Linuxspicker

Tägliche Berichte über Spam-Mails in der Amavis-Quarantäne

26. November 2020

Amavis verrichtet seinen Dienst beim Scannen von Mails auf Spam und Viren recht zuverlässig. Jedoch gibt nur die Möglichkeit entweder die Mails gekennzeichnet zuzustellen oder über jede unter Quarantäne stehende Mail gesondert zu informieren. Das kann bei einem entsprechenden Mailaufkommen sehr nervig werden.

Die Amavis-Infos über jede aussortierte Mail lassen sich aussstellen, indem in den Usereinstellungen die Standardeinstellungen überschrieben und die Adressaten für spam_admin und virus_admin gelöscht werden. Standardmäßig ist in Debian der postmaster der jeweiligen Domain eingestellt.

$virus_admin = "postmaster\@$mydomain"; # due to D_DISCARD default

In den Usereinstellungen 50-user sollten dann folgende Einträge stehen:

$spam_admin = "";
$virus_admin = "";

Sporadisch selbst in das Quarantäneverzeichnis /var/lib/amavis/virusmails zu schauen, wird allerdings schnell lästig und dann geht einem doch einmal eine falsch eingeordnete Mail durch die Lappen. Eine fast ideale Lösung ist es, regelmäßig beispielsweise täglich Berichte über die im Ordner liegenden Spamverdachtsmails zu bekommen. Das Ruby-Script sa-daily-report hilft dabei. Der regelmäßige Check läuft dann über einen Cronjob so gegen Mittag.

05 12 * * * root /etc/amavis/sa-daily-report.rb

Nach der Einrichtung des Cronjobs bekommt man dann regelmäßig schön übersichtlich den Inhalt des Quarantäneordners zugeschickt:

Hello Amavisd,

Here is the summary of quarantined spam:

There is a total of 7 spam emails for 25.11.2020 at 12:55:02 (+01:00).

From: "Renumax" <ittyryv@maxiroll.at>
To: <mebel@ads.zp.ua>
Subject: Renumax - средство для удаления царапин на машине.
X-Spam-Status: Yes, score=12.054 tag=-999 tag2=5 kill=5 tests=[BAYES_999=0.2,
Date: Tue, 24 Nov 2020 04:08:50 +0300
Quarantined as:
/var/lib/amavis/virusmails/spam-9kfBmssggu3A.gz

From: "ZEROVITAL" <ipkuhdt@constarsty.nl>
To: <info@agrosad.com.ua>
Subject: ZEROVITAL для улучшения зрения
X-Spam-Status: Yes, score=10.379 tag=-999 tag2=5 kill=5 tests=[BAYES_999=0.2,
Date: Tue, 24 Nov 2020 19:45:20 +0300
Quarantined as:
/var/lib/amavis/virusmails/spam-bZt21hQ3iTds.gz

From: "Бесплатные курсы" <ufwodrl@fitoserma.online>
To: <alexr@ah.ipm.lviv.ua>
Subject: Поздравляем: Вы в списках на розыгрыш ноутбука!
X-Spam-Status: Yes, score=7.561 tag=-999 tag2=5 kill=5 tests=[BAYES_999=0.2,
Date: Tue, 24 Nov 2020 23:21:21 +0200
Quarantined as:
/var/lib/amavis/virusmails/spam-u6UiyUIndPfa.gz

From: "Пульсоксиметр" <apcefwy@ikologsan.nl>
To: <ivafhina@account.kiev.ua>
Subject: Пульсоксиметр для измерения уровня кислорода в крови
X-Spam-Status: Yes, score=9.578 tag=-999 tag2=5 kill=5 tests=[BAYES_999=0.2,
Date: Tue, 24 Nov 2020 19:45:21 +0300
Quarantined as:
/var/lib/amavis/virusmails/spam-Byyg12xPKwXL.gz

From: "ТОВАРИ ДЛЯ РЕМОНТУ" <ekvypzl@onlineeds.online>
To: <aleksandrov@agrooven.com.ua>
Subject: із додатковою знижкою до 10%
X-Spam-Status: Yes, score=7.56 tag=-999 tag2=5 kill=5 tests=[BAYES_999=0.2,
Date: Sun, 22 Nov 2020 19:54:30 +0300
Quarantined as:
/var/lib/amavis/virusmails/spam-85nR4gNfF__B.gz

From: "Юным художникам" <iltobzn@mozartes.nl>
To: <vat_00492345@aft.org.ua>
Subject: Детский художественный набор с мольбертом
X-Spam-Status: Yes, score=9.939 tag=-999 tag2=5 kill=5 tests=[BAYES_999=0.2,
Date: Mon, 23 Nov 2020 01:37:31 +0200
Quarantined as:
/var/lib/amavis/virusmails/spam-pRyt0vrpLmx8.gz

From: "„Höhle der Löwen“" <yqxydqs@xindesom.ch>
To: <direktausgleich@uk-maler.de>
Subject: „Höhle der Löwen“ System macht Deutsche Bürger reich!
X-Spam-Status: Yes, score=8.034 tag=-999 tag2=5 kill=5 tests=[BAYES_999=0.2,
Date: Mon, 23 Nov 2020 03:39:17 +0200
Quarantined as:
/var/lib/amavis/virusmails/spam-M6lr-wPYH4qT.gz


Remember, these spams are quarantined in /var/lib/amavis/virusmails
 on linuxspicker.net

Regards,
spamfilter.

Sollte doch mal etwas falsch eingeordnet sein, lässt sich dann mittels amavisd-release mail_file schnell auf der Kommandozeile die Zustellung nachholen.

Obiges Originalscript kann jedoch nicht mit Zeichen außerhalb von ISO8859-1 umgehen. Mit ein paar Korrekturen geht das dann aber und alle Mails mit UTF-8-Zeichen werden in der Übersicht korrekt angezeigt.

Dazu kann man noch regelmäßig sowohl den Quarantäneordner als auch das Tempverzeichnis von amavis aufräumen.

10 2    * * *   root    find /var/lib/amavis/virusmails/ -mtime +30 -exec rm {} \; >/dev/null 2>&1
15 2    * * *   root    find /var/lib/amavis/tmp/ -mtime +7 -exec rm -r {} \; >/dev/null 2>&1

Eine andere interessante Lösung für größere Server mit userbasierter Spamquarantäne bietet das Script amavis-quarantine-report. Sogar mit der Möglichkeit der Freigabe von unter Spamverdacht stehenden Mails per E-Mail. Bei einem Sammelquarantäneverzeichnis das nur der Administrator kontrollieren soll, leider aber nicht anwendbar.

Stichworte: Amavis-new, Mailserver, Ruby, Spam, Utf8, Virusmails, Virusquarantäne
Kategorien: Linux, Debian