KAM_CHECKFILE2(8.5) / Was macht dies?

S

superwinni2

Well-Known Member
Proxmox Subscriber
Oct 21, 2019
41
3
48
Germany
Hallo

in meinem Spamgateway werden Nachrichten blockiert da der SPAMScore bei 8 von Erlaubten 5 ist.
Ich habe gesehen, dass die Regel "KAM_CHECKFILE2" über 8.5 Punkte hinzuaddiert.
Die Adresse kommt von einem gmail.com Account und ist auch valide.

Leider finde ich nirgends was die Regel prüft oder wie sie funktioniert.

Restliche Spamscore Hits:
DKIM_SIGNED(0.1),
DKIM_VALID(-0.1),
DKIM_VALID_AU(-0.1),
DKIM_VALID_EF(-0.1),
DMARC_PASS(-0.1),
FREEMAIL_FROM(0.001),
HTML_IMAGE_ONLY_32(0.001),
HTML_MESSAGE(0.001),
KAM_CHECKFILE2(8.5),
KAM_NUMSUBJECT(0.5),
MIME_HTML_ONLY(0.1),
RCVD_IN_MSPIKE_H2(-0.001),
SPF_HELO_NONE(0.001),
SPF_PASS(-0.001),
T_FREEMAIL_DOC_PDF(0.01),
T_OBFU_PDF_ATTACH(0.01),
T_REMOTE_IMAGE(0.01)

Kann mir jemand hierzu helfen?

Danke und Gruß
 
superwinni2 said:
Ich habe gesehen, dass die Regel "KAM_CHECKFILE2" über 8.5 Punkte hinzuaddiert.
Click to expand...
sollte in der spam-info in der Quarantäne stehen - kann aber auch auf der command line gefunden werden:

Code: 
root@pmg:/var/lib/spamassassin $ grep -ri KAM_CHECKFILE2
4.000000/kam_sa-channels_mcgrail_com/KAM.cf:body        __KAM_CHECKFILE2_1    /(See|View|check|check) attach(ment|ed) (document|file)/i
4.000000/kam_sa-channels_mcgrail_com/KAM.cf:meta        KAM_CHECKFILE2        ( T_OBFU_PDF_ATTACH + __KAM_CHECKFILE2_1 >= 2)
4.000000/kam_sa-channels_mcgrail_com/KAM.cf:score        KAM_CHECKFILE2        8.5
4.000000/kam_sa-channels_mcgrail_com/KAM.cf:describe    KAM_CHECKFILE2        Likely File Attachment scam

und T_OBFU_PDF_ATTACH sagt:
Code: 
grep -ri T_OBFU_PDF_ATTACH
....
4.000000/updates_spamassassin_org/72_active.cf:##{ T_OBFU_PDF_ATTACH ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
4.000000/updates_spamassassin_org/72_active.cf:  mimeheader   T_OBFU_PDF_ATTACH     Content-Type =~ m,\bapplication/octet-stream\b.+\.pdf\b,i
4.000000/updates_spamassassin_org/72_active.cf:  describe     T_OBFU_PDF_ATTACH     PDF attachment with generic MIME type
4.000000/updates_spamassassin_org/72_active.cf:##} T_OBFU_PDF_ATTACH ifplugin Mail::SpamAssassin::Plugin::MIMEHeader

sprich - es ist ein pdf attachment mit ungewöhnlichem mime-type (application/octet-stream statt application/pdf) welches im mail mit:
See/View/check/... attached document beschrieben wird...

Ich hoffe das hilft!
 
You must log in or register to reply here.
Top Bottom