail/.razor/razor-agent.conf

razor_timeout 10


use_pyzor 1

pyzor_path /usr/bin/pyzor 

pyzor_options --homedir /var/vmail/.pyzor

pyzor_max 3 


#bayes punkte 

score BAYES_00 -6.1 

score BAYES_01 -5.0 

score BAYES_10 -3.5 

score BAYES_20 -2.0 

score BAYES_30 -1.0 

score BAYES_40 -0.3 

score BAYES_44 -0.01 

score BAYES_50 0.01 

score BAYES_56 0.3 

score BAYES_60 1.0 

score BAYES_70 1.6 

score BAYES_80 3.1 

score BAYES_90 5.2 

score BAYES_99 7.2 


#razor punkte 

score RAZOR2_CHECK 1.8 

score RAZOR2_CF_RANGE_11_50 0.32 

score RAZOR2_CF_RANGE_51_100 2.7 


#pyzor punkte 

score PYZOR_CHECK 4.8 


#sonstige punkte

score SUBJ_ILLEGAL_CHARS 2.6 

score PORN_4 3.7 

score RCVD_IN_RFCI 2.0 

score RCVD_IN_ORBS 1.0 

score RCVD_IN_DSBL 1.0 

score RCVD_IN_SBL 0.5 

score RCVD_IN_VISI 1.0 

score RCVD_IN_RFCI 0.5 

score RCVD_IN_SORBS 0.5 

score X_NJABL_OPEN_PROXY 0.5 

score RCVD_IN_UNCONFIRMED_DSBL 0.2 

score RCVD_IN_BL_SPAMCOP_NET 1.1 

score RCVD_IN_VISI 0.3 

score RCVD_IN_RELAYS_ORDB_ORG 0.3 

score USER_AGENT_MACOE 1.0 

score NIGERIAN_TRANSACTION_1 1.5 

score MICROSOFT_EXECUTABLE 3.100 

score MIME_SUSPECT_NAME 3.100 

score RCVD_IN_BONDEDSENDER -6.0 

score HABEAS_HIL_RBL -6.0 

score X_LIST_UNSUBSCRIBE 0.5 

score EMAIL_ATTRIBUTION -0.5 

score IN_REP_TO -0.5 

score QUOTED_EMAIL_TEXT -0.5 

score REPLY_WITH_QUOTES -0.5 

score HTML_IMAGE_ONLY_02 1.978 

score HTML_IMAGE_ONLY_04 2.087 

score HTML_IMAGE_ONLY_06 1.228 

score HTML_IMAGE_ONLY_08 0.984 

score HTML_IMAGE_ONLY_10 0.843 

score HTML_IMAGE_ONLY_12 0.487 

score EMAIL_ATTRIBUTION -1 

score MSGID_GOOD_EXCHANGE -1 


# Reports 

clear_report_template 

report Diese Mail wurde vom SpamAssassin Spam-Filter als Spam erkannt.

report Sollte diese Nachricht zu Unrecht als Spam markiert worden sein, 

report bitte diese Mail an spam@domain.net weiterleiten 

report

report Vielen Dank! 

report

report Die Originalnachricht ist dieser E-Mail als Anhang beigefuegt.

report 

report Content analysis details: (_HITS_ points, _REQD_ required) 

report 

report 

report Zusammenfassug:

report

report _SUMMARY_ 



clear_unsafe_report_template 

unsafe_report Diese Nachricht ist nicht komplett in plain text gewesen, so dass es 

unsafe_report evtl. gefaehrlich ist, sie zu oeffnen, da die Mail moeglicherweise 

unsafe_report einen Virus enthalten koennte Wer sie dennoch anschauen moechte, sollte

unsafe_report dafuer besser einen Editor verwenden! 

master.cf

smtp      inet  n       -       n       -       -       smtpd

  -o content_filter=spamassassin

[...]

spamassassin unix -     n       n       -       -       pipe

        user=vmail argv=/usr/bin/spamc -f -e

        /usr/sbin/sendmail -oi -f ${sender} ${recipient}

nachtrag:

gerade im maillog gesehen:

Apr 28 14:25:15 mail spamd[30157]: pyzor: [3751] error: TERMINATED, signal 15 (000f)

ist mir vorher nicht aufgefallen

Gruß Sebastian

Bearbeitet 28. April 2010 von ava2k3

[ava2k3]

das Terminated signal 15 kam anscheinend wegen einem timeout vom pyzor server. kam danach auch nicht mehr.

ich hab spamassassin jetzt mal mit -D gestartet damit er mir mehr ins maillog schreibt.

Unteranderem kommt immer:

Apr 28 14:52:46 mail spamd[11325]: pyzor: opening pipe: /usr/bin/pyzor --homedir /var/vmail/.pyzor check < /tmp/.spamassassin11325KVjYustmp

Apr 28 14:52:46 mail spamd[13607]: util: setuid: ruid=5000 euid=5000

Apr 28 14:52:46 mail spamd[11325]: pyzor: [13607] finished: exit 1

Apr 28 14:52:46 mail spamd[11325]: pyzor: got response: public.pyzor.org:24441 (200, 'OK') 0 0

er macht immer ein exti 1...auf der konsole immer ein exit 0

[lupo49]

Welche Meldungen schreiben denn die anderen Spamchecks ins maillog?

Hast du mal nachgeschaut, welche Bedeutung der Exitcode 1 hat?

Was passiert wenn du pyzor direkt mit der E-Mail aufrufst?

Bearbeitet 28. April 2010 von lupo49

[ava2k3]

ich hab spamassassin mal mit -D laufen lassen:

hier der Auszug auf dem Maillog:

Apr 28 15:10:43 mail spamd[19721]: pyzor: opening pipe: /usr/bin/pyzor --homedir /var/vmail/.pyzor check < /tmp/.spamassassin19721QlsZUItmp

Apr 28 15:10:43 mail spamd[19760]: util: setuid: ruid=5000 euid=5000

Apr 28 15:10:43 mail spamd[19721]: pyzor: [19760] finished: exit 1

Apr 28 15:10:43 mail spamd[19721]: pyzor: got response: public.pyzor.org:24441 (200, 'OK') 0 0

[...]

der User Vmail hat die uid und gid 5000...das passt...trotzdem exit code 1

nun der Aufruf per Hand als User vmail:

su - vmail -c "spamassassin -D < /var/vmail/sample-spam.txt"

Apr 28 15:37:34.368 [26581] dbg: pyzor: opening pipe: /usr/bin/pyzor --homedir /var/vmail/.pyzor check < /tmp/.spamassassin26581NSj6S4tmp

Apr 28 15:37:34.374 [26582] dbg: util: setuid: ruid=5000 euid=5000

Apr 28 15:37:34.418 [26581] dbg: pyzor: [26582] finished successfully

Apr 28 15:37:34.418 [26581] dbg: pyzor: got response: public.pyzor.org:24441 (200, 'OK') 183 0

der exakt gleiche output (befehl, uid usw.), aber diesmal exit 0 und "finished successfully"...

Aufruf von pyzor per hand funktioniert auch problemlos. Das File was gecheckt, hat den gleichen inhalt wie nachher in der Mail. Das kann den exit 1 also nicht verursachen

ich verstehe nicht warum.

EDIT:

ich hab jetzt zusätzlich zu Spamassassin auch noch mal pyzor im debug laufen lassen (-d) und mir dann noch mal eine Spam Mail geschickt.

Hier der neue Log-Output aus dem maillog:

Apr 28 18:10:23 mail spamd[5754]: pyzor: opening pipe: /usr/bin/pyzor -d --homedir /var/vmail/.pyzor check < /tmp/.spamassassin57546sMuqLtmp

Apr 28 18:10:23 mail spamd[5819]: util: setuid: ruid=5000 euid=5000

Apr 28 18:10:23 mail spamd[5754]: pyzor: [5819] finished: exit 1

Apr 28 18:10:23 mail spamd[5754]: pyzor: got response: sending: 'User: anonymous\nTime: 1272471023\nSig: 16a37f696e317cfd4dea8323fdf93ba645b4be32\n\nOp: check\nOp-Digest: da5fba2e21653a9de1187a39bc0426b898de5c03\nThread: 37970\nPV: 2.0\n\n'\nreceived: 'Thread: 37970\nCount: 0\nWL-Count: 0\nCode: 200\nDiag: OK\nPV: 2.0\n\n'\npublic.pyzor.org:24441 (200, 'OK') 0 0

Apr 28 18:10:23 mail spamd[5754]: dns: leaving helper-app run mode

Apr 28 18:10:23 mail spamd[5754]: pyzor: failure to parse response "sending: 'User: anonymous\nTime: 1272471023\nSig: 16a37f696e317cfd4dea8323fdf93ba645b4be32\n\nOp: check\nOp-Digest: da5fba2e21653a9de1187a39bc0426b898de5c03\nThread: 37970\nPV: 2.0\n\n'"

Apr 28 18:10:23 mail spamd[5754]: pyzor: failure to parse response "received: 'Thread: 37970\nCount: 0\nWL-Count: 0\nCode: 200\nDiag: OK\nPV: 2.0\n\n'"

Ich kann mit der Fehlermeldung jetzt nur leider nicht viel anfangen.

Bearbeitet 28. April 2010 von ava2k3

[lupo49]

Das sieht so aus, als wenn er die Antwort von dem Server nicht korrekt verarbeiten kann?

Recht merkwürdig, da es ja anscheinend bei einem manuellen Aufruf funktioniert.

Wie sehen die Debug-Meldungen von pyzor beim manuellen Durchlauf aus?

[ava2k3]

hier der gleiche aufruf als user mail, den sonst der spamassassin über postfix macht

[vmail@mail ~]$ pyzor -d check < /var/vmail/sample-spam.txt

sending: 'User: anonymous\nTime: 1272491676\nSig: 3d1924addfcb4cec307af6365e54239a63c39330\n\nOp: check\nOp-Digest: d152948f7f029b35691afa499c145797558b2fff\nThread: 36004\nPV: 2.0\n\n'

received: 'Thread: 36004\nCount: 183\nWL-Count: 0\nCode: 200\nDiag: OK\nPV: 2.0\n\n'

public.pyzor.org:24441 (200, 'OK') 183 0

hier wird auch wieder "sending" / "received" ausgegeben...das, wo nachher im log die parse error auftauchen

[lupo49]

Nur der Vollständigkeit halber: Auch mit dem Parameter "--homedir /var/vmail/.pyzor"?

Ich hab jetzt keine Idee mehr, außer das der Aufruf anders sein könnte.