LINUX.ORG.RU
ФорумAdmin

Spamassassin сбрендил, что могло случиться?

 


0

1

у одного из пользователей вдруг перестали доходить письма с вложениями экселя, до наших же, внутренних адресатов. Причем вложения отсканенные pdf нормально ходят, а вот вложения экселя сразу стали отправляться в спам, с оценкой 6,9

получил все то, что свалилось в спам, ничего криминального не увидел, письма с темой типа «Акт СТО июнь» во вложении ексель, ну и письмо заканчивается странно:

«Сообщение готово к отправке со следующим файлом или вложенной связкой: Акт СТО июнь

Примечание: Для предотвращения заражения компьютерными вирусами почтовые программы могут запрещать отправление или получение вложенных файлов. Проверьте параметры безопасности почтовой программы для обработки вложений. »

У пользователя таких приписок нету, кто это умудрился приписать я так и не понял. ну прописал в белый список свой домен, все заработало, но осадочек то остался (c) подскажите гуру куда копать? что вдруг случилось? Уж не обновился ли асассин как то криво, но почему только у одного из пользователей, таких писем гоняется между внутренними абонентами масса.

SA можно заставить писать по каким правилам какие веса он назначил.

Включи и посмотри.

zgen ★★★★★ ()

spamassassin -D < /path/to/spam.eml И смотри по каким правилам были начислены баллы.

А откуда появилась приписка стоит разобраться, возможно там и причина. Вероятно антивирус шкодит.

NeOlip ★★ ()

Это антивирус на компе отправителя гадит. Его приписки. У меня такая фикня бывает. Товарисч поставил др веба и тот метит всю исходящую почту. Причем в конце дописывает ссылку на сайт доктора. Спамаотсосин особенно болезненно реагирует на эту ссылку и начисляет тучу очков. Если открыть весь исходный код письма то увидите за что он начислил. Может за это:

MPART_ALT_DIFF_COUNT=

Bootmen ★★☆ ()

Примечание: Для предотвращения заражения компьютерными вирусами почтовые программы могут запрещать отправление или получение вложенных файлов. Проверьте параметры безопасности почтовой программы для обработки вложений. »

Это клиент добавляет. Вполне стандартная фраза. SA Тут не причем.

а вот вложения экселя сразу стали отправляться в спам, с оценкой 6,9

Так покажите из чего 6.9 сложились?

anc ★★★★★ ()
Ответ на: комментарий от anc

Так покажите из чего 6.9 сложились?

Извините не допер. Шапка письма

X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on mail.*********.ru
X-Spam-Flag: YES
X-Spam-Level: ******
X-Spam-Status: Yes, score=6.9 required=5.0 tests=BAYES_00,DOS_OE_TO_MX,
        FROM_EXCESS_BASE64,FSL_HELO_NON_FQDN_1,HDR_ORDER_FTSDMCXX_DIRECT,HTML_MESSAGE,
        MIMEOLE_DIRECT_TO_MX,RDNS_NONE autolearn=no version=3.3.2
X-Spam-Report: 
        *  0.0 FSL_HELO_NON_FQDN_1 FSL_HELO_NON_FQDN_1
        * -1.9 BAYES_00 BODY: Bayes spam probability is 0 to 1%
        *      [score: 0.0000]
        *  0.0 HTML_MESSAGE BODY: HTML included in message
        *  0.8 RDNS_NONE Delivered to internal network by a host with no rDNS
        *  2.5 HDR_ORDER_FTSDMCXX_DIRECT Header order similar to spam
        *      (FTSDMCXX/boundary variant) direct-to-MX
        *  1.0 FROM_EXCESS_BASE64 From: base64 encoded unnecessarily
        *  2.0 MIMEOLE_DIRECT_TO_MX MIMEOLE + direct-to-MX
        *  2.5 DOS_OE_TO_MX Delivered direct to MX with OE headers
alex_sim ★★★ ()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от Bootmen

Это антивирус на компе отправителя гадит. Его приписки.

Да у всех стоит один Каспер, а проблемы только у одного пользователя.

весь исходный код письма то увидите за что он начислил. Может за >это:

MPART_ALT_DIFF_COUNT=

в тексте письма этого не нашел.

alex_sim ★★★ ()
Ответ на: комментарий от NeOlip

spamassassin -D < /path/to/spam.eml И смотри по каким правилам были начислены баллы.

Правила из шапки кинул, только мне это мало о чем говорит, может тут коллеги растолкуют

А откуда появилась приписка стоит разобраться,

Это да!

alex_sim ★★★ ()
Ответ на: комментарий от zgen

SA можно заставить писать по каким правилам какие веса он назначил.

Включи и посмотри.

Сразу не догадался шапку привести, там есть веса, только мне они мало о чем говорят, погуглю.

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

Да у всех стоит один Каспер, а проблемы только у одного пользователя.

Дык у моих пользователей тоже DR web распространен. Однако только у Одного «умного» включена проверка исходящих писем. Тут расшифровки:

https://translate.google.ru/translate?hl=ru&sl=en&u=http://www.future...

Bootmen ★★☆ ()
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от Bootmen

Тут расшифровки:

https://translate.google.ru/translate?hl=ru&sl=en&u=http://www.future...

Премного благодарен! только ясности это не добавило, что же я или пользователь делаем не так.

HDR_ORDER_FTSDMCXX_DIRECТ Порядок заголовка похож на спам (FTSDMCXX / граничный вариант) direct-to-MX

FROM_EXCESS_BASE64 From: base64 без необходимости кодируется

DOS_OE_TO_MX Поставляется непосредственно в MX с заголовками OE

alex_sim ★★★ ()
Ответ на: комментарий от anc

Это клиент добавляет. Вполне стандартная фраза. SA Тут не причем.

Выяснил как пользователь отправляет это письмо, фразу добавляет, операционка видимо (ХРень).

на файлике экселя пользователь кликает правой кнопкой мыши, в контекстном меню выбирает, отправить ->адресата и с письме у получателя, только у получателя появляется это, в отправленных нету этого.

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

DOS_OE_TO_MX понизьте
Эти аутглюки всегда гадили. Такая же есть и для outlook DOS_OUTLOOK_TO_MX а не только для OE.
Я их в 0 выставляю. Точнее OE уже не осталось поэтому и параметра такого не оставил.
Когда-то давно следил, от натуральных спамеров таких писем не прилетает.
Вообще удивительно что в 2018-ом все еще OE кто-то пользуется :)

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)

таких писем гоняется между внутренними абонентами масса.

Я из внутренней сети вообще sa не скармливаю (почтарь так же внутри локалки).

anc ★★★★★ ()
Ответ на: комментарий от anc

Вообще удивительно что в 2018-ом все еще OE кто-то пользуется :)

Есть еще такие говешки с ХР на борту, что сил нету за них садиться, причем удаленно. Начальство жадничает.

Я из внутренней сети вообще sa не скармливаю (почтарь так же внутри локалки).

я теперь то тоже в белый список свой домен внес, но мало ли кто внешний пришлет с такого же гомна ХР+OE

Спасибо!

alex_sim ★★★ ()
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от alex_sim

я теперь то тоже в белый список свой домен внес

Я правильно понял, по имени? Вот это как раз не надо делать. Спам пойдет. Я у себя по сетям локалок пропускаю. А точнее spamass-milter не скармливает sa.

anc ★★★★★ ()
Ответ на: комментарий от anc

Я правильно понял, по имени? Вот это как раз не надо делать.

Да по имени, а надо по Ip сетки? сетка то как раз удаленная и ее не было, добавил по ip.

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

сетка то как раз удаленная

В топике Вы написали «внутренних адресатов». Я видимо не правильно понял эту формулировку. Но в целом, если белый ip с которого выходят то правильное решение. У меня так и есть, сети разбросаны территориально, соединены через vpn, но на всякий случай я и белый статик клиентов тоже прописываю, вроде совсем не нужно, но и не сложно же.
Так же и впн сети (множественное число, потому что разные реализации и в разных местах) мобильных клиентов у меня не скармливаются sa

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.