| |
| centos:mail_c7:spam_6 [02.12.2014 20:02. ] – [GTUBE auf Port 587 (MUA zu MSA Verkehr)] django | centos:mail_c7:spam_6 [22.07.2019 15:02. ] (aktuell) – Externe Bearbeitung 127.0.0.1 |
|---|
| # Django : 2014-11-18 | # Django : 2014-11-18 |
| # default: SOCKET=/var/run/amavisd/amavisd-milter.sock | # default: SOCKET=/var/run/amavisd/amavisd-milter.sock |
| SOCKET=inet:10013@10.0.0.67 | SOCKET=inet:8899@10.0.0.67 |
| |
| # Communication socket between amavisd-milter and amavisd-new | # Communication socket between amavisd-milter and amavisd-new |
| </file> | </file> |
| |
| Viele Parameter sind etwas arg verstreut in der Datei, so dass man oft nicht auf den ersten Blick deren Abhängigkeit erkennt. Wir werden daher, ähnlich auch schon wie bei der Konfiguration unseres **MTA**((**M**ail **T**ransport **A**gent)) [[centos:mail_c7:mta_4#postfix_from_the_scratch|Postfix]], die originalversion bei Seite legen und uns unsere eigene strukturierte AMaViS-Konfigurationsdatei aufsetzen. | Viele Parameter sind etwas arg verstreut in der Datei, so dass man oft nicht auf den ersten Blick deren Abhängigkeit erkennt. Wir werden daher, ähnlich auch schon wie bei der Konfiguration unseres **MTA**((**M**ail **T**ransport **A**gent)) [[centos:mail_c7:mta_4#postfix_from_the_scratch|Postfix]], die Originalversion bei Seite legen und uns unsere eigene strukturierte AMaViS-Konfigurationsdatei aufsetzen. |
| |
| Wir benennen also als erstes einmal, die original mitgelieferte Konfigurationsdate des AMaViS-Daemon um. | Wir benennen also als erstes einmal, die original mitgelieferte Konfigurationsdate des AMaViS-Daemon um. |
| $lock_file = "/var/run/amavisd/amavisd.lock"; | $lock_file = "/var/run/amavisd/amavisd.lock"; |
| $pid_file = "/var/run/amavisd/amavisd.pid"; | $pid_file = "/var/run/amavisd/amavisd.pid"; |
| | |
| | # ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING |
| | @score_sender_maps = ({ # a by-recipient hash lookup table, |
| | # results from all matching recipient tables are summed |
| | |
| | # ## per-recipient personal tables (NOTE: positive: black, negative: white) |
| | # 'user1@example.com' => [{'bla-mobile.press@example.com' => 10.0}], |
| | # 'user3@example.com' => [{'.ebay.com' => -3.0}], |
| | # 'user4@example.com' => [{'cleargreen@cleargreen.com' => -7.0, |
| | # '.cleargreen.com' => -5.0}], |
| | |
| | ## site-wide opinions about senders (the '.' matches any recipient) |
| | '.' => [ # the _first_ matching sender determines the score boost |
| | |
| | new_RE( # regexp-type lookup table, just happens to be all soft-blacklist |
| | [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i => 5.0], |
| | [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i => 5.0], |
| | [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i => 5.0], |
| | [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], |
| | [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i => 5.0], |
| | [qr'^(your_friend|greatoffers)@'i => 5.0], |
| | [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i => 5.0], |
| | ), |
| | |
| | # read_hash("/var/amavis/sender_scores_sitewide"), |
| | |
| | { # a hash-type lookup table (associative array) |
| | 'nobody@cert.org' => -3.0, |
| | 'cert-advisory@us-cert.gov' => -3.0, |
| | 'owner-alert@iss.net' => -3.0, |
| | 'slashdot@slashdot.org' => -3.0, |
| | 'securityfocus.com' => -3.0, |
| | 'ntbugtraq@listserv.ntbugtraq.com' => -3.0, |
| | 'security-alerts@linuxsecurity.com' => -3.0, |
| | 'mailman-announce-admin@python.org' => -3.0, |
| | 'amavis-user-admin@lists.sourceforge.net' => -3.0, |
| | 'amavis-user-bounces@lists.sourceforge.net' => -3.0, |
| | 'spamassassin.apache.org' => -3.0, |
| | 'notification-return@lists.sophos.com' => -3.0, |
| | 'owner-postfix-users@postfix.org' => -3.0, |
| | 'owner-postfix-announce@postfix.org' => -3.0, |
| | 'owner-sendmail-announce@lists.sendmail.org' => -3.0, |
| | 'sendmail-announce-request@lists.sendmail.org' => -3.0, |
| | 'donotreply@sendmail.org' => -3.0, |
| | 'ca+envelope@sendmail.org' => -3.0, |
| | 'noreply@freshmeat.net' => -3.0, |
| | 'owner-technews@postel.acm.org' => -3.0, |
| | 'ietf-123-owner@loki.ietf.org' => -3.0, |
| | 'cvs-commits-list-admin@gnome.org' => -3.0, |
| | 'rt-users-admin@lists.fsck.com' => -3.0, |
| | 'clp-request@comp.nus.edu.sg' => -3.0, |
| | 'surveys-errors@lists.nua.ie' => -3.0, |
| | 'emailnews@genomeweb.com' => -5.0, |
| | 'yahoo-dev-null@yahoo-inc.com' => -3.0, |
| | 'returns.groups.yahoo.com' => -3.0, |
| | 'clusternews@linuxnetworx.com' => -3.0, |
| | lc('lvs-users-admin@LinuxVirtualServer.org') => -3.0, |
| | lc('owner-textbreakingnews@CNNIMAIL12.CNN.COM') => -5.0, |
| | |
| | # soft-blacklisting (positive score) |
| | 'sender@example.net' => 3.0, |
| | '.example.net' => 1.0, |
| | |
| | }, |
| | ], # end of site-wide tables |
| | }); |
| |
| # Utilities mit denen amavis Archive auspackt | # Utilities mit denen amavis Archive auspackt |
| 10.0.0.0/24 | 10.0.0.0/24 |
| 10.0.10.0/26 | 10.0.10.0/26 |
| )</code> | ) |
| |
| |
| originating => 1, | originating => 1, |
| # Keine pof Abfragen für interne Clients durchführen. | # Keine pof Abfragen für interne Clients durchführen. |
| os_fingerprint_method => undef, | os_fingerprint_method => undef, |
| | # keinerlei unchecked-Meldungen verschicken |
| | #$admin_maps_by_ccat{+CC_UNCHECKED} = undef, |
| | # "nur" keine UNCHECKED-ENCRYPTED Notifications verschicken |
| | $admin_maps_by_ccat{+CC_UNCHECKED.',1'} = undef; |
| }; | }; |
| |
| virus_admin_maps => ["virusalert\@$mydomain"], | virus_admin_maps => ["virusalert\@$mydomain"], |
| spam_admin_maps => ["virusalert\@$mydomain"], | spam_admin_maps => ["virusalert\@$mydomain"], |
| warnbadhsender => 1, | warnbadhsender => 1, |
| | # keinerlei unchecked-Meldungen verschicken |
| | #$admin_maps_by_ccat{+CC_UNCHECKED} = undef, |
| | # "nur" keine UNCHECKED-ENCRYPTED Notifications verschicken |
| | $admin_maps_by_ccat{+CC_UNCHECKED.',1'} = undef; |
| # forward to a smtpd service providing DKIM signing service | # forward to a smtpd service providing DKIM signing service |
| forward_method => 'smtp:[127.0.0.1]:10027', | forward_method => 'smtp:[127.0.0.1]:10027', |
| |
| ==== Postfix ==== | ==== Postfix ==== |
| Die Anbinung des AMaViS-Servers an unseren Postfix-MTA nehmen wir nun im folgendem Konfigurationsschritt vor. Dabei unterscheiden wir die unterschiedlichen Verkehrsrichtungen bei unserem **MHS**((**M**ail **H**andling **S**ystem)): | Die Anbindung des AMaViS-Servers an unseren Postfix-MTA nehmen wir nun im folgendem Konfigurationsschritt vor. Dabei unterscheiden wir die unterschiedlichen Verkehrsrichtungen bei unserem **MHS**((**M**ail **H**andling **S**ystem)): |
| * **MTA**((**M**ail **T**ransport **A**gent))-Traffic : Hier bewerten und prüfen wir die Nachricht noch während der Annahme der Nachricht. Daher nutzen wir hier unseren [[centos:mail_c7:spam_6#amavisd-milter|amavisd-milter]] für die Anbindung des MTAs an das **AS/AV**((**A**nti **S**pam/**A**nti **V**irus))-System vor. Den zur Anbindung genutzten Milter, sprechen wir über den über TCP-Port **10013** an. Dazu definieren wir uns eine eigene Variable **amavisd_milter** für unseren Milter. Dieser Variable weisen wir in der Section **MILTER** den Wert //inet:10.0.0.67:10010// zu. \\ \\ <code> # vim /etc/postfix/main.cf</code><code bash>... | * **MTA**((**M**ail **T**ransport **A**gent))-Traffic : Hier bewerten und prüfen wir die Nachricht noch während der Annahme der Nachricht. Daher nutzen wir hier unseren [[centos:mail_c7:spam_6#amavisd-milter|amavisd-milter]] für die Anbindung des MTAs an das **AS/AV**((**A**nti **S**pam/**A**nti **V**irus))-System vor. Den zur Anbindung genutzten Milter, sprechen wir über den über TCP-Port **8899** an. Dazu definieren wir uns eine eigene Variable **amavisd_milter** für unseren Milter. Dieser Variable weisen wir in der Section **MILTER** den Wert //inet:10.0.0.67:8899// zu. \\ \\ <code> # vim /etc/postfix/main.cf</code><code bash>... |
| |
| ################################################################################ | ################################################################################ |
| # Django : 2014-11-18 | # Django : 2014-11-18 |
| # DMARC Test | # DMARC Test |
| amavisd_milter = inet:10.0.0.67:10010 | amavisd_milter = inet:10.0.0.67:8899 |
| |
| ... | ... |
| |
| Als erstes gestatten wir den Verkehr vom SMTP-Daemon zum AMaViS-Milter. | Als erstes gestatten wir den Verkehr vom SMTP-Daemon zum AMaViS-Milter. |
| # firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.0.0.87/32" port protocol="tcp" port="10013" destination address="10.0.0.67/32" accept" | # firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.0.0.87/32" port protocol="tcp" port="8899" destination address="10.0.0.67/32" accept" |
| |
| success | success |
| <code>Chain IN_public_allow (1 references) | <code>Chain IN_public_allow (1 references) |
| pkts bytes target prot opt in out source destination | pkts bytes target prot opt in out source destination |
| 0 0 ACCEPT tcp -- * * 10.0.0.87 10.0.0.67 tcp dpt:10013 ctstate NEW | 0 0 ACCEPT tcp -- * * 10.0.0.87 10.0.0.67 tcp dpt:8899 ctstate NEW |
| 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ctstate NEW | 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 ctstate NEW |
| </code> | </code> |
| Main PID: 15166 (amavisd-milter) | Main PID: 15166 (amavisd-milter) |
| CGroup: /system.slice/amavisd-milter.service | CGroup: /system.slice/amavisd-milter.service |
| └─15166 /usr/sbin/amavisd-milter -B -w /var/spool/amavisd/tmp -s inet:10010@10.0.0.67 -S /var/spool/amavisd/amavisd.sock -p /var/run/amavisd/amavisd-milter.pid -m 2 -M 300 -t 600 -T 600 | └─15166 /usr/sbin/amavisd-milter -B -w /var/spool/amavisd/tmp -s inet:8899@10.0.0.67 -S /var/spool/amavisd/amavisd.sock -p /var/run/amavisd/amavisd-milter.pid -m 2 -M 300 -t 600 -T 600 |
| |
| Dec 02 09:38:09 vml000067.dmz.nausch.org systemd[1]: Starting amavisd-milter is a milter (mailfilter) for amavisd-new which uses the AM.PDP protocol.... | Dec 02 09:38:09 vml000067.dmz.nausch.org systemd[1]: Starting amavisd-milter is a milter (mailfilter) for amavisd-new which uses the AM.PDP protocol.... |
| Dec 02 09:38:09 vml000067.dmz.nausch.org systemd[1]: PID file /var/run/amavisd/amavisd-milter.pid not readable (yet?) after start. | Dec 02 09:38:09 vml000067.dmz.nausch.org systemd[1]: PID file /var/run/amavisd/amavisd-milter.pid not readable (yet?) after start. |
| Dec 02 09:38:09 vml000067.dmz.nausch.org amavisd-milter[15166]: starting amavisd-milter 1.6.0 on socket inet:10010@10.0.0.67 | Dec 02 09:38:09 vml000067.dmz.nausch.org amavisd-milter[15166]: starting amavisd-milter 1.6.0 on socket inet:8899@10.0.0.67 |
| Dec 02 09:38:09 vml000067.dmz.nausch.org systemd[1]: Started amavisd-milter is a milter (mailfilter) for amavisd-new which uses the AM.PDP protocol..</code> | Dec 02 09:38:09 vml000067.dmz.nausch.org systemd[1]: Started amavisd-milter is a milter (mailfilter) for amavisd-new which uses the AM.PDP protocol..</code> |
| |
| Mit **lsof** können wir auch den geöfneten Port überprüfen. | Mit **lsof** können wir auch den geöfneten Port überprüfen. |
| # lsof -i :10010 | # lsof -i :8899 |
| |
| COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME | COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME |
| amavisd-m 15166 amavis 3u IPv4 158740 0t0 TCP vml000067.dmz.nausch.org:10010 (LISTEN) | amavisd-m 15166 amavis 3u IPv4 158740 0t0 TCP vml000067.dmz.nausch.org:8899 (LISTEN) |
| |
| |
| === SMTP-Client (swaks) === | === SMTP-Client (swaks) === |
| Wir verschicken nun als erstes mit Hilfe von [[http://www.jetmore.org/john/code/swaks/|Swaks]]((**S**wiss **A**rmy **K**nife for **S**MTP)) von John Jetmore eine Nachricht an einen unserer eigenen Empfänger. | Wir verschicken nun als erstes mit Hilfe von [[http://www.jetmore.org/john/code/swaks/|Swaks]]((**S**wiss **A**rmy **K**nife for **S**MTP)) von John Jetmore eine Nachricht an einen unserer eigenen Empfänger. |
| $ # swaks --to django@nausch.org --from n3rd@sec-mail.guru --header-X-Test "test eMail" --server 10.0.0.87 --port 25 --tls --header "Subject: erste HAM-Testnachricht auf Port 25" | $ swaks --to django@nausch.org --from n3rd@sec-mail.guru --header-X-Test "test eMail" --server 10.0.0.87 --port 25 --tls --header "Subject: erste HAM-Testnachricht auf Port 25" |
| |
| <code>=== Trying 10.0.0.87:25... | <code>=== Trying 10.0.0.87:25... |
| |
| === MUA (Empfänger) === | === MUA (Empfänger) === |
| Der Empfänger findet nun im Mail-Postfach unsere Testnachricht. Im Gegensatz zum vorangegangenen Testlauf mit Einlieferung auf Port **25**, sehen wir hier im Mailheader den "Schleifendurchlauf" beim Host //viruswall.dmz.nausch.org// nach Annahme der NAchricht durch den **MSA**((**M**ail **S**ubmission **A**gent)). | Der Empfänger findet nun im Mail-Postfach unsere Testnachricht. Im Gegensatz zum vorangegangenen Testlauf mit Einlieferung auf Port **25**, sehen wir hier im Mailheader den "Schleifendurchlauf" beim Host //viruswall.dmz.nausch.org// nach Annahme der Nachricht durch den **MSA**((**M**ail **S**ubmission **A**gent)). |
| |
| <code>Return-Path: <n3rd@sec-mail.guru> | <code>Return-Path: <n3rd@sec-mail.guru> |
| === SMTP-Client (swaks) === | === SMTP-Client (swaks) === |
| Das bereits heruntergeladene GTUBE-Testmail versuchen wir nun mit mit Hilfe von [[http://www.jetmore.org/john/code/swaks/|Swaks]]((**S**wiss **A**rmy **K**nife for **S**MTP)) an einen unserer eigenen Empfänger zu verschicken. | Das bereits heruntergeladene GTUBE-Testmail versuchen wir nun mit mit Hilfe von [[http://www.jetmore.org/john/code/swaks/|Swaks]]((**S**wiss **A**rmy **K**nife for **S**MTP)) an einen unserer eigenen Empfänger zu verschicken. |
| # swaks --to django@nausch.org --from n3rd@sec-mail.guru --header-X-Test "test eMail" --server 10.0.0.87 --port 25 --tls --header "Subject: dritte GTUBE-Testnachricht auf Port 25" --body gtube.txt | # swaks --to django@nausch.org --from n3rd@sec-mail.guru --header-X-Test "test eMail" --server 10.0.0.87 --port 587 --tls --header "Subject: vierte Testnachricht SPAM auf Port 587" --auth NTLM --auth-user n3rd@sec-mail.guru --auth-password Dj4n90-d3r-M41153rv3rguru! --body gtube.txt |
| |
| <code># swaks --to django@nausch.org --from n3rd@sec-mail.guru --header-X-Test "test eMail" --server 10.0.0.87 --port 587 --tls --header "Subject: vierte Testnachricht SPAM auf Port 587" --auth NTLM --auth-user n3rd@sec-mail.guru --auth-password Dj4n90-d3r-M41153rv3rguru! --body gtube.txt | <code>=== Trying 10.0.0.87:587... |
| === Trying 10.0.0.87:587... | |
| === Connected to 10.0.0.87. | === Connected to 10.0.0.87. |
| <- 220 mx01.nausch.org ESMTP Postfix | <- 220 mx01.nausch.org ESMTP Postfix |
| |
| <WRAP center round important> | <WRAP center round important> |
| Gemäß unserer Konfiguration erhält der der Empfänger **virusalert@nausch.org** eine Nachricht von **postmaster@nausch.org** mit dem Details zu der SPAM-Mail. Der Postmaster kann so reagieren und mit dem authentifizierten Mailbox-Nutzer Kontalt aufnehmen und diesen ggf. darauf hinweisen, dass unter Umständen sein Rechner von einem Zombie gekapert wurde und dieser munter SPAM-Mails verschicken will. Ein weitere Ursache könnte auch ein durch eine **[[http://de.wikipedia.org/wiki/Brute-Force-Methode|Brute-Force-Methode]]** geknacktem Mailkonto, da dort z.B. irgend ein __Trivialpasswort__ verwendet wurde, was leider durweg des öfteren vorkommt. | Gemäß unserer Konfiguration erhält der der Empfänger **virusalert@nausch.org** eine Nachricht von **postmaster@nausch.org** mit dem Details zu der SPAM-Mail. Der Postmaster kann so reagieren und mit dem authentifizierten Mailbox-Nutzer Kontalt aufnehmen und diesen ggf. darauf hinweisen, dass unter Umständen sein Rechner von einem Zombie gekapert wurde und dieser munter SPAM-Mails verschicken will. Ein weitere Ursache könnte auch ein durch eine **[[http://de.wikipedia.org/wiki/Brute-Force-Methode|Brute-Force-Methode]]** geknacktem Mailkonto, da dort z.B. irgend ein __Trivialpasswort__ verwendet wurde, was leider durchweg des öfteren vorkommt. |
| |
| So kann der Postmaster tätig werden und weiteren Schaden vom Mailserver abwenden, bevor der eigene server auf einer **Blacklist** landet und so dann gar keine Nachricht mehr verschickt werden könnte. | So kann der Postmaster tätig werden und weiteren Schaden vom Mailserver abwenden, bevor der eigene Server auf einer **Blacklist** landet und so dann gar keine Nachricht mehr verschickt werden könnte. |
| </WRAP> | </WRAP> |
| |
| |
| === SMTP-Server (Teil 2 von 3) === | === SMTP-Server (Teil 2 von 3) === |
| Im **Maillog** unseres Borderfilters sehen wir nun also als nächstes den Eingang deiser Notification-eMail an den definierten Empfänger. | Im **Maillog** unseres Borderfilters sehen wir nun also als nächstes den Eingang dieser Notification-eMail an den definierten Empfänger. |
| # less /var/log/maillog | # less /var/log/maillog |
| |
| |
| === MUA (Empfänger der Bounce Mail) === | === MUA (Empfänger der Bounce Mail) === |
| Der Ursprüngliche authentifizierte Absender erhält die Bouncenachricht, dass seine Nachricht nicht weiterverschcikt werden konnte. Dieser kann dann entsprechend tätig werden und den Fehler abstellen (helfen). | Der Ursprüngliche authentifizierte Absender erhält die Bounce-Nachricht, dass seine Nachricht nicht weiterverschickt werden konnte. Dieser kann dann entsprechend tätig werden und den Fehler abstellen (helfen). |
| |
| <code>Return-Path: <> | <code>Return-Path: <> |
| |
| --E5401C00088.1417530436/mx01.nausch.org-- | --E5401C00088.1417530436/mx01.nausch.org-- |
| </code> | |
| === SMTP-Server === | |
| # less /var/log/maillog | |
| <code>Nov 18 14:56:11 vml000087 postfix/smtpd[8185]: connect from vml000060.dmz.nausch.org[10.0.0.60] | |
| Nov 18 14:56:33 vml000087 postfix/smtpd[8185]: 49D10C00088: client=vml000060.dmz.nausch.org[10.0.0.60] | |
| Nov 18 14:56:47 vml000087 postfix/cleanup[8192]: 49D10C00088: message-id=<> | |
| Nov 18 14:56:47 vml000087 postfix/cleanup[8192]: 49D10C00088: milter-reject: END-OF-MESSAGE from vml000060.dmz.nausch.org[10.0.0.60]: 5.7.0 Reject, id=10587-01 - spam; from=<> to=<michael@nausch.org> proto=SMTP helo=<vml00060.dmz.nausch.org> | |
| Nov 18 14:56:53 vml000087 postfix/smtpd[8185]: disconnect from vml000060.dmz.nausch.org[10.0.0.60] | |
| </code> | </code> |
| |
| === ASAV-Server === | |
| # less /var/log/maillog | |
| <code>Nov 18 14:56:47 vml000067 amavis[10587]: loaded policy bank "AM.PDP-SOCK" | |
| Nov 18 14:56:47 vml000067 amavis[10587]: process_request: fileno sock=13, STDIN=0, STDOUT=1 | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: request=AM.PDP | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: queue_id=49D10C00088 | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: sender=<> | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: recipient=<michael@nausch.org> | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: tempdir=/var/spool/amavisd/afXXXXWhmmIZ | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: tempdir_removed_by=client | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: mail_file=/var/spool/amavisd/afXXXXWhmmIZ/email.txt | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: delivery_care_of=client | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: client_address=10.0.0.60 | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: client_name=vml000060.dmz.nausch.org | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: helo_name=vml00060.dmz.nausch.org | |
| Nov 18 14:56:47 vml000067 amavis[10587]: policy protocol: policy_bank=mx01.nausch.org | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) Request: AM.PDP /var/spool/amavisd/afXXXXWhmmIZ: <> -> <michael@nausch.org> | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) loaded policy bank "MYNETS" over "AM.PDP-SOCK" | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) body hash: bb71e830f7582e0640cc78f70abd2bcf | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) ip_trace: 10.0.0.60 | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) Checking: E1Jt0ckpTa0l AM.PDP-SOCK/MYNETS [10.0.0.60] <> -> <michael@nausch.org> | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) 2822.From: 0:[], 2821.Mail_From: <> | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) p001 1 Content-Type: text/plain, size: 725 B, name: | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) inspect_dsn: possibly a bounce, unrecognizable, struct: "?", parts(-/1): text/plain | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) check_header: 7, Missing required header field: "Date" | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) check_header: 7, Missing required header field: "From" | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) Checking for banned types and filenames | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) skipping banned check: all recipients bypass banned checks | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) presenting full original message to scanners as /var/spool/amavisd/afXXXXWhmmIZ/parts/p002 | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) run_av Using (ClamAV-clamd): (code) CONTSCAN /var/spool/amavisd/afXXXXWhmmIZ/parts\n | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) ClamAV-clamd: Connecting to socket /var/run/clamd.amavisd/clamd.sock | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) new socket by IO::Socket::UNIX to /var/run/clamd.amavisd/clamd.sock, timeout 10 | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) ClamAV-clamd: Sending CONTSCAN /var/spool/amavisd/afXXXXWhmmIZ/parts\n to socket /var/run/clamd.amavisd/clamd.sock | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) rw_loop read: got eof | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) run_av (ClamAV-clamd): CLEAN | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) run_av (ClamAV-clamd) result: clean | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) calling SA parse (0), SA vers 3.3.2, 3.003002, data as STRING, recips_ind [0], user: "amavis" | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) spam_scan: score=1006.51 autolearn=no tests=[ALL_TRUSTED=-1,DSN_NO_MIMEVERSION=2,GTUBE=1000,MISSING_DATE=1.396,MISSING_FROM=1,MISSING_HEADERS=1.207,MISSING_MID=0.14,MISSING_SUBJECT=1.767] recips=0 | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) bounce unverifiable, originating, <> -> <michael@nausch.org> | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) blocking contents category is (6) for michael@nausch.org, final_destiny -3 | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) do_notify_and_quar: ccat=Spam (6,0) ("6":Spam, "5":Spammy, "4,7":BadHdrMissing, "4":BadHdr, "1,1":CleanTag, "1":Clean, "0":CatchAll) ccat_block=(6), qar_mth= | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) delivery method is 1, recips: michael@nausch.org | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) status counters: InMsgsStatus{Rejected,RejectedInternal,RejectedOriginating} | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) Blocked SPAM {RejectedInternal}, AM.PDP-SOCK/MYNETS LOCAL [10.0.0.60] <> -> <michael@nausch.org>, Queue-ID: 49D10C00088, mail_id: E1Jt0ckpTa0l, Hits: 1006.51, size: 929, 439 ms | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) TIMING-SA total 364 ms - parse: 0.89 (0.2%), extract_message_metadata: 4 (1.2%), get_uri_detail_list: 1.36 (0.4%), tests_pri_-1000: 3 (0.7%), tests_pri_-950: 1.83 (0.5%), tests_pri_-900: 1.28 (0.4%), tests_pri_-400: 1.04 (0.3%), tests_pri_0: 333 (91.5%), check_spf: 0.29 (0.1%), check_razor2: 254 (69.7%), check_pyzor: 0.22 (0.1%), tests_pri_500: 5 (1.3%), get_report: 1.53 (0.4%) | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) mail checking ended: version_server=2\nlog_id=10587-01\nsetreply=554 5.7.0 Reject,%20id=10587-01%20-%20spam\nreturn_value=reject\nexit_code=69 | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) size: 929, TIMING [total 442 ms] - got data: 0.0 (0%)0, check_init: 5 (1%)1, digest_hdr: 0.8 (0%)1, digest_body_dkim: 0.3 (0%)1, collect_info: 1.3 (0%)2, mkdir parts: 3.2 (1%)2, mime_decode: 12 (3%)5, get-file-type1: 23 (5%)10, parts_decode: 0.1 (0%)11, check_header: 0.6 (0%)11, AV-scan-1: 13 (3%)14, spam-wb-list: 0.5 (0%)14, SA msg read: 0.6 (0%)14, SA parse: 2.5 (1%)14, SA check: 355 (80%)95, decide_mail_destiny: 10 (2%)97, notif-quar: 0.5 (0%)97, prepare-dsn: 0.6 (0%)97, report: 1.4 (0%)98, main_log_entry: 8 (2%)99, update_snmp: 1.4 (0%)100, rundown: 1.3 (0%)100 | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) extra modules loaded: unicore/lib/Gc/Nd.pl | |
| Nov 18 14:56:47 vml000067 amavis[10587]: (10587-01) load: 100 %, total idle 0.000 s, busy 0.468 s | |
| </code> | |
| |
| ==== Eicar-Testmail auf Port 25 (MTA zu MTA Verkehr) ==== | ==== Eicar-Testmail auf Port 25 (MTA zu MTA Verkehr) ==== |
| |
| ==== Eicar-Testmail auf Port 587 (MUA zu MSA Verkehr) ==== | ==== Eicar-Testmail auf Port 587 (MUA zu MSA Verkehr) ==== |
| Zum Abschluss unserer Testreihe überprüfen wir, ob wir die EICAR-Testsignatur als authetifizierten User von einem **MUA**((**M**ail **U**ser **A**gent)) beim **MSA**((**M**ail **S**ubmission **A**gent)) erfolgreich einliefern können. | Zum Abschluss unserer Testreihe überprüfen wir, ob wir die EICAR-Testsignatur als authentifizierten User von einem **MUA**((**M**ail **U**ser **A**gent)) beim **MSA**((**M**ail **S**ubmission **A**gent)) erfolgreich einliefern können. |
| |
| === SMTP-Client (swaks) === | === SMTP-Client (swaks) === |
| ~> AUTH NTLM | ~> AUTH NTLM |
| <~ 334 | <~ 334 |
| ~> TlRMTVNTUAABAAAAB6IAAAAAAAAAAAAAAAAAAAAAAAA= | ~> TlRUMTVNTUAABAAAABU6IAAAAAAAAAAAAAAAAAAAAAAAA= |
| <~ 334 TlRMTVNTUAACAAAAMAAwADAAAAAFAoIAAkSOBPF6ADYAAAAAAAAAADgAOABgAAAAdgBtAGwAMAAwADAAMAA3ADcALgBkAG0AegAuAG4AYQB1AHMAYwBoAC4AbwByAGcAAwAwAHYAbQBsADAAMAAwADAANwA3AC4AZABtAHoALgBuAGEAdQBzAGMAaAAuAG8AcgBnAAAAAAA= | <~ 334 UTlRMTVNTUAADUAAAAGAAYAEAAAAAYABUgAWAAAADAAMABwAAAAJAAkAKAAAAAkACQAxAAAAAAAAACoAAAABUQKCABKUTbcHiUVToxqvguZXpp6jgnmGYJ9jDa0UoXqDbxiyz+V1xFp8hFH2sd3yaZl/qjY3YAbQBsADUAAMAAwADAANwA3AC4AZABtAHoALUgBuAGEAdQBzAGMUAaAAuAG8AcgBnAG4AMwByAGQAQABzAGUAYwAtAG0AYQBpAGwALgBnAHUAcgB1AG4AMwByAGQAQABzAGUAYwAtAG0UAYQBpAGwALgBnAHUAcgB1AA== |
| ~> TlRMTVNTUAADAAAAGAAYAEAAAAAYABgAWAAAADAAMABwAAAAJAAkAKAAAAAkACQAxAAAAAAAAACoAAAABQKCANTVDKpHHUv85PtAexCY1yOMS7njGILZdghqesXmJ5wMRiTZjxWNaoP8lKsFRgEpU3YAbQBsADAAMAAwADAANwA3AC4AZABtAHoALgBuAGEAdQBzAGMAaAAuAG8AcgBnAG4AMwByAGQAQABzAGUAYwAtAG0AYQBpAGwALgBnAHUAcgB1AG4AMwByAGQAQABzAGUAYwAtAG0AYQBpAGwALgBnAHUAcgB1AA== | |
| <~ 235 2.7.0 Authentication successful | <~ 235 2.7.0 Authentication successful |
| ~> MAIL FROM:<n3rd@sec-mail.guru> | ~> MAIL FROM:<n3rd@sec-mail.guru> |
| ====== Links ====== | ====== Links ====== |
| * **⇐ [[centos:mail_c7:spam_5|Zurück zum Kapitel "Header und Bodychecks mit Postfix 2.11.3 unter CentOS 7.x"]]** | * **⇐ [[centos:mail_c7:spam_5|Zurück zum Kapitel "Header und Bodychecks mit Postfix 2.11.3 unter CentOS 7.x"]]** |
| * **⇐ [[centos:mail_c7:spam_7|Weiter zum Kapitel "ClamAV für AMaViS unter CentOS 7.x"]]** | * **⇒ [[centos:mail_c7:spam_7|Weiter zum Kapitel "ClamAV für AMaViS unter CentOS 7.x"]]** |
| * | |
| * **[[centos:mail_c7:start|Zurück zum Kapitel >>Mailserverinstallation unter CentOS 7<<]]** | * **[[centos:mail_c7:start|Zurück zum Kapitel >>Mailserverinstallation unter CentOS 7<<]]** |
| * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]** | * **[[wiki:start|Zurück zu >>Projekte und Themenkapitel<<]]** |
| * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** | * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** |
| |
| ~~DISCUSSION~~ | |
django