[courier-maildrop] .mailfilter probleem - Linux en overige clients

maandag 22 november 2004 01:22

Acties:

Topicstarter

dag tweakers,

er zijn een aantal topics te vinden hier op GoT over dit onderwerp die opzich best bruikbaar zijn, maar helaas gaat dit niet op voor mij.
ook google biedt geen uitweg.

ik zit met het volgende probleem.
ik wil virusalert mailtjes en spamalert mailtjes filteren, erg leuk en niet zo moeilijk zou je denken. opzich is dit ook waar, de spamalert mailtjes worden er automatisch tussenuit gefilterd en netjes in '.Junkmail' afgeleverd in ieders maildir.
nu hoeft niet iedereen met die virusalert mailtjes opgescheept te zitten (schrikt men alleen van), dus die wil ik alleen in mijn eigen maildir laten afleveren in een apparte map. ook niet zo moeilijk zou je zeggen, maar dan komt mijn probleem.

op de courier-mta site staat een aardige documentatie over courier-maildrop die vrij duidelijk is.
ik heb deze eens doorgelezen en er staat het volgende dat mijn probleem zou kunnen oplossen:

in ".mailfilter"

code:

1 2	if (/^Delivered-To: *auto@domain\.com$/) to Mail/auto

vrij duidelijk zou je zeggen, maar dan mijn probleem.

mijn domein is als volgt, naam-server.domein.com hoe ga je dat in die .mailfilter file invullen met bovenstaande code??

code:

#werkt niet
if (/^Delivered-To: *auto@naam-server.domain\.com$/)
    to Mail/auto

#werkt niet
if (/^Delivered-To: *auto@naam-server\.domain\.com$/)
    to Mail/auto

#werkt niet
if (/^Delivered-To: *auto@naam-server$\.domain$\.com$/)
    to Mail/auto

#werkt ook niet, maar deze was wel te verwachten
if (/^Delivered-To: *auto@naam-server.domain.com$/)
    to Mail/auto

ik ben een beetje einde raadt, hoe ga ik dit nu oplossen

?

bij voorbaat heel veel dank
Met vriendelijke groet,
Gupje

maandag 22 november 2004 01:53

Acties:

Infern0

Hou die ontzettende rust!!

Kun je geen gebruik maken van de Environment Variables. Ik weet dat qmail-local de volgende heeft:

code:

# Environment Variables you can import from qmail-local:
#  SENDER  is  the envelope sender address
#  NEWSENDER is the forwarding envelope sender address
#  RECIPIENT is the envelope recipient address, local@domain
#  USER is user
#  HOME is your home directory
#  HOST  is the domain part of the recipient address
#  LOCAL is the local part
#  EXT  is  the  address extension, ext.
#  HOST2 is the portion of HOST preceding the last dot
#  HOST3 is the portion of HOST preceding the second-to-last dot
#  HOST4 is the portion of HOST preceding the third-to-last dot
#  EXT2 is the portion of EXT following the first dash
#  EXT3 is the portion following the second dash;
#  EXT4 is the portion following the third dash.
#  DEFAULT  is  the  portion corresponding to the default part of the .qmail-... file name
#  DEFAULT is not set if the file name does not end with default
#  DTLINE  and  RPLINE are the usual Delivered-To and Return-Path lines, including newlines
##

Je mailfilter ziet dan zo uit:

code:

SHELL="/bin/sh"
import EXT
import HOST
import DTLINE
if($DTLINE eq "*auto@$HOST")
{
 to "Mail/auto"
}

http://www.bsdfreaks.nl Home site: http://rob.lensen.nu /me was RobL

maandag 22 november 2004 16:43

Acties:

weijl

Topicstarter

ik gebruik postfix, dus die je als voorbeeld gaf gaan voor mij niet op helaas.
tried some of postfix (like $HOSTNAME), also didn't work

had het nu iets anders in gedachte, ik kan dit natuurlijk ook in de maildroprc zelf regelen.
maar dan snap ik niet wat er fout is aan onderstaande, want virussen komen dus mooi niet binnen in de daarvoor aangewezen map 'Virusmail'. aan de spam ga ik nu ook heel erg twijfelen, weet iemand hoe ik op spam kan testen?

code:

ADMIN="/home/admin"
logfile "/var/log/maildrop"
VERBOSE="5"
log "========"

## if spam, put the shit in the Junkmail folder.
if (/^X-Spam-Flag:.*YES/) # Watch out for header line added by Spamassassin.
    {
     log "------------------------------------------------------------- Spam general. "
     to "Maildir/.Junkmail"
     #DELTAG=1
    }

## if virus, put it in admin's Virusmail folder.
if (/^X-Virus-Status:.*INFECTED/)
    {
     log "------------------------------------------------------------- Virus general. "
     to "$ADMIN/Maildir/.Virusmail"
     #DELTAG=1
    }

ik maak overigens gebruik van Postfix, amavis, Courier-imap en Courier-Maildrop.
weet niet of dat verder iets uitmaakt.

plz help me, ik word gek hier.

edit:

SPAM werkt ook niet, die komt ook gewoon in de INBOX terecht ipv de Junkmail folder. what am I doing wrong?

[ Voor 11% gewijzigd door weijl op 22-11-2004 17:10 ]

dinsdag 23 november 2004 12:23

Acties:

Verwijderd

Hieronder mijn spam/antivir filter regels. Ik draai overigens een bijna identieke setup:

code:

if (/^X-Spam-Flag:.*YES/)
{
        to $HOME/Maildir/.Junkmail.Spam
}

if (/^Subject:.*(VIRUS|BANNED).*FROM.*$/)
{
        to $HOME/Maildir/.Junkmail.Virusses
}

dinsdag 23 november 2004 15:36

Acties:

Verwijderd

#werkt niet
if (/^Delivered-To: *auto@naam-server\.domain\.com$/)
to Mail/auto

Toch zou deze het moeten zijn. De \ voor de . is nodig om hem te escapen: . is een wildcard in een regular expression, de $ betekent "einde van de regel". Post eens de headers van een bericht dat volgens deze rule verplaatst moet worden...

[ Voor 3% gewijzigd door Verwijderd op 23-11-2004 15:36 ]

dinsdag 23 november 2004 15:48

Acties:

weijl

Topicstarter

tenkjoe r3boot

ik denk dat die $HOME et em deed. (voor de spam althans)
de virus code heb ik letterlijk over genomen, en die werkt nu ook.

je wilt niet weten hoe dankbaar ik ben!

[ Voor 2% gewijzigd door weijl op 23-11-2004 23:31 . Reden: te voorbarig met mijn uitspraak. ]

dinsdag 23 november 2004 16:07

Acties:

Zwerver

offtopic:
Ik weet wel waar je r3boot blij mee kan maken hoor

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

dinsdag 23 november 2004 23:33

Acties:

weijl

Topicstarter

offtopic:
ohja? hoe dan

spam werkt nogsteeds niet.
kan dit overigens ook aan een klein config foutje liggen in mijn amavisd.conf? <--- enige wat ik nog kan bedenken..

edit:

al was dit een klein config foutje, dan zou de fout em zitten in het gedeelte waar staat (net als voor het virus gebeuren) dat 'aangewezen mail adres' een notificatie moet krijgen. maar dat verklaart nog niet waarom de spam dan in mijn gewone inbox terecht komt.

zal nu even mijn bedoeling uitleggen, als je het hiermee niet eens bent graag ook vertellen waarom.

mijn bedoeling is om per useraccount de spam die zij binnenkrijgt in de .Junkmail folder te droppen zodat zij hiervan geen last hebben.

[ Voor 65% gewijzigd door weijl op 23-11-2004 23:41 . Reden: verduidelijken ]

woensdag 24 november 2004 10:44

Acties:

Verwijderd

gupje schreef op dinsdag 23 november 2004 @ 23:33:

offtopic:
ohja? hoe dan

offtopic:
hehe, je mag me wel een ds25 of een es45 sponsoren hoor, vind ik totaal geen probleem

spam werkt nogsteeds niet.
kan dit overigens ook aan een klein config foutje liggen in mijn amavisd.conf? <--- enige wat ik nog kan bedenken..

edit:

al was dit een klein config foutje, dan zou de fout em zitten in het gedeelte waar staat (net als voor het virus gebeuren) dat 'aangewezen mail adres' een notificatie moet krijgen. maar dat verklaart nog niet waarom de spam dan in mijn gewone inbox terecht komt.

Heb je zo'n spam notificatie mailtje bij de hand? Zo ja, zou je dan de headers willen posten?

zal nu even mijn bedoeling uitleggen, als je het hiermee niet eens bent graag ook vertellen waarom.

mijn bedoeling is om per useraccount de spam die zij binnenkrijgt in de .Junkmail folder te droppen zodat zij hiervan geen last hebben.

Yup, dat gebruik ik ook. Eventueel zou je boven de spam/av rules hierboven het volgende kunnen zetten (als je amavis niet wilt gebruiken):

code:

1	xfilter "/path/to/spamassassin"

Dmv bovenstaande regel filter je alle mail die door maildrop verwerkt wordt door SA.

woensdag 24 november 2004 18:06

Acties:

weijl

Topicstarter

Heb je zo'n spam notificatie mailtje bij de hand? Zo ja, zou je dan de headers willen posten?

Natuurlijk. Ik wil best de headers posten, maar (klinkt mss raar) ik heb eik geen idee wat dat precies inhoud. ben net bezig wat mailservers en virus/spam scanning betreft. een kleine uitleg is dus wel gewenst. en als ik dan eenmaal weet wat ik moet posten, dan zal ik dat zeker doen

edit:
google doet wonderen (als dit bedoelt wordt althans

)
dit had ik zelf ook wel kunnen bedenken eigenlijk

code:

------------------------- BEGIN HEADERS -----------------------------
Return-Path: <promo@cidcocom.com>
Received: from host28.sun04light.com (unknown [65.207.184.28])
        by ecco.mindx.nl (Postfix) with SMTP id 1EDE123560
        for <lenny@weijl.org>; Tue, 23 Nov 2004 22:55:31 +0100 (CET)
To: lenny@weijl.org
Date: Wed, 24 Nov 2004 04:27:52 -0500
Message-ID: <1101288472.5991@host28.sun04light.com>
X-Mailer: Mozilla 4.76 [en] (X11; U; SunOS 5.8 sun4u)
From: Cidco Communications <promo@cidcocom.com>
Subject: Stop wasting your unused cell phone minutes
Content-Type: text/html
Content-Transfer-Encoding: 7bit
Content-Disposition: inline
-------------------------- END HEADERS ------------------------------

[ Voor 53% gewijzigd door weijl op 24-11-2004 18:12 ]

donderdag 25 november 2004 09:44

Acties:

Verwijderd

hehe, ik bedoel de headers van het notificatie mailtje van spamassassin, niet de headers van het spam mailtje zelf. Hierin hoort namelijk de X-Spam-Flag header te zitten, en deze zou je kunnen gebruiken om filter expressies op te baseren.

donderdag 25 november 2004 21:35

Acties:

weijl

Topicstarter

excuses

code:

Unsolicited bulk email from:
   promo@cidcocom.com
Subject: Stop wasting your unused cell phone minutes

According to the 'Received:' trace, the message originated at:
   host28.sun04light.com (unknown [65.207.184.28])       

The message WILL NOT BE delivered to:
<lenny@ecco.mindx.nl>:
   250 2.7.1 Ok, discarded, UBE, id=10177-07

The message has been quarantined as:
   /var/lib/amavis/virusmails/spam-8ed12e102c99f70fe92ebd955b2fe5ef-20041123-225546-10177-07.gz

SpamAssassin report:
Spam detection software, running on the system "ecco.mindx.nl", has
identified this incoming email as possible spam.  The original message
has been attached to this so you can view it (if it isn't spam) or block
similar future email.  If you have any questions, see
the administrator of that system for details.

Content preview:  URI:http://lxtk.sun04light.com/new-system/open.php?id=8-007931156â"'=http://lxtk.sun04light.com/one.gif&uid'817411
  URI:http://lxtk.sun04light.com/new-system/click.php?idaP95526&idb=8-007931156&id'817411
  Cut The Cord with MERGE.
  URI:http://www.cidcocom.com/mail/graphics/email4a.jpg [...] 

Content analysis details:   (11.0 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 1.6 CELL_PHONE_BOOST       BODY: Talks about cell-phone signal improvement
 1.3 LONG_DISTANCE          BODY: Long Distance Phone Offer
 0.1 HTML_LINK_CLICK_HERE   BODY: HTML link text says "click here"
 1.7 HTML_IMAGE_ONLY_06     BODY: HTML: images with 400-600 bytes of words
 0.6 HTML_WEB_BUGS          BODY: Image tag intended to identify you
 0.0 HTML_MESSAGE           BODY: HTML included in message
 0.1 HTML_FONT_BIG          BODY: HTML has a big font
 0.1 HTML_70_80             BODY: Message is 70% to 80% HTML
 0.1 MIME_HTML_ONLY         BODY: Message only has text/html MIME parts
 1.9 DATE_IN_FUTURE_06_12   Date: is 6 to 12 hours after Received: date
 0.8 RCVD_IN_SBL            RBL: Received via a relay in Spamhaus SBL
                            [65.207.184.28 listed in sbl-xbl.spamhaus.org]
 2.7 FORGED_MUA_MOZILLA     Forged mail pretending to be from Mozilla
 0.0 CLICK_BELOW            Asks you to click below

het subject van dit spam mailtje was: SPAM FROM <promo@cidcocom.com>

misschien is niet alles nodig, maar het staat er iig.
(wil niet nog een keer hoeven posten omdat ik een fout maak

)

edit:

spamassassin maakt gebruik van 'razor' en 'pyzor' ik meldt het maar even omdat ik geen idee heb of dit uitmaakt.

[ Voor 5% gewijzigd door weijl op 25-11-2004 21:38 ]

vrijdag 26 november 2004 10:05

Acties:

Verwijderd

Da's mooi, want dan kun je zowel je antispam als antivirus filteren naar 1 folder (als je dat tenminste wilt, met een kleine aanpassing kun je het naar meerdere folders sturen):

code:

if (/^Subject:.*(VIRUS|BANNED|SPAM).*FROM.*$/)
{
        to $HOME/Maildir/.Junkmail
}

Wat je doet, is op headers filteren, in dit geval de "Subject" header. Aan de hand van reguliere expressies filter je alle emails met subjects waar de woorden (SPAM of VIRUS of BANNED) en FROM naar de Junkmail folder in je maildir verstuurd.

In principe moet je dit zo kunnen sleuren en pleuren in je maildroprc of $HOME/.mailfilter en moet het werken. Vergeet niet de Junkmail folder aan te maken met of een mailclient of maildirmake $HOME/Maildir/.Junkmail

offtopic:
pyzor en razor zijn systemen waarmee spam kan worden gedetecteerd adhv message digests. Gebruik ik ook. Overigens ga ik in de loop van dit weekend spamassassin migreren naar of crm114 en/of dspam, in de hoop dat ik nog meer spam kan blocken (nu glipt er af en toe nog wel eens wat spam door, voornamelijk in large-volume mailinglists). Natuurlijk onder het genot van een dikke joint

[ Voor 28% gewijzigd door Verwijderd op 26-11-2004 10:15 ]

zaterdag 27 november 2004 10:09

Acties:

weijl

Topicstarter

werkt..
ik dank u hartelijk

offtopic:
Wat rook je dan meestal? een goede K2, een whitewidow of een PP soortje.. etc.
ik dacht altijd dat er niemand blowde hier op GoT, doet me ergens wel goed om te weten dat dat niet zo is