<div style="font-family: Tahoma; font-size: 14px;">Hi,<br /><br />your suggestion helped me a lot in my setups, and systems are catching a lot more spam now. Thanks!</div>
<div style="font-family: Tahoma; font-size: 14px;"> </div>
<div style="font-family: Tahoma; font-size: 14px;">To my surprise, though, the account that started my insight continued receiving some spammy mails, and found that those emails have strange spam headers (now I have $<span>sa_tag_level_deflt=undef).<br /></span>As you can see from the attached email:</div>
<div style="font-family: Tahoma; font-size: 14px;"> </div>
<div style="font-family: Tahoma; font-size: 14px;">X-Spam-Status: No, score=x required=5 tests=[] autolearn=unavailable<br /><br />and I find this in mail.log :<br /><br />Jul 3 02:13:33 cloudserver postfix/cleanup[8132]: [ID 197553 mail.info] DF95E27D55A: message-id=<109763384857025-037996f410ef6dcfefa9bbb8b98e2681@meetrussiangirlsbest.top_r1y><br />Jul 3 02:13:33 cloudserver postfix/qmgr[11513]: [ID 197553 mail.info] DF95E27D55A: from=<Russian_Dating_Videos@meetrussiangirlsbest.top>, size=4933, nrcpt=1 (queue active)<br />Jul 3 02:13:33 cloudserver amavis[6401]: [ID 702911 mail.notice] (06401-13) Passed CLEAN, [5.133.12.142] [5.133.12.142] <Russian_Dating_Videos@meetrussiangirlsbest.top> -> <davide.dicosola@eurovetrocap.com>, Message-ID: <109763384857025-037996f410ef6dcfefa9bbb8b98e2681@meetrussiangirlsbest.top_r1y>, mail_id: J6AvSp_-M_3e, Hits: -, size: 4326, queued_as: DF95E27D55A, 78 ms<br />Jul 3 02:13:33 cloudserver postfix/smtp[8152]: [ID 197553 mail.info] 8AB6E27D554: to=<davide.dicosola@eurovetrocap.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.58, delays=0.49/0/0/0.08, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as DF95E27D55A)<br /><br />Looks like spamassassin is not even working on this, based on the X-Spam-Status.<br />Though, the mail.log has many "Blocked SPAM" or "Passed SPAMMY" entries.<br /><br />Also, this is the result of running spamassassin manually, using same user as amavisd does:<br /><br />X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on cloudserver<br />X-Spam-Flag: YES<br />X-Spam-Level: *******************<br />X-Spam-Status: Yes, score=19.7 required=5.0 tests=BAYES_99,BAYES_999,<br /> KAM_LINEPADDING,KAM_WIFE,RCVD_IN_MSPIKE_BL,RCVD_IN_MSPIKE_L4,RCVD_IN_WPBL,<br /> RP_MATCHES_RCVD,SPF_HELO_PASS,TVD_RCVD_SPACE_BRACKET,UNPARSEABLE_RELAY,<br /> URIBL_ABUSE_SURBL,URIBL_DBL_SPAM autolearn=disabled version=3.4.1<br /><br /><br />Any idea?<br />Gabriele<br /><br />
<div id="wt-mailcard"> </div>
<br /><hr /><br /><br /><span style="font-family: Arial, Helvetica, sans-serif; font-size: small;"><strong>Da:</strong> Dino Edwards <dino.edwards@mydirectmail.net><br /><strong>A:</strong> amavis-users@amavis.org<br /><strong>Data:</strong> 29 giugno 2017 14.14.57 CEST<br /><strong>Oggetto:</strong> RE: RE: RE: RE: different spamassassin behaviours<br /></span><br /><br />
<blockquote style="border-left: #000080 2px solid; margin-left: 5px; padding-left: 5px;">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">As you can see, this particular message has auto trained the bayes database that It’s ham (</span><span style="font-size: 10.5pt; font-family: 'Tahoma',sans-serif;">autolearn=ham)</span><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> when in fact it’s supposed to be spam. </span></p>
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Here’s what I recommend:</span></p>
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoListParagraph" style="text-indent: -.25in; mso-list: l0 level1 lfo1;"><![if !supportLists]><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt 'Times New Roman';">       </span></span></span><![endif]><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Turn off autolearn</span></p>
<p class="MsoListParagraph" style="text-indent: -.25in; mso-list: l0 level1 lfo1;"><![if !supportLists]><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt 'Times New Roman';">       </span></span></span><![endif]><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Clear your bayes database and start over fresh</span></p>
<p class="MsoListParagraph" style="text-indent: -.25in; mso-list: l0 level1 lfo1;"><![if !supportLists]><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt 'Times New Roman';">       </span></span></span><![endif]><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Train your bayes database with legitimate ham and spam</span></p>
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">It looks to me that the major issue you are having is your bayes database is completely jacked and the problem gets worse as each message comes in and incorrectly trains the bayes database.</span></p>
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">The levels really depend on your setup, there is no magic levels per se. Train your database properly and you will be able to adjust them to a level that’s good for your environment.</span></p>
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<div>
<div style="border: none; border-top: solid #E1E1E1 1.0pt; padding: 3.0pt 0in 0in 0in;">
<p class="MsoNormal"><strong><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif;">From:</span></strong><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif;"> Gabriele Bulfon [mailto:gabriele.bulfon@sonicle.com] <br /> <strong>Sent:</strong> Thursday, June 29, 2017 7:58 AM<br /> <strong>To:</strong> Dino Edwards <dino.edwards@mydirectmail.net>; amavis-users@amavis.org<br /> <strong>Subject:</strong> RE: RE: RE: different spamassassin behaviours</span></p>
</div>
</div>
<p class="MsoNormal"> </p>
<div>
<p class="MsoNormal"><span style="font-size: 10.5pt; font-family: 'Tahoma',sans-serif;">I will check your suggestions (sa_tag_level_deflt , bayes_auto_learn ).<br /> <br /> BTW, what are the level you would suggest, instead of my 5.0,10.0,10?<br /> <br /> Meanwhile, look at the email I attached: even manually, spamassassin does not detect anything, while it's and evident spam...</span></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom: 12.0pt;"><span style="font-size: 10.5pt; font-family: 'Tahoma',sans-serif;">Here are the manual result:<br /> <br /> X-Spam-Status: No, score=-0.5 required=5.0 tests=BAYES_20,HTML_MESSAGE,<br /> RCVD_IN_DNSWL_NONE,RP_MATCHES_RCVD,TVD_RCVD_SPACE_BRACKET,UNPARSEABLE_RELAY<br /> autolearn=ham autolearn_force=no version=3.4.1<br /> <br /> </span></p>
<div id="wt-mailcard">
<div>
<p class="MsoNormal"><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;">------------------------------------------------------------------------------------------</span></p>
</div>
<div>
<p class="MsoNormal"><strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;">Sonicle S.r.l. </span></strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;">: <a href="http://www.sonicle.com/" target="_new">http://www.sonicle.com</a></span></p>
</div>
<div>
<p class="MsoNormal"><strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;">Music: </span></strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;"><a href="http://www.gabrielebulfon.com/" target="_new">http://www.gabrielebulfon.com</a></span></p>
</div>
<div>
<p class="MsoNormal"><strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;">Quantum Mechanics : </span></strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;"><a href="http://www.cdbaby.com/cd/gabrielebulfon" target="_new">http://www.cdbaby.com/cd/gabrielebulfon</a></span></p>
</div>
</div>
<p class="MsoNormal"><span style="font-size: 10.5pt; font-family: 'Tahoma',sans-serif;"> </span></p>
<div class="MsoNormal" style="text-align: center;" align="center"><hr align="center" size="2" width="100%" /></div>
<p class="MsoNormal" style="margin-bottom: 12.0pt;"><span style="font-size: 10.5pt; font-family: 'Tahoma',sans-serif;"><br /> <br /> </span><strong><span style="font-family: 'Arial',sans-serif;">Da:</span></strong><span style="font-family: 'Arial',sans-serif;"> Dino Edwards <<a href="mailto:dino.edwards@mydirectmail.net">dino.edwards@mydirectmail.net</a>><br /> <strong><span style="font-family: 'Arial',sans-serif;">A:</span></strong> <a href="mailto:amavis-users@amavis.org"> amavis-users@amavis.org</a><br /> <strong><span style="font-family: 'Arial',sans-serif;">Data:</span></strong> 28 giugno 2017 20.12.17 CEST<br /> <strong><span style="font-family: 'Arial',sans-serif;">Oggetto:</span></strong> RE: RE: RE: different spamassassin behaviours<br /> <br /> </span><span style="font-size: 10.5pt; font-family: 'Tahoma',sans-serif;"></span></p>
<blockquote style="border: none; border-left: solid navy 1.5pt; padding: 0in 0in 0in 4.0pt; margin-left: 3.75pt; margin-top: 5.0pt; margin-bottom: 5.0pt;">
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Right off the bat, the following should be set like below:</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">$sa_tag_level_deflt = undef;</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Setting it as such will add spam info headers to all email not just ones that score 2 or above. After you set this setting, do a test email normally and paste the headers generated and then run the same email manually and paste the headers. I would love to see the difference between the two to see what drives up the scores and what doesn’t.</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">The following settings seem really high to me</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">$sa_tag2_level_deflt = 5.0;  # add 'spam detected' headers at that level</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">$sa_kill_level_deflt = 10.0;  # triggers spam evasive actions (e.g. blocks mail)</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">$sa_dsn_cutoff_level = 10;   # spam level beyond which a DSN is not sent</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">You may want to add these settings:</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">$sa_spam_modifies_subj = 1;</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">$sa_spam_subject_tag = '[SPAM]';</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Also I suggest you completely turn off auto learn in your SA until you get this figured out. As a matter of fact, I never turn it on because it has caused MAJOR issues for me in the past where the bayes database gets really screwy and things don’t get tagged correctly. Up to you.</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">#bayes</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">bayes_path /path/to/your/bayes/database</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">bayes_file_mode 0777</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">use_bayes 1</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">use_bayes_rules 1</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">bayes_auto_learn 0</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">----------------</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Dino Edwards</span></strong></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">----------------</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"><img id="Picture_x0020_2" src="cid:image002.jpg@01D2F018.8BACE190" alt="hermes_logo3" width="132" height="49" border="0" /></span></strong></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Hermes Secure Email Gateway</span></strong></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Hermes Secure Email Gateway is a Free Open Source (Hermes SEG Community Only) Email Gateway that provides Spam, Virus and Malware protection, full in-transit and at-rest email encryption as well as email archiving. Hermes Secure Email Gateway combines Open Source technologies such as Postfix, Apache SpamAssassin, ClamAV, Amavisd-new and CipherMail under one unified web based Web GUI for easy administration and management of your incoming and ougoing email for your organization. It can be deployed to protect your in-house email solution as well as cloud email solutions such as Google Mail and Microsoft Office 365.</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></strong></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Learn More & Download the free open-source appliance at:</span></strong></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"><a href="https://www.deeztek.com/hermes-secure-email-gateway/" target="_new"><span style="color: #0563c1;">https://www.deeztek.com/hermes-secure-email-gateway/</span></a></span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;"> </span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif;">From:</span></strong><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif;"> Gabriele Bulfon [<a href="mailto:gabriele.bulfon@sonicle.com">mailto:gabriele.bulfon@sonicle.com</a>] <br /> <strong><span style="font-family: 'Calibri',sans-serif;">Sent:</span></strong> Tuesday, June 27, 2017 10:24 AM<br /> <strong><span style="font-family: 'Calibri',sans-serif;">To:</span></strong> Dino Edwards <<a href="mailto:dino.edwards@mydirectmail.net">dino.edwards@mydirectmail.net</a>>; <a href="mailto:amavis-users@amavis.org">amavis-users@amavis.org</a><br /> <strong><span style="font-family: 'Calibri',sans-serif;">Subject:</span></strong> RE: RE: different spamassassin behaviours</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"> </p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;">Here it is, thanks!</span></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;"> </span></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; margin-bottom: 12.0pt;"><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;">Gabriele</span></p>
<div id="wt-mailcard">
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;">-------------------------------------------------------------------------------------------</span></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;">Sonicle S.r.l. </span></strong><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;">: <a href="http://www.sonicle.com/" target="_new"> http://www.sonicle.com</a></span></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;">Music: </span></strong><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;"><a href="http://www.gabrielebulfon.com/" target="_new">http://www.gabrielebulfon.com</a></span></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;">Quantum Mechanics : </span></strong><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;"><a href="http://www.cdbaby.com/cd/gabrielebulfon" target="_new">http://www.cdbaby.com/cd/gabrielebulfon</a></span></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;"> </span></p>
<div class="MsoNormal" style="text-align: center;" align="center"><hr align="center" size="2" width="100%" /></div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; margin-bottom: 12.0pt;"><span style="font-size: 10.0pt; font-family: 'Arial',sans-serif;"><br /> <br /> <strong><span style="font-family: 'Arial',sans-serif;">Da:</span></strong> Dino Edwards <<span>dino.edwards@mydirectmail.net</span>><br /> <strong><span style="font-family: 'Arial',sans-serif;">A:</span></strong> Gabriele Bulfon <<span>gabriele.bulfon@sonicle.com</span>> <span>amavis-users@amavis.org</span> <br /> <strong><span style="font-family: 'Arial',sans-serif;">Data:</span></strong> 27 giugno 2017 15.37.22 CEST<br /> <strong><span style="font-family: 'Arial',sans-serif;">Oggetto:</span></strong> RE: RE: different spamassassin behaviours</span></p>
<blockquote style="border: none; border-left: solid navy 1.5pt; padding: 0in 0in 0in 4.0pt; margin-left: 3.75pt; margin-top: 5.0pt; margin-bottom: 5.0pt;">
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">the x-spam-status headers should always be present Spam or not. So what you are saying is that the x-spam-status headers are not present when email goes through normally or when they are run manually?</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif; color: #1f497d;">Can you paste your amavis config here?</span></p>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif;">From:</span></strong><span style="font-size: 11.0pt; font-family: 'Calibri',sans-serif;"> Gabriele Bulfon [<span>mailto:gabriele.bulfon@sonicle.com</span>] <br /> <strong><span style="font-family: 'Calibri',sans-serif;">Sent:</span></strong> Tuesday, June 27, 2017 9:03 AM<br /> <strong><span style="font-family: 'Calibri',sans-serif;">To:</span></strong> Dino Edwards <<span>dino.edwards@mydirectmail.net</span>>; <span>amavis-users@amavis.org</span><br /> <strong><span style="font-family: 'Calibri',sans-serif;">Subject:</span></strong> [SUSPECTED SPAM]RE: different spamassassin behaviours</span></p>
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; margin-bottom: 12.0pt;"><span style="font-size: 10.5pt; font-family: 'Tahoma',sans-serif;">The x-spam-status headers on that cases are not present, because the score is too low, and is considered non-spam.<br /> Is there any way I can force the injection of the x-spam-status header even for low scores? This may help.<br /> <br /> I meant that all the cf files (the rules files) are taken from the same place by spamassassin, both manually and automatically during postfix injection, as I can see it from the spam taken.<br /> <br /> And finally, yes, I can find the logs you say, where the mail (that manually scores 18.0+) passes as "CLEAN" in amavis and back into postfix.<br /> <br /> I attach an example email, and here is the relative log while passing in:<br /> <br /> Jun 27 14:30:15 cloudserver amavis[28190]: [ID 702911 mail.notice] (28190-16) Passed CLEAN, [107.175.149.43] [107.175.149.43] <<span>VIVINT.Premier-Provider@tmess.us</span>> -> <<span>davide.dicosola@eurovetrocap.com</span>>, Message-ID: <<span>037996f410ef6dcfefa9bbb8b98e2681.3964721.19453093@tmess.us_ys9</span>>, mail_id: tW7q84X98Ieq, Hits: -0.347, size: 5698, queued_as: 9C78D27B16D, 1781 ms</span></p>
<div id="wt-mailcard">
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;">-------------------------------------------------------------------------------------------</span></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;">Sonicle S.r.l. </span></strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;">: <a href="http://www.sonicle.com/" target="_new"> http://www.sonicle.com</a></span></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;">Music: </span></strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;"><a href="http://www.gabrielebulfon.com/" target="_new">http://www.gabrielebulfon.com</a></span></p>
</div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; mso-margin-bottom-alt: auto;"><strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;">Quantum Mechanics : </span></strong><span style="font-size: 10.5pt; font-family: 'Arial',sans-serif;"><a href="http://www.cdbaby.com/cd/gabrielebulfon" target="_new">http://www.cdbaby.com/cd/gabrielebulfon</a></span></p>
</div>
</div>
<p class="MsoNormal" style="mso-margin-top-alt: auto; margin-bottom: 12.0pt;"><span style="font-size: 10.0pt; font-family: 'Courier New';"><br /> <br /> <br /> <tt>----------------------------------------------------------------------------------</tt><br /> <br /> <tt>Da: Dino Edwards <<span>dino.edwards@mydirectmail.net</span>></tt><br /> <tt>A: <span>amavis-users@amavis.org</span> </tt><br /> <tt>Data: 27 giugno 2017 13.59.37 CEST</tt><br /> <tt>Oggetto: RE: different spamassassin behaviours</tt></span></p>
<blockquote style="border: none; border-left: solid navy 1.5pt; padding: 0in 0in 0in 4.0pt; margin-left: 3.75pt; margin-top: 5.0pt; margin-bottom: 5.0pt;">
<p class="MsoNormal" style="mso-margin-top-alt: auto; margin-bottom: 12.0pt;"><tt><span style="font-size: 10.0pt;">Can you provide the x-spam-status headers for the same email when run through Postfix normally and then manually so we can see the differences?</span></tt><span style="font-size: 10.0pt; font-family: 'Courier New';"><br /> <br /> <br /> <tt>Also, I'm a little confused, what do you mean when you say " All the files are taken from /sonicle/etc/mail/spamassassin and /sonicle/share/spamassassin"?</tt><br /> <br /> <tt>Also, in your mail log, do you say a lines similar to below? The first one is Amavis passing the message as CLEAN and then re-injecting it back to Postfix on port 10025 for delivery. Your port config may vary.</tt><br /> <br /> <tt>Jun 27 07:55:32 smtp amavis[22662]: (22662-15) Passed CLEAN [198.241.162.22]:12141 [198.241.162.22] <<span>noreply@visaprepaidprocessing.com</span>> -> <someone@domaintld>, Queue-ID: D19FC40B0A, Message-ID: <<span>d5360d$6ue5tu@cportal1.visa.com</span>>, mail_id: X1sVYvfQoUFh, Hits: -0.877, size: 2490, queued_as: 250 2.6.0 Message received, dkim_sd=cportal:visaprepaidprocessing.com, 1280 ms</tt><br /> <br /> <br /> <tt>Jun 27 07:55:32 smtp postfix/smtp[22949]: D19FC40B0A: to=<<span>someone@domain.tld</span>>, relay=127.0.0.1[127.0.0.1]:10021, delay=2.6, delays=1.3/0/0/1.3, dsn=2.6.0, status=sent (250 2.6.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.6.0 Message received)</tt><br /> <br /> <br /> <br /> <br /> <tt>From: Gabriele Bulfon [<span>mailto:gbulfon@sonicle.com</span>] </tt><br /> <tt>Sent: Tuesday, June 27, 2017 2:35 AM</tt><br /> <tt>To: Dino Edwards <<span>dino.edwards@mydirectmail.net</span>>; <span>amavis-users@amavis.org</span></tt><br /> <tt>Subject: RE: different spamassassin behaviours</tt><br /> <br /> <tt>Hi, thanks for your response.</tt><br /> <br /> <tt>There are a lot of things rising the score manually:</tt><br /> <br /> <tt>X-Spam-Status: Yes, score=18.1 required=5.0 tests=BAYES_50,CUSTOM_MANY_BL,</tt><br /> <tt>HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,MIME_HTML_ONLY,RCVD_IN_DNSBL_INPS_DE,</tt><br /> <tt>RCVD_IN_HOSTKARMA_BL,RCVD_IN_MSPIKE_H2,RCVD_IN_UCEPROTECT2,</tt><br /> <tt>RCVD_IN_UCEPROTECT3,RCVD_IN_WPBL,SPF_HELO_PASS,TVD_RCVD_SPACE_BRACKET,</tt><br /> <tt>T_REMOTE_IMAGE,UNPARSEABLE_RELAY,URIBL_ABUSE_SURBL,URIBL_DBL_SPAM</tt><br /> <tt>autolearn=spam autolearn_force=no version=3.4.1</tt><br /> <br /> <tt>All the files are taken from /sonicle/etc/mail/spamassassin and /sonicle/share/spamassassin, and they looks to be read both manually and during postfix run, as many of the mails are caught and contains X-Spam-Status with tags taken from there (sare cf files, kam file, fili_br file etc).</tt><br /> <tt>Also, many of the auto-learnt mails get spammed after being trained.</tt><br /> <tt>The bayes is configured as :</tt><br /> <br /> <tt>use_bayes 1</tt><br /> <tt>bayes_auto_learn 1</tt><br /> <tt>bayes_path /sonicle/var/spamassassin/bayes_db/bayes</tt><br /> <tt>bayes_file_mode 0777</tt><br /> <br /> <tt>and here are the files:</tt><br /> <br /> <tt>sonicle@www:~$ ls -l /sonicle/var/spamassassin/bayes_db</tt><br /> <tt>total 12699</tt><br /> <tt>-rw-rw-rw- 1 snclamav snclamav 25680 Jun 27 08:28 bayes_journal</tt><br /> <tt>-rw-rw-rw- 1 snclamav snclamav 10567680 Jun 27 07:58 bayes_seen</tt><br /> <tt>-rw-rw-rw- 1 snclamav snclamav 5128192 Jun 27 07:58 bayes_toks</tt><br /> <br /> <tt>here are the amavis processes:</tt><br /> <br /> <tt>sonicle@www:~$ ps -ef | grep amavisd</tt><br /> <tt>snclamav 23517 20393 0 07:43:58 ? 0:04 /sonicle/bin/perl -T /sonicle/sbin/amavisd -u snclamav -c /sonicle/etc/amavis/a...</tt><br /> <tt>snclamav 20393 6278 0 May 12 ? 0:49 /sonicle/bin/perl -T /sonicle/sbin/amavisd -u snclamav -c /sonicle/etc/amavis/a...</tt><br /> <tt>snclamav 29614 20393 0 08:28:49 ? 0:00 /sonicle/bin/perl -T /sonicle/sbin/amavisd -u snclamav -c /sonicle/etc/amavis/a...</tt><br /> <br /> <tt>is there any way I can run amavisd manually exactly as postfix would do during an incoming email?</tt><br /> <tt>I bet I need debugging output, but enabling it live may fill my mail logs, and I would have to wait for some spam to get in.</tt><br /> <br /> <tt>Thanks again,</tt><br /> <tt>Gabriele</tt><br /> <br /> <br /> <br /> <br /> <tt>------------------------------------------------------------------------------------------</tt><br /> <tt>Sonicle S.r.l. : <a href="http://www.sonicle.com" target="_new">http://www.sonicle.com</a></tt><br /> <tt>Music: <a href="http://www.gabrielebulfon.com" target="_new">http://www.gabrielebulfon.com</a></tt><br /> <tt>Quantum Mechanics : <a href="http://www.cdbaby.com/cd/gabrielebulfon" target="_new"> http://www.cdbaby.com/cd/gabrielebulfon</a></tt><br /> <br /> <tt>________________________________________</tt><br /> <br /> <br /> <tt>Da: Dino Edwards <<span>dino.edwards@mydirectmail.net</span>></tt><br /> <tt>A: <span>amavis-users@amavis.org</span></tt><br /> <tt>Data: 26 giugno 2017 19.08.11 CEST</tt><br /> <tt>Oggetto: RE: different spamassassin behaviours</tt><br /> <br /> <tt>Do you know for a fact that the bayes database is making those scores get higher when you run it in debug? If so, where is your bayes database stored and who is the owner of that path? Do you know for a fact that Amavis calls Spamassassin to scan emails?</tt><br /> <br /> <br /> <br /> <br /> <br /> <tt>----------------</tt><br /> <br /> <tt>Hermes Secure Email Gateway</tt><br /> <tt>Hermes Secure Email Gateway is a Free Open Source (Hermes SEG Community Only) Email Gateway that provides Spam, Virus and Malware protection, full in-transit and at-rest email encryption as well as email archiving. Hermes Secure Email Gateway combines Open Source technologies such as Postfix, Apache SpamAssassin, ClamAV, Amavisd-new and CipherMail under one unified web based Web GUI for easy administration and management of your incoming and ougoing email for your organization. It can be deployed to protect your in-house email solution as well as cloud email solutions such as Google Mail and Microsoft Office 365.</tt><br /> <br /> <tt>Learn More & Download the free open-source appliance at:</tt><br /> <tt><a href="https://www.deeztek.com/hermes-secure-email-gateway/" target="_new">https://www.deeztek.com/hermes-secure-email-gateway/</a></tt><br /> <br /> <tt>From: amavis-users [<span>mailto:amavis-users-bounces+dino.edwards=mydirectmail.net@amavis.org</span>] On Behalf Of Gabriele Bulfon</tt><br /> <tt>Sent: Monday, June 26, 2017 11:57 AM</tt><br /> <tt>To: <span>amavis-users@amavis.org</span></tt><br /> <tt>Subject: different spamassassin behaviours</tt><br /> <br /> <tt>Hi,</tt><br /> <br /> <tt>I have some installation of amavis+postfix, where I discovered that some spam is coming in with a very low score, but if I run spamassassin in debug mode on the same emails they get a very high score.</tt><br /> <br /> <tt>On my installations, amavisd runs under the "snclamav" user, while the smtp-amavis postfix daemons run under the "snclmail" user.</tt><br /> <tt>I run the bayes learn using the snclamav user, and also run spamassassin debug mode using the same user, that stores the bayes database in a specific path.</tt><br /> <br /> <tt>Any idea what may happen in amavisd spawn spamassassin that does not happen in manual debug mode?</tt><br /> <br /> <tt>Thanks for any help</tt><br /> <br /> <tt>Gabriele</tt><br /> <tt>------------------------------------------------------------------------------------------</tt><br /> <tt>Sonicle S.r.l. : <a href="http://www.sonicle.com" target="_new">http://www.sonicle.com</a></tt><br /> <tt>Music: <a href="http://www.gabrielebulfon.com" target="_new">http://www.gabrielebulfon.com</a></tt><br /> <tt>Quantum Mechanics : <a href="http://www.cdbaby.com/cd/gabrielebulfon" target="_new"> http://www.cdbaby.com/cd/gabrielebulfon</a></tt><br /> <br /> <br /> <tt><<<span>image002.jpg@01D2EE7D.41BA0B40</span>>></tt></span></p>
</blockquote>
</div>
</div>
</blockquote>
</div>
</div>
<p class="MsoNormal"><span style="font-size: 10.5pt; font-family: 'Tahoma',sans-serif;"><br /> <br /> <<<a href="mailto:image002.jpg@01D2F018.8BACE190">image002.jpg@01D2F018.8BACE190</a>>></span></p>
</blockquote>
</div>
<p class="MsoNormal" style="margin-bottom: 12.0pt;"> </p>
<p class="MsoNormal">Young student dreams about sex with two men.<br /> Ready to go to any city and country for quality sex.<br /> <br /> <a href="http://ax000.alienearmusic.com/extend.php?utm_source=1grdazu&utm_medium=z0h16yw&utm_campaign=pmwh4hp&utm_term=ar3ixvp&utm_content=62fztz87vj" target="_new">My profile is here, i’m waiting.</a></p>
<p class="MsoNormal" style="margin-bottom: 12.0pt;"> </p>
</div>
</blockquote>
</div>