simscan config

  • Da ich zur Zeit von PDAv2 auf PDAv3 upgrade (inkl. Serverumzug) mache zum ersten mal Bekanntschaft mit simscan.
    Das erste was mich wunderte, dass einkommende Mails immer folgenden Received Zeile bekamen:


    Code
    1. Received: by simscan 1.1.0 ppid: 11300, pid: 11302, t: 0.9954s
    2. scanners:none

    ...obwohl clamav und spamassasin aktiv waren.


    Laut simscan wiki lässt sich das ändern mit simscanmk -g
    Dadurch wird /var/qmail/control/simversions.cdb erzeugt und die Header enthalten nun die entsprechenden Informationen:


    Code
    1. Received: by simscan 1.1.0 ppid: 11819, pid: 11821, t: 1.3174s
    2. scanners: clamav: 0.88.4/m:40/d:2032 spam: 3.1.7


    Was mich jetzt noch brennend interssieren würde sind die compile Einstellungen von simscan bzw. ob man alle configure optionen in /var/qmail/simcontrol/simcontrol überschreiben kann.


    Schreibt simscan z.B. in ein eigenes Log, um Statistiken über die Filterungen zu erstellen? Bisher finde ich nur syslog Einträge ala:

    Code
    1. Oct 15 17:40:20 server8324611258 clamd[12121]: /var/qmail/simscan/1160926818.832668.12119/msg.1160926818.832668.12119: HTML.Phishing.Bank-626 FOUND
    2. Oct 15 17:40:20 host smtpd: 1160926820.114428 simscan: 222.98.170.180 pid 12117: virus: HTML.Phishing.Bank-626 from: custsupport-5816309vr@volksb
    3. ank.de to: user@host.dom time: 1.2815s


    Sieht jemand die Möglichkeit simscan mit f-prot (meinen bisherigen Scanner unter qmail-scanner 2.01 ST) laufen zu lassen?

  • Nach einigem Testen würde ich vorschlagen simscan anstatt mit --enable-spam-passthru=y mit dem Schalter --enable-spam-hits=20.0 zu konfigurieren/compilieren.
    Mails mit score>20 würden während der smtp connection geblockt
    und die pd-admin anwender könnten diesen Wert nach eingenem Gusto anpassen. z.B.


    Code
    1. /var/qmail/simcontrol/simcontrol
    2. :clam=yes,spam=yes,spam_hits=8.0

    Ich persönlich halte den Schalter --enable-regex=y ebenfalls für sehr sinnvoll.


    Unter http://www.inter7.com/simscan/simscan-1.2.tar.gz liegt etwas versteckt eine etwas aktuellere Version.
    Die neue Testversion 1.3.1 liefert bei mir leider ein segmentation fault :(

  • Meiner meinung nach ist pd-admin sowieso Spammerfreundlich.
    Hier ist jede Menge nacholarbeit von Entwicklerseite da pd-admin
    von Haus aus fast alles durchlässt.


    Nacher kommt noch die Meinung auf pd-admin arbeitet mit den
    Spammern zusammen :O

  • Zitat

    Original von Shackattack
    Meiner meinung nach ist pd-admin sowieso Spammerfreundlich.
    Hier ist jede Menge nacholarbeit von Entwicklerseite da pd-admin
    von Haus aus fast alles durchlässt.


    Definitiv NEIN.
    Von Haus aus bringt pd-admin mindestens die gute alte 80/20 Lösung mit.


    Wer mehr will, muss die Stellschrauben bei spamassassin/simscan & Co. seinen Serverbedürfnissen anpassen.


    Das einzige was ich schade finde ist, dass die Dokumentation (wo _kann_ man was einstellen, was sind die Compileeinstellungen, welche Configdateien werden genutzt) hinsichtlich Spambekämpfung etwas dürftig sind :(

  • Die Standard-Konfiguration von pd-admin bzw. der Serverumgebung sollte bereits eine gute Trefferquote liefern, neben den Standard-Tests werden Emails auch gegen Vipul's Razor und DCC geprüft. Ansonsten müssen wir natürlich eine konservative Konfiguration ausliefern, bei der die Gefahr von False Positves gering ist. Wer strenger filtern möchte, kann den "required_score" in /usr/local/pd-admin2/etc/mail/spamassassin/local.cf runterstellen.


    Code
    1. Nach einigem Testen würde ich vorschlagen simscan anstatt mit --enable-spam-passthru=y mit dem Schalter --enable-spam-hits=20.0 zu konfigurieren/compilieren.


    Die aktuelle Konfiguration ist für eine verbesserte Konfiguration des Spamfilters vorbereitet, bei der Mails userspezifisch im SMTP-Dialog zurückgewiesen werden können. Optional soll die bisherige Zustellung in eine Quaratäne-Mailbox möglich bleiben.


    Viele Grüße,
    Daniel Bradler

  • Zitat

    Die aktuelle Konfiguration ist für eine verbesserte Konfiguration des Spamfilters vorbereitet, bei der Mails userspezifisch im SMTP-Dialog zurückgewiesen werden können.


    sorry, dass ich da nachbohren muss, aber was bedeutet das nun hinsichtlich der compile config von simscan? Wird bisher der Schalter --enable-spam-passthru=y genutzt oder nicht?


    Mit dem ausgelieferten simscan wurde bei mir ein spam_hits=8.0 in simcontrol ignoriert. Alle Mails, unabhängig vom score, wurden erst später gelöscht bzw. in die Quarantänebox geschoben. Daher meine ich, dass ein Abweisen im SMTP-Dialog in der bestehenden config zur Zeit nicht möglich ist.


    Zitat

    Optional soll die bisherige Zustellung in eine Quaratäne-Mailbox möglich bleiben.


    Per default könnte man den Wert für die Abweisung im SMTP Dialog ja _sehr_ hoch stellen z.B. --enable-spam-hits=99.0. Damit hätte man aber immer noch die Möglichkeit gewonnen das in simcontrol überhaupt zu konfigurieren.

  • OK, bitte meinen letzen Post vergessen, der trägt nur zur Verwirrung bei... =)


    In der ausglieferten simscan Version funktioniert das Abweisen von SPAMs im SMTP-Dialog, wie von Hr. Bradler beschrieben!



    Ich meine mich zu erinnern, dass ich in meinen ersten Tests in simcontrol gegensätzliche Einstellungen vorgenommen hatte:

    Code
    1. :clam=yes,spam=yes,spam_passthru=yes,spam_hits=8.0

    damit geht es natürlich definitiv nicht ;)



    Trotzdem eine vote4 simscan 1.2 (wegen der Bugfixes) und --enable-regex=y (wegen der Flexibilität) :]