SpamAssasin-Updates?

[blackbasket]

Liebe Community,

ich stelle fest, dass ich im MGW 7.3-8 (free) seit 03/09/2023 kein Signatur-Update mehr von SpamAssasin erhalten habe. Ist dies korrekt oder was muss ich prüfen?

LG,
Marcel

 

[Stoiko Ivanov]

Letztes Update von updates.spamassassin.org ist vom 04.09. - die KAM rulesets wurden heute zuletzt upgedated.

Was kommt denn wenn unter GUI->Configuration->SpamDetector->Status auf "Update" geklickt wird?

 

[blackbasket]

Update finished, no fresh updates were available
Importing gpg key from /etc/mail/spamassassin/channel.d/KAM_channel.conf
Updating kam.sa-channels.mcgrail.com
Update finished, no fresh updates were available
TASK OK

die Signatur vom 03/09 hat die Version 1912036... auf zwei Systemen das gleiche Verhalten... beide gestern nochmal gepatcht und seitdem schlechteres Erkennungsverhalten... wobei das ja nicht daran liegen kann, weil die Signatur ja schon fast 3 Wochen alt ist...

 

[blackbasket]

ergänzende Info: nach Upgrade auf v8 ändert sich daran nichts...

 

[Stoiko Ivanov]

die Signatur vom 03/09 hat die Version 1912036... auf zwei Systemen das gleiche Verhalten... beide gestern nochmal gepatcht und seitdem schlechteres Erkennungsverhalten... wobei das ja nicht daran liegen kann, weil die Signatur ja schon fast 3 Wochen alt ist...

Wie sieht es mit den KAM rules aus?

ansonsten - bitte mal Logs teilen - vielleicht zeigt sich ja da warum es schlechter geworden ist...

sicherheitshalber - https://pmg.proxmox.com/wiki/index.php/Getting_started_with_Proxmox_Mail_Gateway
kann ich prinzipiell sehr empfehlen als Startpunkt, speziell wenn etwas mit der Detection Rate nicht passt

 

[blackbasket]

Wie sieht es mit den KAM rules aus?

ansonsten - bitte mal Logs teilen - vielleicht zeigt sich ja da warum es schlechter geworden ist...

sicherheitshalber - https://pmg.proxmox.com/wiki/index.php/Getting_started_with_Proxmox_Mail_Gateway
kann ich prinzipiell sehr empfehlen als Startpunkt, speziell wenn etwas mit der Detection Rate nicht passt

Die KAM rules sehen IMHO gut aus; also zumindest hat sich dort nichts verändert...

welche Logs würden dir helfen?

 

[Stoiko Ivanov]

Die KAM rules sehen IMHO gut aus; also zumindest hat sich dort nichts verändert...

wann war da das letzte Update?

welche Logs würden dir helfen?

prinzipiell alles aus dem journal - für den Zeitraum wo es schlechter ist (also zumindest 3-4 mails, die nicht als Spam erkannt wurden mit allen Zeilen rund herum).

 

[blackbasket]

wann war da das letzte Update?

heute Morgen 05:51 GMT; Version 1695312036

prinzipiell alles aus dem journal - für den Zeitraum wo es schlechter ist (also zumindest 3-4 mails, die nicht als Spam erkannt wurden mit allen Zeilen rund herum).

ok, das werde ich dann mal in Ruhe zusammentragen

 

[blackbasket]

hier nur mal kurz ein Beispiel aus dieser Nacht... offensichtlich sind die zugelassenen Spams aus irgendeinem Grund auf der DNS-Whitelist gelandet... das wäre natürlich eine Erklärung dafür, dass es überall passiert...

Sep 22 02:12:03 mgw01 postfix/postscreen[892]: CONNECT from [64.62.197.27]:43187 to [172.17.50.20]:25
Sep 22 02:12:03 mgw01 postfix/postscreen[892]: PREGREET 170 after 0.03 from [64.62.197.27]:43187: GET / HTTP/1.1\r\nHost: xxx:25\r\nUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:1
Sep 22 02:12:03 mgw01 postfix/postscreen[892]: NON-SMTP COMMAND from [64.62.197.27]:43187 after CONNECT: GET / HTTP/1.1
Sep 22 02:12:03 mgw01 postfix/postscreen[892]: DISCONNECT [64.62.197.27]:43187
Sep 22 02:12:34 mgw01 postfix/postscreen[892]: CONNECT from [209.141.38.183]:58230 to [172.17.50.20]:25
Sep 22 02:12:34 mgw01 postfix/postscreen[892]: PASS OLD [209.141.38.183]:58230
Sep 22 02:12:34 mgw01 postfix/smtpd[15490]: connect from hosting2.ria-uae.com[209.141.38.183]
Sep 22 02:12:34 mgw01 postfix/smtpd[15490]: Anonymous TLS connection established from hosting2.ria-uae.com[209.141.38.183]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
Sep 22 02:12:35 mgw01 pmgpolicy[16585]: reloading configuration Proxmox_ruledb
Sep 22 02:12:35 mgw01 postfix/smtpd[15490]: NOQUEUE: client=hosting2.ria-uae.com[209.141.38.183]
Sep 22 02:12:35 mgw01 pmg-smtp-filter[16304]: 2023/09/22-02:12:35 CONNECT TCP Peer: "[127.0.0.1]:40936" Local: "[127.0.0.1]:10024"
Sep 22 02:12:35 mgw01 pmg-smtp-filter[16304]: C1061650CDBF3CCB9D: new mail message-id=<0.0.8.D6D.1D9ECE97BDC39E4.0@hosting2.ria-uae.com>
Sep 22 02:12:40 mgw01 pmg-smtp-filter[16304]: WARNING: check: dns_block_rule RCVD_IN_ZEN_BLOCKED_OPENDNS hit, creating /root/.spamassassin/dnsblock_zen.spamhaus.org (This means DNSBL blocked you due to too many queries. Set all affected rules score to 0, or use "dns_query_restriction deny zen.spamhaus.org" to disable queries)
Sep 22 02:12:40 mgw01 pmg-smtp-filter[16304]: WARNING: check: dns_block_rule URIBL_BLOCKED hit, creating /root/.spamassassin/dnsblock_multi.uribl.com (This means DNSBL blocked you due to too many queries. Set all affected rules score to 0, or use "dns_query_restriction deny multi.uribl.com" to disable queries)
Sep 22 02:12:40 mgw01 pmg-smtp-filter[16304]: C1061650CDBF3CCB9D: SA score=0/5 time=4.139 bayes=0.00 autolearn=ham autolearn_force=no hits=AWL(2.500),BAYES_00(-1.9),DKIM_SIGNED(0.1),DKIM_VALID(-0.1),DKIM_VALID_AU(-0.1),DKIM_VALID_EF(-0.1),DMARC_PASS(-0.1),HTML_MESSAGE(0.001),RCVD_IN_DNSWL_HI(-5),RCVD_IN_ZEN_BLOCKED_OPENDNS(0.001),SPF_HELO_NONE(0.001),SPF_PASS(-0.001),URIBL_BLOCKED(0.001),URIBL_DBL_BLOCKED_OPENDNS(0.001)
Sep 22 02:12:40 mgw01 postfix/smtpd[16658]: connect from localhost.localdomain[127.0.0.1]
Sep 22 02:12:40 mgw01 postfix/smtpd[16658]: 132CDC10A0: client=localhost.localdomain[127.0.0.1], orig_client=hosting2.ria-uae.com[209.141.38.183]
Sep 22 02:12:40 mgw01 postfix/cleanup[16659]: 132CDC10A0: message-id=<0.0.8.D6D.1D9ECE97BDC39E4.0@hosting2.ria-uae.com>
Sep 22 02:12:40 mgw01 postfix/qmgr[864]: 132CDC10A0: from=<hosting@ria-uae.com>, size=6747, nrcpt=1 (queue active)
Sep 22 02:12:40 mgw01 postfix/smtpd[16658]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
Sep 22 02:12:40 mgw01 pmg-smtp-filter[16304]: C1061650CDBF3CCB9D: accept mail to <xxx> (132CDC10A0) (rule: default-accept)
Sep 22 02:12:40 mgw01 pmg-smtp-filter[16304]: C1061650CDBF3CCB9D: processing time: 4.29 seconds (4.139, 0.048, 0)
Sep 22 02:12:40 mgw01 postfix/smtpd[15490]: proxy-accept: END-OF-MESSAGE: 250 2.5.0 OK (C1061650CDBF3CCB9D); from=<hosting@ria-uae.com> to=<xxx> proto=ESMTP helo=<hosting2.ria-uae.com>

 

[Stoiko Ivanov]

URIBL_BLOCKED(0.001),URIBL_DBL_BLOCKED_OPENDNS(0.001)

ich nehme an, dass das ursächlich an der schlechteren Erkennung beteiligt ist - siehe:
https://pmg.proxmox.com/wiki/index....Proxmox_Mail_Gateway#Improving_Spam_Detection
insbesondere:
https://pmg.proxmox.com/wiki/index.php/DNS_server_on_Proxmox_Mail_Gateway

hier nur mal kurz ein Beispiel aus dieser Nacht... offensichtlich sind die zugelassenen Spams aus irgendeinem Grund auf der DNS-Whitelist gelande

das würde ich jetzt im Log nicht sehen?

 

[blackbasket]

ich nehme an, dass das ursächlich an der schlechteren Erkennung beteiligt ist - siehe:
https://pmg.proxmox.com/wiki/index....Proxmox_Mail_Gateway#Improving_Spam_Detection
insbesondere:
https://pmg.proxmox.com/wiki/index.php/DNS_server_on_Proxmox_Mail_Gateway

ok, das schaue ich mir mal genauer an... wenn man in der GUI einfach einen expliziten DNS für die BL-Prüfung eingeben könnte, wäre dies natürlich deutlich smarter

das würde ich jetzt im Log nicht sehen?

bedeutet dies nicht, dass der Absender auf der DNS-Whitelist steht?

RCVD_IN_DNSWL_HI(-5)

 

[Stoiko Ivanov]

bedeutet dies nicht, dass der Absender auf der DNS-Whitelist steht?

DNSWL ist ein service, bei dem Admins ihre IP bereiche eintragen können - ist aber nichts was von PMG kommt, oder bei euch im System eingestellt ist.

Ab und zu fuehrt das zu false negatives - aber ich wuerde es nicht unbedingt runterstufen wollen (sonst geht das mit den custom scores:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmgconfig_spamdetector (4.8.3))

ok, das schaue ich mir mal genauer an... wenn man in der GUI einfach einen expliziten DNS für die BL-Prüfung eingeben könnte, wäre dies natürlich deutlich smarter

warum den nicht auch systemweit konfigurieren?

DNS config wirkt zwar einfach, aber erfahrungsgemäß führt sie dennoch oft zu vielen Problemen, weswegen wir es nicht unbedingt komplizierter machen wollen in der GUI.

 

[blackbasket]

warum den nicht auch systemweit konfigurieren?

DNS config wirkt zwar einfach, aber erfahrungsgemäß führt sie dennoch oft zu vielen Problemen, weswegen wir es nicht unbedingt komplizierter machen wollen in der GUI.

weil ich bereits einen separaten DNS aus der DMZ eingetragen habe und Forwards zu internen Zonen benötige... allerdings habe ich den "DNS-DMZ" gerade mal nach extern auf eine andere IP genatted... aber das gab bei 6 Mails in 10 Minuten auch schon wieder einmal "too many queries"

 

[Stoiko Ivanov]

Einfach einen unbound auf dem PMG installieren - und diesen über die IP mit der das PMG extern erreichbar ist rausnatten...

6 mails / 10 Minuten klingt nicht danach als wäre die IP nur von den DNS-requests vom PMG in Verwendung ...

Ansonsten - überlegen einen DNS-feed bei uribl.com zu beziehen ... dann bekommt ihr eine eigene Zone

Ich hoffe das hilft!

 

[blackbasket]

Hallo Stoiko,

ich bin dir hier noch eine Antwort schuldig. Selbstverständlich hattest du recht und jetzt geht es auch. Ich hatte irgendwie einen totalen Knoten im Kopf, dass ichzwar einen anderen DNS intern genutzt habe, aber auch der am Ende Forwarder hinterlegt hatte

Sorry, danke und LG
Marcel