View previous topic :: View next topic |
Author |
Message |
benjamin200 Veteran
Joined: 01 Feb 2004 Posts: 1426 Location: DE Munich
|
Posted: Mon Feb 21, 2005 9:32 am Post subject: Wo landen SPAM emails? |
|
|
Hi,
ich habe spamassassing, amavis-new, Razor2, Pyzor und DCC nach der Gentoo Doku auf http://www.gentoo.org/doc/en/mailfilter-guide.xml konfiguriert. Der Spam-Schutz scheint gut zu funktionieren, nur leider bekomme ich keinen Hinweis, das Spam-Mails eingegangen und ausgefiltert wurden. Wo landen diese Mails, werden Sie gelöscht?
Hier ein auszug aus meiner LOG, wo eine Spam-mail abgearbeitet wurde:
Code: |
root@server benjamin # grep brutalizing@adamas.it /var/log/messages
Feb 21 07:25:44 server postfix/smtpd[20786]: < localhost[127.0.0.1]: MAIL FROM:<brutalizing@adamas.it> SIZE=1902
Feb 21 07:25:44 server postfix/smtpd[20786]: extract_addr: input: <brutalizing@adamas.it>
Feb 21 07:25:44 server postfix/smtpd[20786]: smtpd_check_addr: addr=brutalizing@adamas.it
Feb 21 07:25:44 server postfix/smtpd[20786]: send attr address = brutalizing@adamas.it
Feb 21 07:25:45 server postfix/smtpd[20786]: input attribute value: brutalizing@adamas.it
Feb 21 07:25:45 server postfix/smtpd[20786]: rewrite_clnt: canonicalize: brutalizing@adamas.it -> brutalizing@adamas.it
Feb 21 07:25:45 server postfix/smtpd[20786]: send attr address = brutalizing@adamas.it
Feb 21 07:25:45 server postfix/smtpd[20786]: input attribute value: brutalizing@adamas.it
Feb 21 07:25:45 server postfix/smtpd[20786]: resolve_clnt: `brutalizing@adamas.it' -> transp=`smtp' host=`adamas.it' rcpt=`brutalizing@adamas.it' flags= class=default
Feb 21 07:25:45 server postfix/smtpd[20786]: ctable_locate: install entry key brutalizing@adamas.it
Feb 21 07:25:45 server postfix/smtpd[20786]: extract_addr: result: brutalizing@adamas.it
Feb 21 07:25:45 server postfix/qmgr[19507]: 4F494439AF: from=<brutalizing@adamas.it>, size=2234, nrcpt=1 (queue active)
Feb 21 07:26:04 server amavis[9155]: (09155-08) Blocked SPAM, LOCAL [127.0.0.1] <brutalizing@adamas.it> -> <benjamin@server.linux-world.site>, quarantine: spam-77e97480879286f1b5aa4639c248a29f-20050221-072546-09155-08, Message-ID: <001001c517de$4a4851dc$76286ccb@adamas.it>, Hits: 7.435
root@server benjamin #
|
Habe einige Fragen:
1. wie geht Ihr mit diesen Spam-mails um, wie werden diese nach erkennung behandelt?
2. kann ich sie an einen speziellen User weiterleiten
3. kann ich den Mail Header nach erkennung automatisch ändern?
4. Wie kann ich erkennen, welcher Spamschutz (razor, dcc, bay etc.) die Mails erkannt hat?
5. wo landen diese Mails?
Hoffe mir kann jemand von helfen. Freue mich schon auf Anwort.
Gruß
Benjamin _________________ Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
Back to top |
|
|
trashcity Guru
Joined: 18 Sep 2003 Posts: 343 Location: österreich
|
Posted: Mon Feb 21, 2005 9:51 am Post subject: |
|
|
also ich hab auch den spamassassing am laufen allerdings ist er mit einen Virenscanner gekoppelt und beide haben ein GUI
für die config
also bei mir werden die E-Mails gelöscht doch es wird mit den Daten (Absender, Empfänger, und Betreff) ein E-Mail an den Postmaster gesendet
so kann ich mir die Spams ansehen und gegebenen falls es sei ein falls positiv dabei einschreiten
so eine Spam Nachricht an den Postmaster sieht bei mir so aus
Code: | von: absender
an: mich
Betreff: spamprevention
server: cvp_server_smtp_18181
from: "Cole Saunders" <HYISVFDAXDXC@myfastmail.com,>
to: "Rxxx.wxxx" <rxxx.xxx@??????.com>
subject: WorldMeds-Direct2You
quarantine :quarantine/00003344.qu
request 195.3.86.158:51989->10.???.???.???:25 <= ist die IP Adresse von meinen Mailserver
hits=11.1 required=6.0 ,spamc = 11.1
BAYES_99,NO_DNS_FOR_FROM,RCVD_IN_BL_SPAMCOP_NET,SUBJ_HAS_UNIQ_ID time:
Mon, 21 Feb 2005 10:16:55 +0100 |
|
|
Back to top |
|
|
bin-doph Guru
Joined: 23 May 2003 Posts: 302
|
Posted: Mon Feb 21, 2005 9:56 am Post subject: |
|
|
Hi,
ich denke mal, das deine mails "verloren gehen" (dank amavis...), wenn ich mir dein log so anschaue.
[quote=log]Feb 21 07:26:04 server amavis[9155]: (09155-0 Blocked SPAM, LOCAL [127.0.0.1] <brutalizing@adamas.it> -> <benjamin@server.linux-world.site>, quarantine: spam-77e97480879286f1b5aa4639c248a29f-20050221-072546-09155-08, Message-ID: <001001c517de$4a4851dc$76286ccb@adamas.it>, Hits: 7.435[/quote]
Vermutlich kann man das auch anders konfigurieren, allerdings kenne ich mich mit dem setup nicht wirklich aus. Allerdings kann ich dir sagen
das all das was du möchtest in meinem aktuellen setup zu finden ist (wenn nicht noch mehr )
- exim
* exiscan-acl
* sa-exim
- spamassassin
- clamav
zu 4.
DCC http://wiki.apache.org/spamassassin/UsingDcc
Razor http://wiki.apache.org/spamassassin/UsingRazor
(wobei ich dir Pyzor eher anbieten würde http://wiki.apache.org/spamassassin/UsingPyzor)
Bayes http://wiki.apache.org/spamassassin/UsingBayes
hth
-fe _________________ perl -e '$_=q;4a75737420616e6f74686572205065726c204861636b65720as;;for(s;s;s;s;s;s;s;s;s;s;s;s){s;(..)s?;qq qprint chr 0x$1 and \161 ssq;excess;}' |
|
Back to top |
|
|
benjamin200 Veteran
Joined: 01 Feb 2004 Posts: 1426 Location: DE Munich
|
Posted: Mon Feb 21, 2005 10:33 am Post subject: |
|
|
Quote: |
also ich hab auch den spamassassing am laufen allerdings ist er mit einen Virenscanner gekoppelt und beide haben ein GUI
für die config
|
welches GUI? Webmin Modul?
Quote: |
also bei mir werden die E-Mails gelöscht doch es wird mit den Daten (Absender, Empfänger, und Betreff) ein E-Mail an den Postmaster gesendet
|
Wo konfiguriere ich das, bzw überprüfe meine Einstellungen?
Quote: |
ich denke mal, das deine mails "verloren gehen" (dank amavis...), wenn ich mir dein log so anschaue.
[quote=log]Feb 21 07:26:04 server amavis[9155]: (09155-0 Blocked SPAM, LOCAL [127.0.0.1] <brutalizing@adamas.it> -> <benjamin@server.linux-world.site>, quarantine: spam-77e97480879286f1b5aa4639c248a29f-20050221-072546-09155-08, Message-ID: <001001c517de$4a4851dc$76286ccb@adamas.it>, Hits: 7.435 |
[/quote]
Denken ist leider nicht wissen. Kann ich es überprüfen?
Code: |
quarantine: spam-77e97480879286f1b5aa4639c248a29f-20050221-072546-09155-08
|
Sieht für mich so aus, als würde er die Mails in einen Quarantäne Oderner / Mailbox verschieben.
Aber ich weiss es leider nicht
Gruß
Benjamin _________________ Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
Back to top |
|
|
bin-doph Guru
Joined: 23 May 2003 Posts: 302
|
Posted: Mon Feb 21, 2005 12:16 pm Post subject: |
|
|
Quote: | Denken ist leider nicht wissen. Kann ich es überprüfen? |
Du könntest es in der Dokumentation von amavis nachlesen... Wobei ich ja noch nicht wirklich viel gutes über amavis(-new) gehört habe. Aber da wird sicherlich auch irgendwo in ner config ne pfadeinstellung o.ä. für "quarantäne" o.ä. zu finden sein. Kannst ja mal unter /var nach deiner msgid suchen, vielleicht findest du so die "quarantänisierten spoolfiles"
-fe _________________ perl -e '$_=q;4a75737420616e6f74686572205065726c204861636b65720as;;for(s;s;s;s;s;s;s;s;s;s;s;s){s;(..)s?;qq qprint chr 0x$1 and \161 ssq;excess;}' |
|
Back to top |
|
|
Haldir Guru
Joined: 27 Sep 2002 Posts: 546
|
Posted: Mon Feb 21, 2005 12:54 pm Post subject: |
|
|
Zu Frage 5.
Warum schaust du nicht einfach im Howto nach?, Code Listing 2.8 beschreibt dein Problem, das Howto ist jedoch nicht mehr aktuell wenn du amavisd-new 2.x benützt.
Alte amavisd-new versionen haben default alles in /var/virusmails oder /var/amavis/virusmails geschrieben (namen sind spam-<hash>)
Neue amavisd-new versionen schreiben alles default in /var/amavis/quarantine.
Ich finds lustig, dass die Leute die Sachen konfigurieren und danach die Fragen stellen
Zu Frage: 1-4, lies die Anleitung, geht alles
Kurzer Hinweis, Amavisd-new ist extrem mächtig wenn man alles konfiguriert, man sollte sich sehr genau mit der Konfiguration auseinandersetzen, ansonsten gibts lustige Nebenwirkungen, wie Endlosbounceschleifen von Spam Emails oder ähnliches... |
|
Back to top |
|
|
trashcity Guru
Joined: 18 Sep 2003 Posts: 343 Location: österreich
|
Posted: Mon Feb 21, 2005 1:57 pm Post subject: |
|
|
mein GUI ist von der Firma IKARUS.at die haben einen eigenen Virenscanner gebaud auf einer Securgate Platform (redhat)
das Gui ist ein Exe und nur für IKARUS ich würde einmal versuchen im google was zu finden |
|
Back to top |
|
|
benjamin200 Veteran
Joined: 01 Feb 2004 Posts: 1426 Location: DE Munich
|
Posted: Mon Feb 21, 2005 2:03 pm Post subject: |
|
|
Quote: |
Zu Frage 5.
Warum schaust du nicht einfach im Howto nach?, Code Listing 2.8 beschreibt dein Problem, das Howto ist jedoch nicht mehr aktuell wenn du amavisd-new 2.x benützt.
Alte amavisd-new versionen haben default alles in /var/virusmails oder /var/amavis/virusmails geschrieben (namen sind spam-<hash>)
Neue amavisd-new versionen schreiben alles default in /var/amavis/quarantine.
Ich finds lustig, dass die Leute die Sachen konfigurieren und danach die Fragen stellen Smile
|
ja genau, in /var/amavis/quarantine liegen die Mails (SPAM). Leider auch False Positives
Wie gehe ich mit der Back and Whitliste um? Wo gibt es ein deutsche Anleitung?
Quote: |
Zu Frage: 1-4, lies die Anleitung, geht alles
Kurzer Hinweis, Amavisd-new ist extrem mächtig wenn man alles konfiguriert, man sollte sich sehr genau mit der Konfiguration auseinandersetzen, ansonsten gibts lustige Nebenwirkungen, wie Endlosbounceschleifen von Spam Emails oder ähnliches...
|
Wo gibt es eine deutsche Anleitung die das erklärt?
Quote: |
mein GUI ist von der Firma IKARUS.at die haben einen eigenen Virenscanner gebaud auf einer Securgate Platform (redhat)
das Gui ist ein Exe und nur für IKARUS ich würde einmal versuchen im google was zu finden
|
Danke für den Tipp, werde es aber erstmal so versuchen, ohne GUI.
Thx,
Benjamin _________________ Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
Back to top |
|
|
Haldir Guru
Joined: 27 Sep 2002 Posts: 546
|
Posted: Mon Feb 21, 2005 4:27 pm Post subject: |
|
|
[quote="benjamin200"] Quote: |
Wo gibt es eine deutsche Anleitung die das erklärt?
|
Gibt afaik keine "gute" dt. Anleitung, ansonsten gibts viele englische Beispiele hier:
http://www.ijs.si/software/amavisd/
und die entsprechenden Beschreibungen in der amavisd.conf, whitelisting und blacklisting würde ich über die Soft liste lösen (ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING) ein Beispiel ist auch in dem Gentoo howto drin.
Da einfach alle "guten" Emails mit eigenen Scoremodifikatoren versehen (z.b. du kriegst die Mailinglist blablub von blablub@blahh.com, die wird als Spam erkannt), dann kommt da z.b. rein
'blablub@blahh.com' => -5.0, dann zieht er von der finalen Bewertung 5 Punkte ab usw...
Die False Positives würde ich manuell ausfiltern (entweder ausm quarantine directory rausnehmen oder z.b. Spams weiterleiten an SPAM email addy) und dann zurück durch sa-learn usw.
Bei sa-learn primär eins beachten, nicht nur ham oder spam lernen, sondern beides und das gleichmäßig, ansonsten gibts teils Probleme |
|
Back to top |
|
|
benjamin200 Veteran
Joined: 01 Feb 2004 Posts: 1426 Location: DE Munich
|
Posted: Mon Feb 21, 2005 4:34 pm Post subject: |
|
|
Sorry, aber ich verstehe das nicht. Meine Mails liegen jetzt in "quarantine" und eine davon möchte ich defenitiv haben.
Wie kann ich auf diese mail zugreifen?
Quote: |
Da einfach alle "guten" Emails mit eigenen Scoremodifikatoren versehen (z.b. du kriegst die Mailinglist blablub von blablub@blahh.com, die wird als Spam erkannt), dann kommt da z.b. rein
'blablub@blahh.com' => -5.0, dann zieht er von der finalen Bewertung 5 Punkte ab usw...
|
wo muss ich den Eintrag vornehmen?
Quote: |
Die False Positives würde ich manuell ausfiltern (entweder ausm quarantine directory rausnehmen oder z.b. Spams weiterleiten an SPAM email addy) und dann zurück durch sa-learn usw.
|
Wie kann ich was aus dem Ordner rausnehmen?
Wie kann ich die mails dort lesen?
Code: |
oot@server quarantine # ls -l /var/amavis/quarantine/
total 20
-rw-r----- 1 amavis amavis 6224 Feb 21 12:29 spam-2286edfef2c87db90ff57b1298000f33-20050221-122910-21399-01.gz
-rw-r----- 1 amavis amavis 1404 Feb 21 07:26 spam-77e97480879286f1b5aa4639c248a29f-20050221-072546-09155-08.gz
-rw-r----- 1 amavis amavis 4698 Feb 20 22:30 spam-943facf504f239bb71bc00c76563479d-20050220-222954-09157-06.gz
root@server quarantine #
|
_________________ Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|