IPFire mit Mail-Proxyfunktion

Anregungen & Feature Requests
5p9
Mentor
Mentor
Posts: 1639

Re: IPFire mit Mail-Proxyfunktion

Postby 5p9 » January 5th, 2017, 1:35 pm

Ich habe zwar schon immer Negativwerte im X-SPAM Score was mich auch nicht wirkllich stört, jedoch habe ich die Vermutung, dass er deswegen nicht jede schlechte Mail als SPAM definieren kann.
Er findet ja auch SPAMs die er dann richtig bewertet:

Code: Select all

X-Virus-Scanned: amavisd-new at my.domain.de
X-Spam-Flag: YES
X-Spam-Score: 6.098
X-Spam-Level: ******
X-Spam-Status: Yes, score=6.098 tagged_above=-999 required=4.2
   tests=[BAYES_50=0.8, FREEMAIL_FROM=0.001, HTML_IMAGE_RATIO_06=0.001,
   HTML_MESSAGE=0.001, HTML_MIME_NO_HTML_TAG=0.377,
   HTML_OBFUSCATE_10_20=0.093, MIME_HTML_ONLY=0.723,
   RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E8_51_100=1.886,
   RAZOR2_CHECK=0.922, RDNS_NONE=0.793, URIBL_BLOCKED=0.001]
   autolearn=no autolearn_force=no




Jetzt wirds wirklich seltsam, wenn ich eine SPAM-Mail per spamassassin manuell checke erkennt er hier einen SPAM:

Code: Select all

spamassassin -t < bad3.msg


Aussage ist dann:

Code: Select all

Received: from localhost by my.FIRE.local.domain
        with SpamAssassin (version 3.4.1);
        Thu, 05 Jan 2017 14:22:13 +0100
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
        my.FIRE.local.domain
X-Spam-Flag: YES
X-Spam-Level: **********
X-Spam-Status: Yes, score=10.5 required=5.0 tests=MISSING_DATE,MISSING_FROM,
        MISSING_HEADERS,MISSING_MID,MISSING_SUBJECT,NO_HEADERS_MESSAGE,NO_RECEIVED,
        NO_RELAYS,NULL_IN_BODY,PP_MIME_FAKE_ASCII_TEXT,RAZOR2_CF_RANGE_51_100,
        RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK autolearn=no autolearn_force=no
        version=3.4.1
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------=_586E4885.138EC9C1"

This is a multi-part message in MIME format.

------------=_586E4885.138EC9C1
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: 8bit

Spam detection software, running on the system "my.FIRE.local.domain",
has identified this incoming email as possible spam.  The original
message has been attached to this so you can view it or label
similar future email.  If you have any questions, see
n for details.

Content preview: 

Content analysis details:   (10.5 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
-0.0 NO_RELAYS              Informational: message was not relayed via SMTP
 1.2 MISSING_HEADERS        Missing To: header
 0.0 PP_MIME_FAKE_ASCII_TEXT BODY: MIME text/plain claims to be ASCII but
                            isn't
 0.5 NULL_IN_BODY           FULL: Message has NUL (ASCII 0) byte in message
 2.4 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level
                            above 50%
                            [cf: 100]
 1.7 RAZOR2_CHECK           Listed in Razor2 (http://razor.sf.net/)
 0.4 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
                            [cf: 100]
-0.0 NO_RECEIVED            Informational: message has no Received headers
 1.8 MISSING_SUBJECT        Missing Subject: header
 1.0 MISSING_FROM           Missing From: header
 0.1 MISSING_MID            Missing Message-Id: header
 1.4 MISSING_DATE           Missing Date: header
 0.0 NO_HEADERS_MESSAGE     Message appears to be missing most RFC-822 headers

.....
.....
.....
.....
.....

------------=_586E4885.138EC9C1
Content-Type: message/rfc822; x-spam-type=original
Content-Description: original message before SpamAssassin
Content-Disposition: inline
Content-Transfer-Encoding: 8bit


SMTP:OBEYABLE@JYJMATH.COMYahoo Messanger▒+▒▒▒▒n▒T▒Yahoo MessangerSMTPobeyable@jyjmath.comMicrosoft Mail Internet Headers Version 2.0
Received: from work.domain.de ([192.168.YYY.XXX]) by mail-srv.local.domain with Microsoft SMTPSVC(XYZ);
         Wed, 4 Jan 2017 21:38:19 +0100
Received: from localhost (localhost [127.0.0.1])
        by work.domain.de (Postfix) with ESMTP id 051671CA053
        for <my.user@work.domain.de>; Wed,  4 Jan 2017 21:38:40 +0100 (CET)
X-Virus-Scanned: amavisd-new at work.domain.de
X-Spam-Flag: NO
X-Spam-Score: -1.778
X-Spam-Level:
X-Spam-Status: No, score=-1.778 tagged_above=-999 required=4.2
        tests=[BAYES_00=-1.9, DIET_1=0.001, HTML_MESSAGE=0.001,
        RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E8_51_100=1.886,
        RAZOR2_CHECK=0.922, RP_MATCHES_RCVD=-3.199, T_REMOTE_IMAGE=0.01,
        URIBL_BLOCKED=0.001] autolearn=no autolearn_force=no
Received: from work.domain.de ([127.0.0.1])
        by localhost (mailgw.work.domain.de [127.0.0.1]) (amavisd-new, port 10024)
        with LMTP id 2kJ7cdLEE9Fn for <my.user@work.domain.de>;
        Wed,  4 Jan 2017 21:38:35 +0100 (CET)
Received: from jyjmath.com (jyjmath.com [5.230.102.164])
        by work.domain.de (Postfix) with ESMTP id 962661CA051
        for <my.user@work.domain.de>; Wed,  4 Jan 2017 21:38:34 +0100 (CET)
From: "Yahoo Messanger" <obeyable@jyjmath.com>
Date: Wed, 04 Jan 2017 15:27:57 -0500
MIME-Version: 1.0
Subject: Breaking_News Report Friday (Must READ)
To: <my.user@work.domain.de>
Message-ID: <ApHsOwLEeY9kno6loG_i-8QYoaKd4nhdCMM2mF5bciY.W-ymMgzQlrF13cZZQwnhMHYFcAB1dwtT8bTHWoMGTGw@jyjmath.com>
Content-Type: multipart/alternative;
 boundary="------------81805188981924707708991"
Return-Path: obeyable@jyjmath.com
X-OriginalArrivalTime: 04 Jan 2017 20:38:19.0627 (UTC) FILETIME=[7BF55BB0:01D266CA]

--------------81805188981924707708991
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit

--------------81805188981924707708991
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit


Spam detection software, running on the system "my.FIRE.local.domain",
has identified this incoming email as possible spam.  The original
message has been attached to this so you can view it or label
similar future email.  If you have any questions, see
n for details.

Content preview: 
   [...]

Content analysis details:   (10.5 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
-0.0 NO_RELAYS              Informational: message was not relayed via SMTP
 1.2 MISSING_HEADERS        Missing To: header
 0.0 PP_MIME_FAKE_ASCII_TEXT BODY: MIME text/plain claims to be ASCII but
                            isn't
 0.5 NULL_IN_BODY           FULL: Message has NUL (ASCII 0) byte in message
 2.4 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level
                            above 50%
                            [cf: 100]
 1.7 RAZOR2_CHECK           Listed in Razor2 (http://razor.sf.net/)
 0.4 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
                            [cf: 100]
-0.0 NO_RECEIVED            Informational: message has no Received headers
 1.8 MISSING_SUBJECT        Missing Subject: header
 1.0 MISSING_FROM           Missing From: header
 0.1 MISSING_MID            Missing Message-Id: header
 1.4 MISSING_DATE           Missing Date: header
 0.0 NO_HEADERS_MESSAGE     Message appears to be missing most RFC-822 headers


Seltsam ist hier der Flag vom Origianl mit

Code: Select all

X-Spam-Score: -1.778
X-Spam-Level:
X-Spam-Status: No, score=-1.778 tagged_above=-999 required=4.2


hier ist auch der Negativwert zu sehen fällt mir auf:
RP_MATCHES_RCVD=-3.199 -> Wo versteckt der sich denn???
Das einzige was ich dazu finde ist hier: http://www.gossamer-threads.com/lists/s ... ers/166185 aber das versteh ich mal wieder auch nicht ...

und dem manuellen Check

Code: Select all

X-Spam-Flag: YES
X-Spam-Level: **********
X-Spam-Status: Yes, score=10.5 required=5.0

Hier verwendet er zwei unterschiedliche Werte! Jetzt versteh ich nix mehr :(

fredym
Posts: 138

Re: IPFire mit Mail-Proxyfunktion

Postby fredym » January 5th, 2017, 3:10 pm

5p9 wrote:Testweise habe ich mir eine SPAM an GMX weitergeleitet, diese wurde schön in den SPAM-Ordner abgelegt. GMX hat somit diese Mail erkannt. Ein Weiterleitung zurück zu mir in die Firma hat dazu aber nichts bemerkt und diese mit dem Scorevalue -5.432 versehen und ohne SPAM-Tag. Echt seltsam :/


Hallo,
bei Geschäftsmails hast du daber das (mehrfach gerichtlich bestätigte) Problem, dass du trotzdem alle Mails lesen musst!
korrekt: alle angenommen Mails .... auch wenn du sie ungelesen in dem Müll tust (Spam?).
Das kann dir nicht passieren bei Mails, die du nie angenommen hast (wo also dein Postfix kein 250 OK gesendet hat).

Wir haben mit Greylisting und SPF-Framework den Spamanteil auf eine Bruchteil reduziert (anfangs ca. 1 % , da hatte ich noch nachgesehen, also 10 statt 1500 täglich). Spamtagging fand dann nicht mehr statt, Viren(anhänge)Mails gingen nach /dev/NULL nach 30 tägigem Quarantäneaufenthalt.

Zumal Headerchecks auf Dauer wenig hilfeich waren und auch alle vorgefertigten "Beispiele" von Spamassassin .
Hier ist/war der Wartungsaufwand zu hoch.

Wobei GMX eben auch noch andere Mechanismen einsetzt . Du kannst auch eine Hash über die Mail bilden und Mails mit identischem Hash als Spam taggen, du brauchst nur genügend "Rohmaterial" um es effektiv zu machen.

Deshalb wundere ich mich nicht über dein obiges Ergebnis - andere Methode ?
Fred

5p9
Mentor
Mentor
Posts: 1639

Re: IPFire mit Mail-Proxyfunktion

Postby 5p9 » January 5th, 2017, 3:57 pm

Hi,

Danke für die Antwort. Das mit SPF ist mir zu gefährlich zumal wir weltweit Mails erhalten, oder ich habs noch nicht wirklich verstanden;) greylisting ist auch etwas heikel, darüber scheiden sich die Geister.

Ich such jedoch erst einmal Antworten auf meine Fragen, da ich diesen Mechanismus verstehe und mir danach weitere Schritte überlegen kann.

Spams werden auch durchgestellt und alles was ich nicht haben will wird erst garnicht zugestellt, bzw. in Quarantäne gesteckt in dem sich ausführbare Elemente befinden, inkl Infomail.

VG 5p9

fredym
Posts: 138

Re: IPFire mit Mail-Proxyfunktion

Postby fredym » January 5th, 2017, 5:12 pm

5p9 wrote:Hi,

Danke für die Antwort. Das mit SPF ist mir zu gefährlich zumal wir weltweit Mails erhalten, oder ich habs noch nicht wirklich verstanden;)
eigentlich ist der kritische Teil. dass z.B. eine mail von GMX.de auch von einem Server kommen muss, der eine gmx-IP hat ; Problem: schickst du als Absender gmx.net und der sendende -> also bei dir anfragende Server ist z.B. gmail.com nimmst du sie nicht an

Sprich: jeder muss auf seinem Mailserver einliefern (MX-Record).


greylisting ist auch etwas heikel, darüber scheiden sich die Geister.
nur Fetischisten, die eine Mail schon fast vor dem Losschicken erhalten haben müssen, ja es gibt Leute, die meinen E-Mail ist ein Echtzeitmedium.
Ansonsten du wirst jede Menge BOTs los, wenn du Mails erst im zweiten Zustellversuch annimmst, Mailserver machen mehrere Zustellversuche , BOTs eher selten

Ich such jedoch erst einmal Antworten auf meine Fragen, da ich diesen Mechanismus verstehe und mir danach weitere Schritte überlegen kann.
habe ich viel Zeit ins debugging investiert...
Spams werden auch durchgestellt und alles was ich nicht haben will wird erst garnicht zugestellt, bzw. in Quarantäne gesteckt in dem sich ausführbare Elemente befinden, inkl Infomail.

VG 5p9

ausführbare Elemente und Quarantäne ist sehr ....hm ja ? Theoretisch sind doc/xls usw. auch alles ausführbare Elemente.
Es gibt in Deutschland etliche grösserer Firmen, die Rejecten (!) - also nicht empfangen - ausführbare files, manchmal sogar zip-Files; wenn der User diese Files will, muss er sie selbst (wieder zurück) umbenennen.

Nun ist die Frage nach deinem Gefährdungsgrad, Policy usw.
Ich hatte damals die (interne) Bewertung etwas erhöht, es wurden paar mehr Mails als Spam "getagged" ausgeliefert, da die User aber eh alles Bearbeiten müssen, ist es fast egal.

RegExp kannst du eben durch leichte Änderungen der Quelle "aushebeln", aber das hast du selbst gemerkt.
Gefunden habe ich die policy-Daemonen noch nicht im IPFire-Paket, aber andererseits ist es nur die Neugier hier, alles auf einm Alix2 Board laufen zu haben.

Fred

5p9
Mentor
Mentor
Posts: 1639

Re: IPFire mit Mail-Proxyfunktion

Postby 5p9 » January 11th, 2017, 9:35 am

Hi,

danke für deine Gedankengänge dazu. Werde aber erst einmal bei dem Thema bleiben.

Zurück zur CLAM-AV Scannthematik. Heute habe ich eine SPAM erhalten die im Anhang einen Trojaner in einer zip Datei hinterlegt hatte, jedoch wurde diese Mail nicht als "böse" erkannt. Wenn ich local mit clamscan darüber gehe, erkennt er diese aber:

Code: Select all

clamscan VIRUS.zip
VIRUS.zip: Win.Trojan.Nymaim-5504004-0 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 5581534
Engine version: 0.99.2
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.12 MB
Data read: 0.38 MB (ratio 0.33:1)
Time: 14.153 sec (0 m 14 s)


Die Frage ist, warum hat er diesen Anhang nicht schon in der Mail erkennen können?
Wie meine Config aussieht, sieht man hier: viewtopic.php?f=17&t=9095&start=780#p104108

Jemand noch eine Idee zu meinen Fragen?

EDIT: Kann es evtl. am decode liegen im Bereich @keep_decoded_original_maps = (new_RE........ wie in meiner Config-Übersicht gerade frisch hinterlegt?

Oder nur die qr- Einstellungen sollten ggf. angepasst werden, denn hier wird eine leichte Abweichung unseres Testsettings vorgestellt: https://forums.zimbra.org/viewtopic.php?t=60072

Und oder muss noch in der local.cf im SA noch wie hier beschrieben die Verknüpfung geschafft werden?
https://lists.amavis.org/pipermail/amav ... 00934.html

Hier noch ein Hinweis, aber ob dieser hier auch zutreffend ist?
https://lists.amavis.org/pipermail/amav ... 04156.html

EDIT: Gelegentlich findet er schön schlechte Dinge:

Code: Select all

A virus was found: Sanesecurity.Badmacro.Doc.coao.UNOFFICIAL

Scanner detecting a virus: ClamAV-clamd

Content type: Virus
Internal reference code for the message is 14059-14/pP7AcTgj5C3T

First upstream SMTP client IP address: [178.66.185.208]:36544
  pppoe.178-66-185-208.dynamic.avangarddsl.ru

Received trace: SMTP://[178.66.185.208]:36544

Return-Path: <submit@avangarddsl.ru>
From: <submit@artworkanywhere.com>
Message-ID: <148421305719.1147.7150006129201851220@avangarddsl.ru>
The message has been quarantined as: virus-pP7AcTgj5C3T

The message WAS NOT relayed to:
<user.name@domain.de>:
   250 2.7.0 ok, discarded, id=14059-14 - infected: sanesecurity.badmacro.doc.coao.unofficial

Virus scanner output:
  p001: Sanesecurity.Badmacro.Doc.coao.UNOFFICIAL FOUND



VG, 5p9

5p9
Mentor
Mentor
Posts: 1639

Re: IPFire mit Mail-Proxyfunktion

Postby 5p9 » January 16th, 2017, 8:48 am

Hier noch ein Zusatz, primär kommen nur HTML-SPAMs irgendwie durch, siehe Anhang. Ich hab keine Ahnung warum er diese also als SPAM nicht erkennen kann.
Hier noch das log zum Anhang:

Code: Select all

Jan 13 23:08:01 MYFire postfix/smtpd[595]: connect from unknown[45.119.43.131]
Jan 13 23:08:03 MYFire postfix/smtpd[595]: 9DA021CA04A: client=unknown[45.119.43.131]
Jan 13 23:08:05 MYFire postfix/cleanup[672]: 9DA021CA04A: message-id=<KEt4AsmyAs5UpKAj-VZ9qBJmXMZLKrd07xpaOkzTIWo.pM-F88o_-nisEu1HH1m-8NYlV08IkqRG4JNZfwo6Wx8@craklsoft.com>
Jan 13 23:08:09 MYFire postfix/qmgr[25958]: 9DA021CA04A: from=<promarriage@craklsoft.com>, size=19346, nrcpt=1 (queue active)
Jan 13 23:08:09 MYFire amavis[20741]: (20741-14) LMTP :10024 /var/amavis/tmp/amavis-20170113T174006-20741-mZ0fxdQc: <promarriage@craklsoft.com> -> <my.user@my.domain.de> SIZE=19346 BODY=8BITMIME Received: from mail.my.domain.de ([127.0.0.1]) by localhost (mailgw.my.domain.de [127.0.0.1]) (amavisd-new, port 10024) with LMTP for <my.user@my.domain.de>; Fri, 13 Jan 2017 23:08:09 +0100 (CET)
Jan 13 23:08:09 MYFire amavis[20741]: (20741-14) Checking: haYd773OQpY0 [45.119.43.131] <promarriage@craklsoft.com> -> <my.user@my.domain.de>
Jan 13 23:08:09 MYFire postfix/smtpd[595]: disconnect from unknown[45.119.43.131] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Jan 13 23:08:13 MYFire amavis[20741]: (20741-14) spam-tag, <promarriage@craklsoft.com> -> <my.user@my.domain.de>, No, score=2.214 required=4.2 tests=[BAYES_00=-1.9, HTML_FONT_LOW_CONTRAST=0.001, HTML_MESSAGE=0.001, RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E8_51_100=1.886, RAZOR2_CHECK=0.922, RDNS_NONE=0.793, T_REMOTE_IMAGE=0.01, URIBL_BLOCKED=0.001] autolearn=no autolearn_force=no
Jan 13 23:08:13 MYFire postfix/smtpd[675]: connect from localhost[127.0.0.1]
Jan 13 23:08:13 MYFire postfix/smtpd[675]: 06EE51CA051: client=localhost[127.0.0.1], orig_queue_id=9DA021CA04A, orig_client=unknown[45.119.43.131]
Jan 13 23:08:13 MYFire postfix/cleanup[672]: 06EE51CA051: message-id=<KEt4AsmyAs5UpKAj-VZ9qBJmXMZLKrd07xpaOkzTIWo.pM-F88o_-nisEu1HH1m-8NYlV08IkqRG4JNZfwo6Wx8@craklsoft.com>
Jan 13 23:08:13 MYFire postfix/smtpd[675]: disconnect from localhost[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 quit=1 commands=6
Jan 13 23:08:13 MYFire postfix/qmgr[25958]: 06EE51CA051: from=<promarriage@craklsoft.com>, size=20159, nrcpt=1 (queue active)
Jan 13 23:08:13 MYFire amavis[20741]: (20741-14) haYd773OQpY0 FWD from <promarriage@craklsoft.com> -> <my.user@my.domain.de>, BODY=7BIT 250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 06EE51CA051
Jan 13 23:08:13 MYFire amavis[20741]: (20741-14) Passed CLEAN {RelayedInbound}, [45.119.43.131]:18161 [45.119.43.131] <promarriage@craklsoft.com> -> <my.user@my.domain.de>, Queue-ID: 9DA021CA04A, Message-ID: <KEt4AsmyAs5UpKAj-VZ9qBJmXMZLKrd07xpaOkzTIWo.pM-F88o_-nisEu1HH1m-8NYlV08IkqRG4JNZfwo6Wx8@craklsoft.com>, mail_id: haYd773OQpY0, Hits: 2.214, size: 19321, queued_as: 06EE51CA051, 3765 ms
Jan 13 23:08:13 MYFire amavis[20741]: (20741-14) TIMING-SA [total 3651 ms, cpu 837 ms] - parse: 1.94 (0.1%), mailct_message_metadata: 29 (0.8%), get_uri_detail_list: 7 (0.2%), tests_pri_-1000: 3.1 (0.1%), tests_pri_-950: 0.91 (0.0%), tests_pri_-900: 0.95 (0.0%), tests_pri_-400: 38 (1.0%), check_bayes: 37 (1.0%), b_tokenize: 16 (0.4%), b_tok_get_all: 13 (0.4%), b_comp_prob: 5 (0.1%), b_tok_touch_all: 0.45 (0.0%), b_finish: 0.73 (0.0%), tests_pri_0: 1268 (34.7%), check_spf: 0.26 (0.0%), check_dkim_signature: 0.66 (0.0%), check_dkim_adsp: 75 (2.1%), check_razor2: 865 (23.7%), check_pyzor: 0.14 (0.0%), tests_pri_500: 2296 (62.9%), poll_dns_idle: 2291 (62.8%), get_report: 0.64 (0.0%)
Jan 13 23:08:13 MYFire postfix/lmtp[673]: 9DA021CA04A: to=<my.user@my.domain.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=11, delays=6.8/0.01/0/3.8, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 06EE51CA051)
Jan 13 23:08:13 MYFire amavis[20741]: (20741-14) size: 19321, TIMING [total 3770 ms, cpu 863 ms, AM-cpu 26 ms, SA-cpu 837 ms] - SMTP greeting: 1.6 (0%)0, SMTP LHLO: 0.7 (0%)0, SMTP pre-MAIL: 0.7 (0%)0, SMTP pre-DATA-flush: 2.1 (0%)0, SMTP DATA: 37 (1%)1, check_init: 0.4 (0%)1, digest_hdr: 0.3 (0%)1, digest_body: 0.2 (0%)1, collect_info: 1.3 (0%)1, check_header: 1.1 (0%)1, AV-scan-1: 38 (1%)2, spam-wb-list: 0.7 (0%)2, SA msg read: 0.6 (0%)2, SA parse: 2.2 (0%)2, SA check: 3647 (97%)99, decide_mail_destiny: 5 (0%)99, notif-quar: 0.4 (0%)99, fwd-connect: 15 (0%)100, fwd-xforward: 0.6 (0%)100, fwd-mail-pip: 2.0 (0%)100, fwd-rcpt-pip: 0.2 (0%)100, fwd-data-chkpnt: 0.1 (0%)100, write-header: 0.3 (0%)100, fwd-data-contents: 0.4 (0%)100, fwd-end-chkpnt: 2.0 (0%)100, prepare-dsn: 0.6 (0%)100, report: 1.1 (0%)100, main_log_entry: 4.8 (0%)100, update_snmp: 2.0 (0%)100, SMTP pre-response: 0.3 (0%)100, SMTP response: 0.2 (0%)100, unlink-1-files: 0.2 (0%)100, rundown: 0.6 (0%)100
Jan 13 23:08:13 MYFire amavis[20741]: (20741-14) size: 19321, RUSAGE minflt=46+0, majflt=0+0, nswap=0+0, inblock=0+0, oublock=328+0, msgsnd=0+0, msgrcv=0+0, nsignals=0+0, nvcsw=43+0, nivcsw=3+0, maxrss=94000+0, ixrss=0+0, idrss=0+0, isrss=0+0, utime=0.847+0.000, stime=0.017+0.000
Jan 13 23:08:13 MYFire postfix/qmgr[25958]: 9DA021CA04A: removed
Jan 13 23:08:13 MYFire postfix/smtp[676]: 06EE51CA051: to=<my.user@my.domain.de>, relay=192.168.YYY.ZZZ[192.168.YYY.ZZZ]:25, delay=0.08, delays=0/0.01/0.01/0.06, dsn=2.6.0, status=sent (250 2.6.0  <KEt4AsmyAs5UpKAj-VZ9qBJmXMZLKrd07xpaOkzTIWo.pM-F88o_-nisEu1HH1m-8NYlV08IkqRG4JNZfwo6Wx8@craklsoft.com> Queued mail for delivery)
Jan 13 23:08:13 MYFire postfix/qmgr[25958]: 06EE51CA051: removed


Auch werden header_checks nicht richtig durchgeführt wenn die subjects in SO-8859-1 oder UTF-8 / Base64 kodiert sind.
Ein Beispiel MUA displays:

Code: Select all

Lern ein Mädel, das Analsex mag, kennen


raw mailbox contains:

Code: Select all

=?utf-8?Q?Lern_ein_M=C3=A4del,_das_Analsex_mag,_kennen?=


Jemand zu beiden Verhalten eine Idee? Hab mich schon auf Tante Google geworfen mit meinen Fragen, aber nichts brauchbares finden können :( https://listi.jpberlin.de/pipermail/pos ... 62180.html

VG, 5p9
Attachments
2017-01-16_094244.jpg

User avatar
gocart
Posts: 391
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Postby gocart » January 17th, 2017, 9:20 am

Aloha... :) @5p9
Du steckst ja ganz schön tief drin in der Materie, kann da allerdings auch nur begrenzt weiter helfen. :(
Aber was mir aufgefallen ist, die negativen Werte im X-Spam score kommen immer von "RP_MATCHES_RCVD". Das zieht das Ganze in den negativen Bereich. In der Beschreibung steht dazu "Standard description: Envelope sender domain matches handover relay domain". Ich würde das so Interpreten das dein Test Relay (GMX) deine Tests verzerrt, weil das das irgendwo auf ner Ausnahmeliste steht. du könntest die Mails mit den Mailutils die im Paket mit dabei sind direkt local an postfix schicken dann wäre GMX raus.

Mit "Control+D" kommt aus dem Tool immer wieder raus. Mehrfach anwenden...
Ohne Alles:

Code: Select all

mail -s “Hello world” you@youremailid.com
Mit Body:

Code: Select all

# echo “This will go into the body of the mail.” | mail -s “Hello world” you@youremailid.com
Aus ner Datei:

Code: Select all

mail -s “Hello world” you@youremailid.com < /home/calvin/application.log

Mal schnell noch STRNG-V :
Some other useful options in the mail command are:
-s subject (The subject of the mail)
-c email-address (Mark a copy to this “email-address”, or CC)
-b email-address (Mark a blind carbon copy to this “email-address”, or BCC)

Ps. von da sind die Infos:
http://www.simplehelp.net/2008/12/01/how-to-send-email-from-the-linux-command-line/

ps2.: Das geht natürlich auch:
sendmail user@example.com < /tmp/email.txt

Werde auch den policyd-weight als Package für IPfire zum testen bauen. Sobald ich fertig habe jibts einen Link. :)
Grüße gocart.

5p9
Mentor
Mentor
Posts: 1639

Re: IPFire mit Mail-Proxyfunktion

Postby 5p9 » January 17th, 2017, 11:59 am

Hi gocart,

die Scores sind mir bei den normalen Mails egal. Denn manchmal scored er ja richtig.
Ich habe jetzt mal eine SPAM-Mail mit HTML für mich local getestet und hier sind ein paar Eigenheiten zu sehen.

Mail als HTML via sendmail:

Code: Select all

#!/bin/bash
outputFile="/tmp/out.html" 
attachFile="/tmp/attach.html"
(
echo "From: me.local@mydomain.de"
echo "To: my.User@mydomain.de"
echo "Subject: Test"
echo "Mime-Version: 1.0"
echo 'Content-Type: multipart/mixed; boundary="Gv1jxJ+pjyke8COw"'
echo "Content-Disposition: inline"
echo ""
echo "--Gv1jxJ+pjyke8COw"
echo "Content-Type: text/html"
echo "Content-Disposition: inline"
cat $outputFile
echo ""
echo "--Gv1jxJ+pjyke8COw"
echo "Content-Type: text/plain"
echo "Content-Disposition: attachement; filename=attachment_filename.html"
echo ""
cat $attachFile
) | sendmail -t


in der out.html habe ich den HTML-Code einer SPAM kopiert:

Code: Select all

<!DOCTYPE html>
<html>
<body>

<h1>My First Heading</h1>

<p>My first paragraph.</p>

<body>
<table align="center" border="0" cellpadding="1" cellspacing="1" style="width: 500px;">
   <tbody>
      <tr>
         <td><a href="http://ky.giaynho.com/ywdqihwv/nyfm21568vbkj/0gBtAtusZ5KOYn11eiVU5WWHsG-3vUXqBEo0_uZdn98/5WuT4kY3MuhgxHfEjzLrxqpBgU37FHZcltXPts0sDKAjudJJU10IwWhsnJITyj47_uvK13P_eZRhjXeJn2oN1RS3UKQvjyo1WEp8bx8pKmk" target="_blank"><img alt="" src="http://ky.giaynho.com/Zrsnb/eak20809byuiwbu/.png" style="width: 772px; height: 161px;" /></a></td>
      </tr>
      <tr>
         <td>
         <h1 class="clear" itemprop="headline"><strong>Ed Sheeran dropped 3.5_pounds by doing THIS for 10 minutes a day</strong></h1>
         </td>
      </tr>
      <tr>
         <td>
         <p class="lead"><strong>POP star Ed Sheeran found a speedy way to cram slimming into his hectic lifestyle.</strong><br />
         By <a class="author" href="http://ky.giaynho.com/ywdqihwv/nyfm21568vbkj/0gBtAtusZ5KOYn11eiVU5WWHsG-3vUXqBEo0_uZdn98/5WuT4kY3MuhgxHfEjzLrxqpBgU37FHZcltXPts0sDKAjudJJU10IwWhsnJITyj47_uvK13P_eZRhjXeJn2oN1RS3UKQvjyo1WEp8bx8pKmk">Sarah Buchanan</a> <span class="sep">/</span> <time datetime="2017-01-16T09:30:24Z" pubdate="">Published </time></p>
         </td>
      </tr>
      <tr>
         <td>
         <table align="center" border="0" cellpadding="5" cellspacing="0" height="57" width="769">
            <tbody>
               <tr>
                  <td><a href="http://ky.giaynho.com/ywdqihwv/nyfm21568vbkj/0gBtAtusZ5KOYn11eiVU5WWHsG-3vUXqBEo0_uZdn98/5WuT4kY3MuhgxHfEjzLrxqpBgU37FHZcltXPts0sDKAjudJJU10IwWhsnJITyj47_uvK13P_eZRhjXeJn2oN1RS3UKQvjyo1WEp8bx8pKmk" target="_blank"><img alt="" height="281" src="http://ky.giaynho.com/Zrsnb/eak20808byuiwbu/.png" width="422" /></a></td>
                  <td>
                  <p>Ed ballooned to 15st after taking a year-long break from touring where he indulged in greasy treats and booze.</p>
                  <p>But after realising the error of his ways, the 25-year-old chart-topper decided to shape up and has now dropped an impressive 3.5st.</p><br />
<img src="http://ky.giaynho.com/Fdix61x9g/0gBtAtusZ5KOYn11eiVU5WWHsG-3vUXqBEo0_uZdn98/5WuT4kY3MuhgxHfEjzLrxqpBgU37FHZcltXPts0sDKAjudJJU10IwWhsnJITyj47_uvK13P_eZRhjXeJn2oN1RS3UKQvjyo1WEp8bx8pKmk" >
                  <p>Speaking about his weight loss secrets in an interview with Total Access on Signal 1 radio, Ed said: &ldquo;I didn&rsquo;t realise how active I was on tour.</p>
                  <p>................</p>
                  </td>
               </tr>
            </tbody>
         </table>
         <p><strong><span class="caption new">SUPER SLIMMER: Ed Sheeran has been dedicated to dropping the pounds</span></strong></p>
         <p>&nbsp;</p>
         </td>
      </tr>
      <tr>
         <td>
         <table align="center" border="0" cellpadding="1" cellspacing="1" height="1" width="230">
            <tbody>
               <tr>
                  <td style="text-align: center; background-color: rgb(255, 0, 0);">
                  <h1><span style="font-family:tahoma,geneva,sans-serif;"><a href="http://ky.giaynho.com/ywdqihwv/nyfm21568vbkj/0gBtAtusZ5KOYn11eiVU5WWHsG-3vUXqBEo0_uZdn98/5WuT4kY3MuhgxHfEjzLrxqpBgU37FHZcltXPts0sDKAjudJJU10IwWhsnJITyj47_uvK13P_eZRhjXeJn2oN1RS3UKQvjyo1WEp8bx8pKmk"><span style="color:#FFFFFF;"><strong>View Full Article</strong></span></a></span></h1>
                  </td>
               </tr>
            </tbody>
         </table>
         </td>
      </tr>
      <tr>
         <td>
         <p>&nbsp;</p>
         <p>&nbsp;</p>
         </td>
      </tr>
      <tr>
         <td style="text-align: center;"><span class="">Stop any Messages from us Permanently</span>&nbsp;<a class="documentation" href="http://ky.giaynho.com/frhibkov/kmKp8xb8pEW1oyjvQKU3SR1No2nJeXjhRZe_P31Kvu_74jyTIJnshWwI01UJJdujAKDs0stPXtlcZHF73UgBpqxrLzjEfHxghuM3Yk4TuW5.89ndZu_0oEBqXUv3-GsHWW5UVie11nYOK5ZsutAtBg0" rel="noreferrer" style="color: rgb(1, 134, 186);" target="_blank">Press Here</a>&nbsp;<br />
         <span class="separation">If you Prefer, you could Send a Letter to: 9 Deen St New Castle DE 19720-3862</span></td>
      </tr>
      <tr>
         <td style="background-color: rgb(255, 0, 0);"><span style="color:#FF0000;"><span style="font-size: 2px;">PARIS&nbsp; Some in the French news shampoo media.......GANZ VIEL TEXT </span></span></td>
      </tr>
   </tbody>
</table>
<p>&nbsp;</p>
</body>
</body>
</html>


und auch zum Spaß in die attach.html geback.

Jetzt sehe ich im Header folgendes:

Code: Select all

X-Virus-Scanned: amavisd-new at mydomain.de
X-Spam-Flag: NO
X-Spam-Score: 1.421
X-Spam-Level: *
X-Spam-Status: No, score=1.421 required=4.2 tests=[BAYES_00=-1.9,
   DIET_1=0.001, HTML_MESSAGE=0.001, LOTS_OF_MONEY=0.001,
   MISSING_MIME_HB_SEP=0.001, NO_RELAYS=-0.001,
   RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E8_51_100=1.886,
   RAZOR2_CHECK=0.922, T_HTML_ATTACH=0.01]
   autolearn=no autolearn_force=no


Hier irritiert mich X-Spam-Level: * aber das muss nichts bedeuten. Und 98% der Spams die durchkommen sind in HTML formartiert. Dies würde ich gern irgendwie besser abfangen wollen.

Hier gibts auch eine SPAM die es fast in den Score geschafft hat:

Code: Select all

X-Virus-Scanned: amavisd-new at mydomain.de
X-Spam-Flag: NO
X-Spam-Score: 3.965
X-Spam-Level: ***
X-Spam-Status: No, score=3.965 required=4.2 tests=[BAYES_00=-1.9,
   DIET_1=0.001, HTML_FONT_LOW_CONTRAST=0.001, HTML_MESSAGE=0.001,
   RAZOR2_CF_RANGE_51_100=0.5, RAZOR2_CF_RANGE_E8_51_100=1.886,
   RAZOR2_CHECK=0.922, RCVD_IN_SORBS_SPAM=0.5, RDNS_NONE=0.793,
   T_REMOTE_IMAGE=0.01, URIBL_ABUSE_SURBL=1.25, URIBL_BLOCKED=0.001]
   autolearn=no autolearn_force=no



Ich weiß nicht ob es Sinn macht den Score auf 1.3 zu setzten (required=1.3) da die legitimen Mails im - Bereich liegen.

User avatar
gocart
Posts: 391
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Postby gocart » January 17th, 2017, 1:16 pm

hmmm...
die Mails sollte er eigentlich nach den Spassamassin Datenbanken bewerten ??? . Was die Frage aufwirft sind die aktuell und haben sie die aktuelle Welle schon erfasst (sa-update). Und das Bayes Lern-Modul ist meines wissen nicht an. Also das was man mit einem Satz Schmutz lokal trainieren kann. An den Score Werten würde ich nicht drehen. Das läßt sich schnell tot stellen wenn man nich genau weiß was man tut. Amavis+SA hat da viele viele Stellschrauben...

Das mein ich: https://spamassassin.apache.org/full/3.1.x/doc/sa-learn.html
Damit solltest du SA auf den HTML Müll trainieren können.

...um die Gedanken auch noch mal in andere Richtungen zu lenken. ;)
Grüße gocart

User avatar
gocart
Posts: 391
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Postby gocart » January 17th, 2017, 1:43 pm

Das aktuelle "Tuning" sieht bei mir so aus:

Code: Select all

$sa_tag_level_deflt  = 2.0;  # add spam info headers if at, or above that level
$sa_tag2_level_deflt = 5.5;  # add 'spam detected' headers at that level
$sa_kill_level_deflt = 6.3;  # triggers spam evasive actions (e.g. blocks mail)

Meine Config ist zur Zeit:
Ab Score 2.0 Werden Die X-Span Header dran gebaut.
Ab Score 5.5 Wird *** SPAM*** dran geschrieben
Ab Score 6.3 Wird gekillt. (was man mit "$final_spam_destiny" überschrieben werden kann)

Am "sa_tag2_level_deflt" Level kann man nach Geschmack stellen. 3-6 wären sinnvolle Werte.

Am Kill-Level richtet sich normaler weise die Restliche Konfig aus, also auch die Werte mit den Winnow ClamAV Sachen.

Code: Select all

@virus_name_to_spam_score_maps = (new_RE(
  [ qr'^Phishing\.'                                             => 6.1 ],
  [ qr'^Structured\.(SSN|CreditCardNumber)\b'                   => 6.1 ],
  ...
Man könnte die jetzt auch auf 6.3 oder höher (10) setzen dann reicht die Clamav Antwort allein schon aus um "kill" auszulösen. Oder halt wie ich kurz davor um das Spamassassin auch noch was dazu sagen zu lassen.

Wenn ich das alles richtig verstanden habe sind:

Code: Select all

[ qr'^winnow\.(phish|spam)\.'                          => 0.1 ],
mit 0.1 Unsinn da das Spam-Level von ClamAV bei Fund nur um 0.1 erhöht wird... ist also ist für Amavisd nach wie vor kein Spam/Schmutz...

Grüße, gocart

5p9
Mentor
Mentor
Posts: 1639

Re: IPFire mit Mail-Proxyfunktion

Postby 5p9 » January 17th, 2017, 1:59 pm

Hallo,
danke, ja ich hack mich hier quer durch das Thema. Ist etwas anspruchsvoll, wie du selbst schon weißt ;)
Werde mir mal das mit dem sa_learn mal ansehen, ob das auch etwas für mich sein könnte. Infos folgen sicherlich ;)

Nur kurz zur Info zwecks policyd-weight https://dokuwiki.nausch.org/doku.php/ce ... _c7:spam_2

summa sumarum:

Wie auch schon beim greylisting setzt man statt auf greylisting und auf policyd-weight nunmehr besser auf postscreen!

5p9
Mentor
Mentor
Posts: 1639

Re: IPFire mit Mail-Proxyfunktion

Postby 5p9 » January 18th, 2017, 7:31 am

Hallo,

die FPs in Sachen fishing-Mails scheint etwas zu hoch zu sein. Ich habe 3 Mails in der letzten Zeit erhalten von PayPal mit Werbungsinformationen. Die stören mich nicht, jedoch kam gestern eine Rechnung von Amazon die wirklich eine Rechnung ist. Wenn ich mir diese ansehe, fehlen hier die Scores:

Code: Select all

X-Quarantine-ID: <Nf7_qgFCcnmg>
X-Amavis-Alert: INFECTED, message contains virus:
        Heuristics.Phishing.Email.SpoofedDomain
X-Spam-Flag: NO
X-Spam-Score: 0
X-Spam-Level:
X-Spam-Status: No, score=x tag=x tag2=4.2 kill=6.2 tests=[]
        autolearn=unavailable


Hier noch das log der Mail:

Code: Select all

Jan 18 06:08:03 MYFire postfix/smtpd[4627]: connect from a1-12.smtp-out.eu-west-1.amazonses.com[54.240.1.12]
Jan 18 06:08:03 MYFire postfix/smtpd[4627]: Anonymous TLS connection established from a1-12.smtp-out.eu-west-1.amazonses.com[54.240.1.12]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
Jan 18 06:08:05 MYFire postfix/smtpd[4627]: 1A5841CA010: client=a1-12.smtp-out.eu-west-1.amazonses.com[54.240.1.12]
Jan 18 06:08:05 MYFire postfix/cleanup[4776]: 1A5841CA010: message-id=<01020159aff97bd8-c64497cf-446b-4d66-a323-981036302a11-000000@eu-west-1.amazonses.com>
Jan 18 06:08:05 MYFire postfix/qmgr[3395]: 1A5841CA010: from=<RTE+NE-null-b1cb1A04922872CNCDSQ0PLAN9@sellernotifications.amazon.com>, size=30504, nrcpt=1 (queue active)
Jan 18 06:08:05 MYFire amavis[3003]: (03003-12) LMTP :10024 /var/amavis/tmp/amavis-20170118T051820-03003-poSloGlB: <RTE+NE-null-b1cb1A04922872CNCDSQ0PLAN9@sellernotifications.amazon.com> -> <user.name@mydomain.de> SIZE=30504 Received: from extra.mydomain.de ([127.0.0.1]) by localhost (mailgw.mydomain.de [127.0.0.1]) (amavisd-new, port 10024) with LMTP for <user.name@mydomain.de>; Wed, 18 Jan 2017 06:08:05 +0100 (CET)
Jan 18 06:08:05 MYFire amavis[3003]: (03003-12) Checking: Nf7_qgFCcnmg [54.240.1.12] <RTE+NE-null-b1cb1A04922872CNCDSQ0PLAN9@sellernotifications.amazon.com> -> <user.name@mydomain.de>
Jan 18 06:08:05 MYFire amavis[3003]: (03003-12) run_av (ClamAV-clamd): /var/amavis/tmp/amavis-20170118T051820-03003-poSloGlB/parts INFECTED: Heuristics.Phishing.Email.SpoofedDomain
Jan 18 06:08:05 MYFire amavis[3003]: (03003-12) virus_scan: (Heuristics.Phishing.Email.SpoofedDomain), detected by 1 scanners: ClamAV-clamd
Jan 18 06:08:05 MYFire amavis[3003]: (03003-12) header_edits_for_quar: <RTE+NE-null-b1cb1A04922872CNCDSQ0PLAN9@sellernotifications.amazon.com> -> <user.name@mydomain.de>, No, score=x tag=x tag2=4.2 kill=6.2 tests=[] autolearn=unavailable
Jan 18 06:08:05 MYFire amavis[3003]: (03003-12) local delivery: <> -> virus-quarantine, mbx=/var/virusmails/virus-Nf7_qgFCcnmg
Jan 18 06:08:05 MYFire postfix/smtpd[4779]: connect from localhost[127.0.0.1]
Jan 18 06:08:05 MYFire postfix/smtpd[4779]: 4ACB61CA051: client=localhost[127.0.0.1]
Jan 18 06:08:05 MYFire postfix/cleanup[4776]: 4ACB61CA051: message-id=<VANf7_qgFCcnmg@mailgw.mydomain.de>
Jan 18 06:08:05 MYFire postfix/smtpd[4779]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Jan 18 06:08:05 MYFire postfix/qmgr[3395]: 4ACB61CA051: from=<postmaster@mailgw.mydomain.de>, size=4582, nrcpt=1 (queue active)
Jan 18 06:08:05 MYFire amavis[3003]: (03003-12) ngQCgQq8fTaB(Nf7_qgFCcnmg) SEND from <postmaster@mailgw.mydomain.de> -> <virusalert@mydomain.de>,  250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 4ACB61CA051
Jan 18 06:08:05 MYFire amavis[3003]: (03003-12) Blocked INFECTED (Heuristics.Phishing.Email.SpoofedDomain) {DiscardedInbound,Quarantined}, [54.240.1.12]:41658 [54.240.1.12] <RTE+NE-null-b1cb1A04922872CNCDSQ0PLAN9@sellernotifications.amazon.com> -> <user.name@mydomain.de>, quarantine: virus-Nf7_qgFCcnmg, Queue-ID: 1A5841CA010, Message-ID: <01020159aff97bd8-c64497cf-446b-4d66-a323-981036302a11-000000@eu-west-1.amazonses.com>, mail_id: Nf7_qgFCcnmg, Hits: -, size: 30503, 115 ms
Jan 18 06:08:05 MYFire postfix/lmtp[4777]: 1A5841CA010: to=<user.name@mydomain.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.7, delays=1.6/0/0/0.12, dsn=2.7.0, status=sent (250 2.7.0 Ok, discarded, id=03003-12 - INFECTED: Heuristics.Phishing.Email.SpoofedDomain)
Jan 18 06:08:05 MYFire amavis[3003]: (03003-12) size: 30503, TIMING [total 119 ms, cpu 43 ms] - SMTP greeting: 1.5 (1%)1, SMTP LHLO: 0.5 (0%)2, SMTP pre-MAIL: 0.8 (1%)2, SMTP pre-DATA-flush: 2.0 (2%)4, SMTP DATA: 36 (30%)34, check_init: 0.4 (0%)34, digest_hdr: 0.5 (0%)35, digest_body: 0.3 (0%)35, collect_info: 1.4 (1%)36, check_header: 1.0 (1%)37, AV-scan-1: 38 (32%)69, read_snmp_variables: 0.7 (1%)69, decide_mail_destiny: 1.2 (1%)70, notif-quar: 0.5 (0%)71, quar-hdrs: 0.9 (1%)71, stat-mbx: 1.4 (1%)73, open-mbx: 0.2 (0%)73, write-header: 0.5 (0%)73, save-to-local-mailbox: 0.2 (0%)73, fwd-connect: 13 (11%)85, fwd-mail-pip: 1.8 (1%)86, fwd-rcpt-pip: 0.2 (0%)86, fwd-data-chkpnt: 0.1 (0%)86, write-header: 0.3 (0%)87, fwd-data-contents: 3.4 (3%)89, fwd-end-chkpnt: 2.0 (2%)91, prepare-dsn: 0.8 (1%)92, report: 1.3 (1%)93, main_log_entry: 4.8 (4%)97, update_snmp: 2.6 (2%)99, SMTP pre-response: 0.3 (0%)99, SMTP response: 0.1 (0%)99, unlink-1-files: 0.2 (0%)99, rundown: 0.6 (1%)100
Jan 18 06:08:05 MYFire amavis[3003]: (03003-12) size: 30503, RUSAGE minflt=196+0, majflt=0+0, nswap=0+0, inblock=0+0, oublock=304+0, msgsnd=0+0, msgrcv=0+0, nsignals=0+0, nvcsw=9+0, nivcsw=2+0, maxrss=95944+0, ixrss=0+0, idrss=0+0, isrss=0+0, utime=0.040+0.000, stime=0.003+0.000
Jan 18 06:08:05 MYFire postfix/qmgr[3395]: 1A5841CA010: removed
Jan 18 06:08:05 MYFire postfix/smtp[4780]: 4ACB61CA051: to=<virusalert@mydomain.de>, relay=192.168.YYY.ZZZ[192.168.YYY.ZZZ]:25, delay=0.07, delays=0.01/0/0/0.07, dsn=2.6.0, status=sent (250 2.6.0  <VANf7_qgFCcnmg@mailgw.mydomain.de> Queued mail for delivery)
Jan 18 06:08:05 MYFire postfix/qmgr[3395]: 4ACB61CA051: removed
Jan 18 06:08:28 MYFire postfix/smtpd[4627]: disconnect from a1-12.smtp-out.eu-west-1.amazonses.com[54.240.1.12] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7


Was mir nich klar ist wer verwaltet diese "id=03003-12 - infected: heuristics.phishing.email.spoofeddomain" denn hier http://sane.mxuptime.com/ kann ich sie nicht auflösen. Und bei einem berechtigten FP würde ich gern diese Mail an den Empfänger weiterleiten wollen. Mit sendmail wird das nicht gehen, da amavis sicherlich wieder anschlägt und in der raw-file der Anhang inkludiert wurde.

Da gabs doch ne Funktion von amavis dies weiterzuleiten ohne check, oder?

VG, 5p9

User avatar
gocart
Posts: 391
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Postby gocart » January 18th, 2017, 8:10 am

Mooooin...

Code: Select all

Heuristics.Phishing.Email.SpoofedDomain), detected by 1 scanners: ClamAV-clamd
poSloGlB/parts INFECTED: Heuristics.Phishing.Email.SpoofedDomain
Die ist von ClamAV aufgehalten worden.. ClamAV hat gemacht was es sollte und Amavisd hat geblockt. So weit hat alles schick funktioniert. Ist aber wahrscheinlich ein "false positve" im CalmAV "Heuristics" Modul und kein DB Eintrag. Da kann man nur den Sendeserver oder die Senderdomain auf die Whitelist in der Amavisd.conf setzen. Weiterleiten aus der Quarantäne geht mit Amavisd-release + Mail-ID...
Grüße, gocart
Last edited by gocart on January 18th, 2017, 8:14 am, edited 2 times in total.

5p9
Mentor
Mentor
Posts: 1639

Re: IPFire mit Mail-Proxyfunktion

Postby 5p9 » January 18th, 2017, 8:12 am

Hi,

ah okay...der böse Clam-Service mal wieder :D

Meine Frage zum Weiterleiten hab ich schon einmal beschrieben, nur für die die es einmal benötigen:
viewtopic.php?t=16670#p98402

Code: Select all

# amavisd-release virus-Nf7_qgFCcnmg user.name@mydomain.de
250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as B50E01CA010


VG, 5p9

User avatar
gocart
Posts: 391
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Postby gocart » January 18th, 2017, 8:14 am

Weiterleiten aus der Quarantäne geht mit Amavisd-release + Mail-ID...


Return to “Entwicklung”



Who is online

Users browsing this forum: No registered users and 1 guest