Toon posts:

[spamassassin] te lage score?

Pagina: 1
Acties:

dinsdag 24 mei 2005 08:17

Acties:
  • usr-local-dick
  • Registratie: September 2001
  • Niet online

usr-local-dick

Topicstarter
Hoi

Op onze mailserver draait spamassassin, dit werkt over het algemeen goed. Echter er komen toch nog mailtjes door die een veel te lage score krijgen. Als je de tests optelt kom je boven de 5 uit, echter SA zegt dat er 0.8 points zijn.
Zie hier de headers van het mailtje:

From aw-confirm@ebay.com Tue May 24 08:06:57 2005
Return-Path: <httpd@tjsonline.ddo.jp>
X-Original-To: webmaster@terena.nl
Delivered-To: dick@erasmus.terena.nl
Received: from localhost (erasmus [127.0.0.1])
        by erasmus.terena.nl (Postfix) with ESMTP id BDA4364527
        for <webmaster@terena.nl>; Tue, 24 May 2005 07:22:32 +0200 (CEST)
Received: from erasmus.terena.nl ([127.0.0.1])
        by localhost (erasmus [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id 20096-08 for <webmaster@terena.nl>;
        Tue, 24 May 2005 07:22:32 +0200 (CEST)
Received: from lusifer.tjsonline.ddo.jp (gif3-p2.flets.hi-ho.ne.jp
    [219.126.220.2])
        by erasmus.terena.nl (Postfix) with ESMTP id ADB1264514
        for <webmaster@terena.nl>; Tue, 24 May 2005 07:22:31 +0200 (CEST)
Received: by lusifer.tjsonline.ddo.jp (Postfix, from userid 501)
        id EB81318B052; Tue, 24 May 2005 14:17:53 +0900 (JST)
To: "webmaster@terena.nl"@tjsonline.ddo.jp, ""
Subject: eBay Account - Suspicious Activity
Message-ID: <1116911873.21974.qmail@arribada.ebay.com>
From: "eBay Customer Support" <aw-confirm@ebay.com>
Content-Type: text/html
Date: Tue, 24 May 2005 14:17:53 +0900 (JST)
X-Virus-Scanned: by amavisd-new-20030616-p10 (Debian) at erasmus.terena.nl
X-Spam-Checker-Version: SpamAssassin 3.0.2 (2004-11-16) on erasmus
X-Spam-Status: No, score=0.8 required=5.0 tests=BAYES_50,HTML_50_60,
       HTML_FONT_BIG,HTML_FONT_FACE_BAD,HTML_MESSAGE,
       HTML_MIME_NO_HTML_TAG,HTML_TAG_EXIST_TBODY,
       MIME_HEADER_CTYPE_ONLY,MIME_HTML_ONLY
       autolearn=no version=3.0.2
X-Spam-Level:


Ik heb enkele custom rules in /etc/spamassassin/local.cf maar daar lijkt het niet aan te liggen:
score NO_DNS_FOR_FROM 0 1.1 0 4.8
score BAYES_99 0 0 4.070 4.800
score NO_REAL_NAME 0.5 0.6 0.9 0.2


Weet iemand hoe dit komt?
Ook zou ik graag willen weten hoe je in niet-spam toch het lijstje te zien krijgt met alle hits plus punten en uitleg, net zoals in spam berichten, zodat je kan kijken wat er gebeurt.

[ Voor 4% gewijzigd door usr-local-dick op 24-05-2005 08:19 ]

dinsdag 24 mei 2005 09:20

Acties:

Verwijderd

Je kunt ergens in je spamassassin config instellen wat de threshold is waarboven die extra header wordt toegevoegd. Check het commentaar dat in de default configfile wordt bijgeleverd, daar staat het duidelijk in vermeld.

dinsdag 24 mei 2005 12:06

Acties:
  • FailFr8er
  • Registratie: Juli 2001
  • Laatst online: 17:52

FailFr8er

Ik zie dat je amavisd-new gebruikt, in je amavisd.conf (in gentoo op /etc/amavisd.conf) kun je proberen deze entry aan te passen:

code:
1

$sa_spam_report_header = 1; # insert X-Spam-Report header field? default false


Standaard staat ie op 0, maar als je hem op 1 zet zet hij het rapport erin.
Weet alleen niet 100% zeker of dat ook gebeurd als hij het niet ziet als spam....


[VOORBEELD]
X-Spam-Report: Spam detection software, running on the system "yggdrasil.cannonfodder.nl", has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email. If you have any questions, see
the administrator of that system for details.
Content preview: GSMWEB.NL SPECIALE EDITIE NIEUWSBRIEF KLIK HIER!
http://www.gsmweb.nl/gsmweb/gsmnieuwsbrief/2005/mei_2.htm GSMWEB Aktie
nieuwsbrief Mei 2005 editie 2 Indien u de nieuwsbrief niet goed
ontvangt kunt u terecht op onderstaande link:
http://www.gsmweb.nl/gsmweb/gsmnieuwsbrief/2005/mei_2.htm [...]
Content analysis details: (7.2 points, 5.0 required)
pts rule name description
---- ---------------------- --------------------------------------------------
1.3 RATWARE_HASH_2_V2 Bulk email fingerprint (hash 2 v2) found
0.4 SUBJ_ALL_CAPS Subject is all capitals
0.3 MIME_HTML_MOSTLY BODY: Multipart message mostly text/html MIME
0.0 HTML_MESSAGE BODY: HTML included in message
0.2 HTML_FONT_BIG BODY: HTML tag for a big font size
1.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar to background
1.5 MPART_ALT_DIFF BODY: HTML and text parts are different
0.2 HTML_90_100 BODY: Message is 90% to 100% HTML
0.5 FRONTPAGE RAW: Frontpage used to create the message
0.4 DNS_FROM_RFC_ABUSE RBL: Envelope sender in abuse.rfc-ignorant.org
1.4 DNS_FROM_RFC_POST RBL: Envelope sender in postmaster.rfc-ignorant.org
0.1 MIME_BOUND_NEXTPART Spam tool pattern in MIME boundary

[ Voor 69% gewijzigd door FailFr8er op 24-05-2005 12:08 ]

dinsdag 24 mei 2005 20:21

Acties:

Verwijderd

Als je de $sa_spam_report_header variabele aanzet krijg je inderdaad een report.
Volgens mij staat dat al aan bij jou, hoe dat precies gaat bij amavisd weet ik niet.

Dat report zou je aan moeten kunnen passen in de local.cf die afhankelijk van je distro ergens in /etc/mail/spamassassin staat.
Zet daar iets in als:
code:
1
2
3

clear_report_template
report _TESTSSCORES(,)_
report _SUMMARY_

Op die manier krijg je wat meer info over de tests en hun scores, op deze manier:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

  X-Spam-Score: 64.1 (+++++++++++++++++++++++++++++++++++++++++++++++++++)
  X-Spam-Flag: YES
  X-Spam-Report: AWL=3.325,DATE_IN_FUTURE_06_12=1.202,FORGED_YAHOO_RCVD=2.174,HTML_MESSAGE=0.001,HTML_TAG_EXIST_TBODY=0.233,NO_REAL_NAME=0.178,RAZOR2_CF_RANGE_51_100=6,RAZOR2_CHECK=1,URIBL_AB_SURBL=10,URIBL_OB_SURBL=10,URIBL_SBL=10,URIBL_SC_SURBL=10,URIBL_WS_SURBL=10
        0.2 NO_REAL_NAME           From: does not include a real name
        1.2 DATE_IN_FUTURE_06_12   Date: is 6 to 12 hours after Received: date
        2.2 FORGED_YAHOO_RCVD      'From' yahoo.com does not match 'Received' headers
        0.0 HTML_MESSAGE           BODY: HTML included in message
        0.2 HTML_TAG_EXIST_TBODY   BODY: HTML has "tbody" tag
        6.0 RAZOR2_CF_RANGE_51_100 BODY: Razor2 gives confidence level above 50%
        [cf: 100]
        1.0 RAZOR2_CHECK           Listed in Razor2 (http://razor.sf.net/)
        10 URIBL_SBL              Contains an URL listed in the SBL blocklist
        [URIs: softdealership.com]
        10 URIBL_AB_SURBL         Contains an URL listed in the AB SURBL blocklist
        [URIs: softdealership.com]
        10 URIBL_WS_SURBL         Contains an URL listed in the WS SURBL blocklist
        [URIs: softdealership.com]
        10 URIBL_OB_SURBL         Contains an URL listed in the OB SURBL blocklist
        [URIs: softdealership.com]
        10 URIBL_SC_SURBL         Contains an URL listed in the SC SURBL blocklist
        [URIs: softdealership.com]
        3.3 AWL                    AWL: From: address is in the auto white-list

[ Voor 128% gewijzigd door Verwijderd op 24-05-2005 20:31 ]

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq