---

Hej gruppe,
Jeg kom til at anvende min rigtige e-mailadresse i en post til denne
gruppe, og har siden modtaget ca. 300 mails med "paches" fra nogen, der
hævder, at de er microsoft.

På min RH8.0 kører spamassasin, men noget tyder på, at den ikke virker.
spamd kører som service i runlevel 3 og 5
/etc/mail/spamassasin findes
Der er intet .spamassasin dir i $HOME
Jeg har pløjet dokumentationen igennem uden at blive meget klogere.
Jeg er ved at opgive spamassasin

Jeg har prøvet med ASK - active spam killer. den har i midlertid givet
mig problemer.
ud fra nedenstående ser det ud til, at smrsh forsøger at afvikle en fil,
der hedder arne, men det er mit $HOME.

Min rigtige mailadresse er erstattet med "edited@nospam.net"

Jeg har førsøgt, at lave et symlink i /etc/smrsh til @HOME uden virkning
Jeg har sat et "/" efter arne i .forward, og då så meddelsen om at arne
er et directory.

Skulle der være en venlig sjæl, der kan hjælpe mig videre med de to
problemer ville det glæde mig.

/arne


#.forward
|/usr/bin/ask.py --loglevel=5 --logfile=/home/arne/ask.log \
--home=/home/arne

Sendmail briger smrsh derfor har jeg lavet et symlink i /ect/smrsh til
/usr/bin/ask.py

Jeg har sikret mig at sendmail kan eksekvere .forward
chmod 700 .forward

og at world ikke har adgang til $HOME
chmod 700 $HOME

#/var/log/maillog
Oct 27 22:12:21 home sendmail[4914]: h9RLCLQu004914:
from=<haaning@post1.tele.dk>, size=652, class=0, nrcpts=1,
msgid=<20031027205935.UZZM27285.fepX.post.tele.dk@localhost.localdomain>,
proto=ESMTP, daemon=MTA, relay=fepx.post.tele.dk [195.41.46.234]
Oct 27 22:12:21 home smrsh: uid 500: attempt to use arne
Oct 27 22:12:21 home sendmail[4915]: h9RLCLQu004914: to=|/usr/bin/ask.py
--loglevel=5 --logfile=/home/arne/ask.log --home=/home/arne,
ctladdr=<edited@nospam.net> (500/500), delay=00:00:00, xdelay=00:00:00,
mailer=prog, pri=30845, dsn=5.0.0, stat=Service unavailable
Oct 27 22:12:21 home sendmail[4915]: h9RLCLQu004914: h9RLCLQu004915:
DSN: Service unavailable
Oct 27 22:12:21 home sendmail[4915]: h9RLCLQu004915:
to=<haaning@post1.tele.dk>, delay=00:00:00, xdelay=00:00:00,
mailer=relay, pri=31869

##Bounce mail til afsender (haaning@post1.tele.dk)
The original message was received at Mon, 27 Oct 2003 22:12:21 +0100
from fepx.post.tele.dk [195.41.46.234]

----- The following addresses had permanent fatal errors -----
|/usr/bin/ask.py --loglevel=5 --logfile=/home/arne/ask.log --home=/home/arne
(reason: Service unavailable)
(expanded from: <edited@nospam.net>)

----- Transcript of session follows -----
smrsh: arne not available for sendmail programs
554 5.0.0 Service unavailable

---

daserv.htmArne Haaning wrote:
> Hej gruppe,
> Jeg kom til at anvende min rigtige e-mailadresse i en post til denne
> gruppe, og har siden modtaget ca. 300 mails med "paches" fra nogen, der
> hævder, at de er microsoft.
>
> På min RH8.0 kører spamassasin, men noget tyder på, at den ikke virker.

Disse mails er faktisk ikke spam, men virus.

Og selv med et virusfilter modtager man mange af dem, nemlig
dem, der har været igennem et andet virusfilter undervejs,
hvor dette virusfilter har pillet den farlige attachment fra.

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer wrote:

>
> Disse mails er faktisk ikke spam, men virus.
>
> Og selv med et virusfilter modtager man mange af dem, nemlig
> dem, der har været igennem et andet virusfilter undervejs,
> hvor dette virusfilter har pillet den farlige attachment fra.

Tak for dit svar.

Det anede mig, at det var sådan det forholdt sig.
Kan jeg tolke dit svar som at spamassasin tilsyneladende virker, men
ikke på den type spam/virus?

Derfor var jeg allerede gået i gang med ASK - Active Spam Killer.
Den virker ved at adresser, der ikke er på en whitelist bliver bedt om
at bekræfte, at det er dem, der har sendt mailen. Svarer de på "bekræft"
mailen bliver den oprindelige mail frigivet til brugerens mailbox.

Simpelt og i teorien sikkert
/arne

---

Arne Haaning skrev:

> Kan jeg tolke dit svar som at spamassasin tilsyneladende virker,
> men ikke på den type spam/virus?

Spamassassin virker på "alt" hvis blot den bliver trænet på brevene,
uanset om det er spam eller virus eller noget helt tredje. Hvis en
spam/virus ikke er blevet mærket som spam, kan man bruge sa-learn til
at træne spamassassin med.

Man kan se i brevhovederne om spamassassin har haft fingre i brevene.
Hvis brevene ikke har været gennem spamassassin, er det fordi man
ikke har sat det op så ens mailserver (eller procmail) hælder brevene
gennem spamassassin.


// Klaus

--
><>    unselfish actions pay back better

---

Klaus Alexander Seistrup wrote:

> Spamassassin virker på "alt" hvis blot den bliver trænet på brevene,
> uanset om det er spam eller virus eller noget helt tredje. Hvis en
> spam/virus ikke er blevet mærket som spam, kan man bruge sa-learn til
> at træne spamassassin med.
>
> Man kan se i brevhovederne om spamassassin har haft fingre i brevene.
> Hvis brevene ikke har været gennem spamassassin, er det fordi man
> ikke har sat det op så ens mailserver (eller procmail) hælder brevene
> gennem spamassassin.

Hvordan træner jeg SA - jeg ved der findes en command, der hedder
sa-learn, men hvordan firker den, og hvad gør jeg.

Hvordan ser jeg på headeren, om den har været gennem SA?

I nedenstående, som er headeren fra en af de seneste uønskede mails, kan
jeg ikke finde et footprint fra SA.

/arne

From - Tue Oct 28 08:40:53 2003
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <javiercolas@mi.madritel.es>
Received: from alcorcon.madritel.es (alcorcon.madritel.es [213.37.2.159])
   by XXX.XXX (8.12.5/8.12.5) with ESMTP id h9S7XRQu006135
   for <XXX@XXX.XXX>; Tue, 28 Oct 2003 08:33:27 +0100
Date: Tue, 28 Oct 2003 08:33:27 +0100
Message-Id: <200310280733.h9S7XRQu006135@XXX.XXX>
Received: from garvx ([217.126.178.86]) by alcorcon.madritel.es
(Netscape Messaging Server 4.15) with SMTP id HNGHOX01.E1Q; Tue,
28 Oct 2003 08:19:45 +0100
FROM: "MS Security Center" <pqxlfxpjjtiw@advisor.microsoft.com>
TO: "Microsoft Corporation Consumer"
<consumer-imcosxrg@advisor.microsoft.com>
SUBJECT: New Microsoft Security Patch
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="pcvdfhvbuclyix"

--pcvdfhvbuclyix
Content-Type: multipart/related; boundary="ckqvgibuierbcscg";
   type="multipart/alternative"

--ckqvgibuierbcscg
Content-Type: multipart/alternative; boundary="utvpzjys"

--utvpzjys
Content-Type: text/plain
Content-Transfer-Encoding: quoted-printable

---

Arne Haaning skrev:

> Hvordan ser jeg på headeren, om den har været gennem SA?

Der findes gerne en masse felter ved navn X-Spam-*, fx

#v+

X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 2.60 on mx.eksempel.dk
X-Spam-Level: ******************
X-Spam-Status: Yes, hits=18.0 required=5.0 tests=BAYES_90,DNS_FROM_RFCI_DSN,
   HTML_FONTCOLOR_UNKNOWN,HTML_FONT_BIG,HTML_FONT_INVISIBLE,HTML_MESSAGE,
   HTML_MIME_NO_HTML_TAG,HTTP_ENTITIES_HOST,MIME_HTML_ONLY,
   MSGID_FROM_MTA_SHORT,OBFUSCATING_COMMENT,SUBJ_ILLEGAL_CHARS
   autolearn=spam version=2.60
X-Spam-Report:
   * 0.1 HTML_FONTCOLOR_UNKNOWN BODY: HTML font color is unknown to us
   * 2.1 BAYES_90 BODY: Bayesian spam probability is 90 to 99%
   * [score: 0.9749]
   * 0.1 HTML_MESSAGE BODY: HTML included in message
   * 0.3 HTML_FONT_BIG BODY: HTML has a big font
   * 0.3 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
   * 0.6 HTML_FONT_INVISIBLE BODY: HTML font color is same as background
   * 1.9 HTTP_ENTITIES_HOST URI: URI obscured with character entities
   * 3.9 SUBJ_ILLEGAL_CHARS Subject contains too many raw illegal characters
   * 3.0 MSGID_FROM_MTA_SHORT Message-Id was added by a relay
   * 0.3 DNS_FROM_RFCI_DSN RBL: From: sender listed in dsn.rfc-ignorant.org
   * 1.2 HTML_MIME_NO_HTML_TAG HTML-only message, but there is no HTML tag
   * 4.2 OBFUSCATING_COMMENT HTML comments which obfuscate text

#v-

> I nedenstående, som er headeren fra en af de seneste uønskede mails,
> kan jeg ikke finde et footprint fra SA.

Så er brevet nok ikke hældt gennem spamassassin.

Jeg bruger selv postfix som MTA, så jeg kan ikke fortælle dig hvordan
du får forbundet sendmail og spamassassin, men INSTALL-filen fortæller
udtrykkeligt hvordan man kan bruge procmail, spamc og spamd.


// Klaus

--
><>    unselfish actions pay back better

---

Klaus Alexander Seistrup wrote:
> Så er brevet nok ikke hældt gennem spamassassin.


>
> Jeg bruger selv postfix som MTA, så jeg kan ikke fortælle dig hvordan
> du får forbundet sendmail og spamassassin, men INSTALL-filen fortæller
> udtrykkeligt hvordan man kan bruge procmail, spamc og spamd.
Jeg har hentet nyeste src og skal til at igang, men jeg holder mig lidt
tilbage endnu.
Der er specielle instruktioner i INSTALL i fm. uograde fra v 2.3.x og
v.2.4.x
Hvordan finder jeg versionsnummert på min installation?
/arne

---

Arne Haaning skrev:

> Hvordan finder jeg versionsnummert på min installation?

$ spamassassin --version


// Klaus

--
><>    unselfish actions pay back better

---

Klaus Alexander Seistrup wrote:
>>Hvordan finder jeg versionsnummert på min installation?
> $ spamassassin --version
Super! Version 2.31
/a

---

Arne Haaning <nospam2@haaning.nospam.org> writes:

> Derfor var jeg allerede gået i gang med ASK - Active Spam Killer.
> Den virker ved at adresser, der ikke er på en whitelist bliver bedt om
> at bekræfte, at det er dem, der har sendt mailen. Svarer de på "bekræft"
> mailen bliver den oprindelige mail frigivet til brugerens mailbox.
>
> Simpelt og i teorien sikkert

Hvis man kan leve med ikke at modtage mails fra folk, der ikke har tid/lyst
til at goere en ekstra indsats for at sende en email.

--
Med venlig hilsen
Christian Laursen

---

Arne Haaning <nospam2@haaning.nospam.org> writes:

> Hvordan træner jeg SA - jeg ved der findes en command, der hedder
> sa-learn, men hvordan firker den, og hvad gør jeg.

På min maskine har sa-learn en nydelig manualside. Har du prøvet at
læse den? ('man sa-learn')

--
Peter Makholm | What if:
peter@makholm.net | IBM bought Xenix from Microsoft instead of buying
http://hacking.dk | DOS?

---

Peter Makholm wrote:
> Arne Haaning <nospam2@haaning.nospam.org> writes:
>
>
>>Hvordan træner jeg SA - jeg ved der findes en command, der hedder
>>sa-learn, men hvordan firker den, og hvad gør jeg.
>
>
> På min maskine har sa-learn en nydelig manualside. Har du prøvet at
> læse den? ('man sa-learn')
>

Nu har jeg nok ikke adgang til din maskine
På min egen findes der tilsyneladende ingen man/info/doc og spamassasins
hp har ikke kunnet hjælpe mig i tilstrækkelig grad.

Men jeg kunne egentligt godt tænke mig, hvis der var nogle, der kunne
adressere det andet problem jeg har med ask/smrsh, hvor smrsh har fået
den pudsige ide, at mit $HOME skal afvikles som eksekverbar fil.
/arne

---

Arne Haaning skrev:

> spamassasins hp har ikke kunnet hjælpe mig i tilstrækkelig grad.

Hvad mangler du på <http://eu.spamassassin.org/doc/sa-learn.html>?


// Klaus

--
><>    unselfish actions pay back better

---

Klaus Alexander Seistrup wrote:
> Hvad mangler du på <http://eu.spamassassin.org/doc/sa-learn.html>?
Tak for tippet
/arne

---

Arne Haaning <nospam2@haaning.nospam.org> writes:

> Klaus Alexander Seistrup wrote:
>>>Hvordan finder jeg versionsnummert på min installation?
>> $ spamassassin --version
> Super! Version 2.31

Den er *pænt* gammel. Jeg oplevede en massiv forbedring ved
opgradering fra 2.55 til 2.60 og før det fra 2.nogenogfyrre til 2.5X,
så jeg vil klart anbefale en opgradering.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
I'm a unix system administrator
- sending me HTML formatted emails and/or attached Word documents is a
nice way to ensure I won't bother to answer you.
-- Jan Chrillesen
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote:
> Den er *pænt* gammel. Jeg oplevede en massiv forbedring ved
> opgradering fra 2.55 til 2.60 og før det fra 2.nogenogfyrre til 2.5X,
> så jeg vil klart anbefale en opgradering.
Jeg har installeret 2.60.1
og konfigureret local.cf med det webinterface man får adgang til fra
spamassassin.org

mit problem er bare, at det ikke er forbindelse mellem spamassassin
(spamd) og sendmail.
spamd kører men der kommer ingen spam-tags i headeren.

De vejledninger jeg har fundet på nettet foreskriver at jeg skal hente
en r*vfuld af perl scripts (tror jeg) og rekompilere sendmail.

Findes der en lettere metode?
(Se evt tråden: RH8.0: sendmai & spamassassin)
/arne

---

Arne Haaning skrev:

> De vejledninger jeg har fundet på nettet foreskriver at jeg skal
> hente en r*vfuld af perl scripts (tror jeg) og rekompilere sendmail.
>
> Findes der en lettere metode?

Brug procmail og spamc til at hælde brevene gennem spamd.


// Klaus

--
><>    unselfish actions pay back better

---

En opdatering af hvad jeg har fundet ud af forløbig.
ASK:
Når man sender commandoer til smrsh fjerner smrsh stien. Formålet med
smrsh er bl.a. at begrænse adgangen til filsystemet.
dvs. smrsh behandler /usr/bin/foo /bin/foo og foo ens!

Jeg prøvede at fjerne argumenterne fra ask.py i .forward et efter et. og
hvergang var resultatet, at smrsh prøvede at eksekvere det sidste ord:

|/usr/bin/ask.py --loglevel=5 --logfile=/home/arne/ask.log \
--home=/home/arne

gav:

smrsh: arne not available for sendmail programs

og

|/usr/bin/ask.py --loglevel=5 --logfile=/home/arne/ask.log

gav:

smrsh: ask.log not available for sendmail programs

Da alle argumenerne var fjernet blev ask.py eksekveret, men det
resulterede i en masse fejlmeldinger fra ask.py, som jo manglede sine
argumenter.

Jeg har prøvet at putte lidt mere whitespace mellem argumenterne i
..forward uden det gav en forbedring.

Mit gæt er at det er min version af smrsh, der på en eller anden vis
ikke kan det den skal.

/arne



Arne Haaning wrote:
> Hej gruppe,
> Jeg kom til at anvende min rigtige e-mailadresse i en post til denne
> gruppe, og har siden modtaget ca. 300 mails med "paches" fra nogen, der
> hævder, at de er microsoft.
>
> På min RH8.0 kører spamassasin, men noget tyder på, at den ikke virker.
> spamd kører som service i runlevel 3 og 5
> /etc/mail/spamassasin findes
> Der er intet .spamassasin dir i $HOME
> Jeg har pløjet dokumentationen igennem uden at blive meget klogere.
> Jeg er ved at opgive spamassasin
>
> Jeg har prøvet med ASK - active spam killer. den har i midlertid givet
> mig problemer.
> ud fra nedenstående ser det ud til, at smrsh forsøger at afvikle en fil,
> der hedder arne, men det er mit $HOME.
>
> Min rigtige mailadresse er erstattet med "edited@nospam.net"
>
> Jeg har førsøgt, at lave et symlink i /etc/smrsh til @HOME uden virkning
> Jeg har sat et "/" efter arne i .forward, og då så meddelsen om at arne
> er et directory.
>
> Skulle der være en venlig sjæl, der kan hjælpe mig videre med de to
> problemer ville det glæde mig.
>
> /arne
>
>
> #.forward
> |/usr/bin/ask.py --loglevel=5 --logfile=/home/arne/ask.log \
> --home=/home/arne
>
> Sendmail briger smrsh derfor har jeg lavet et symlink i /ect/smrsh til
> /usr/bin/ask.py
>
> Jeg har sikret mig at sendmail kan eksekvere .forward
> chmod 700 .forward
>
> og at world ikke har adgang til $HOME
> chmod 700 $HOME
>
> #/var/log/maillog
> Oct 27 22:12:21 home sendmail[4914]: h9RLCLQu004914:
> from=<haaning@post1.tele.dk>, size=652, class=0, nrcpts=1,
> msgid=<20031027205935.UZZM27285.fepX.post.tele.dk@localhost.localdomain>,
> proto=ESMTP, daemon=MTA, relay=fepx.post.tele.dk [195.41.46.234]
> Oct 27 22:12:21 home smrsh: uid 500: attempt to use arne
> Oct 27 22:12:21 home sendmail[4915]: h9RLCLQu004914: to=|/usr/bin/ask.py
> --loglevel=5 --logfile=/home/arne/ask.log --home=/home/arne,
> ctladdr=<edited@nospam.net> (500/500), delay=00:00:00, xdelay=00:00:00,
> mailer=prog, pri=30845, dsn=5.0.0, stat=Service unavailable
> Oct 27 22:12:21 home sendmail[4915]: h9RLCLQu004914: h9RLCLQu004915:
> DSN: Service unavailable
> Oct 27 22:12:21 home sendmail[4915]: h9RLCLQu004915:
> to=<haaning@post1.tele.dk>, delay=00:00:00, xdelay=00:00:00,
> mailer=relay, pri=31869
>
> ##Bounce mail til afsender (haaning@post1.tele.dk)
> The original message was received at Mon, 27 Oct 2003 22:12:21 +0100
> from fepx.post.tele.dk [195.41.46.234]
>
> ----- The following addresses had permanent fatal errors -----
> |/usr/bin/ask.py --loglevel=5 --logfile=/home/arne/ask.log
> --home=/home/arne
> (reason: Service unavailable)
> (expanded from: <edited@nospam.net>)
>
> ----- Transcript of session follows -----
> smrsh: arne not available for sendmail programs
> 554 5.0.0 Service unavailable
>

---

Husk ""
når man sender en commando til smrsh med argumenter, skal hele linien i
" " (anførselstegn)
|/usr/foo virker

|/usr/foo -arg1 -arg2 vil ikke virke.

"|/usr/foo -arg1 -arg2" virker

Så nu virker ASK.
Jeg vil stadig gerne have have SA op at køre. ASK løser mit problem, men
har en dum vane med at svare på spam, hvilket bekræfter, at men
findes.....

Arne Haaning wrote:
> Hej gruppe,
> Jeg kom til at anvende min rigtige e-mailadresse i en post til denne
> gruppe, og har siden modtaget ca. 300 mails med "paches" fra nogen, der
> hævder, at de er microsoft.
>
> På min RH8.0 kører spamassasin, men noget tyder på, at den ikke virker.
> spamd kører som service i runlevel 3 og 5
> /etc/mail/spamassasin findes
> Der er intet .spamassasin dir i $HOME
> Jeg har pløjet dokumentationen igennem uden at blive meget klogere.
> Jeg er ved at opgive spamassasin
>
> Jeg har prøvet med ASK - active spam killer. den har i midlertid givet
> mig problemer.
> ud fra nedenstående ser det ud til, at smrsh forsøger at afvikle en fil,
> der hedder arne, men det er mit $HOME.
>
> Min rigtige mailadresse er erstattet med "edited@nospam.net"
>
> Jeg har førsøgt, at lave et symlink i /etc/smrsh til @HOME uden virkning
> Jeg har sat et "/" efter arne i .forward, og då så meddelsen om at arne
> er et directory.
>
> Skulle der være en venlig sjæl, der kan hjælpe mig videre med de to
> problemer ville det glæde mig.
>
> /arne
>
>
> #.forward
> |/usr/bin/ask.py --loglevel=5 --logfile=/home/arne/ask.log \
> --home=/home/arne
>
> Sendmail briger smrsh derfor har jeg lavet et symlink i /ect/smrsh til
> /usr/bin/ask.py
>
> Jeg har sikret mig at sendmail kan eksekvere .forward
> chmod 700 .forward
>
> og at world ikke har adgang til $HOME
> chmod 700 $HOME
>
> #/var/log/maillog
> Oct 27 22:12:21 home sendmail[4914]: h9RLCLQu004914:
> from=<haaning@post1.tele.dk>, size=652, class=0, nrcpts=1,
> msgid=<20031027205935.UZZM27285.fepX.post.tele.dk@localhost.localdomain>,
> proto=ESMTP, daemon=MTA, relay=fepx.post.tele.dk [195.41.46.234]
> Oct 27 22:12:21 home smrsh: uid 500: attempt to use arne
> Oct 27 22:12:21 home sendmail[4915]: h9RLCLQu004914: to=|/usr/bin/ask.py
> --loglevel=5 --logfile=/home/arne/ask.log --home=/home/arne,
> ctladdr=<edited@nospam.net> (500/500), delay=00:00:00, xdelay=00:00:00,
> mailer=prog, pri=30845, dsn=5.0.0, stat=Service unavailable
> Oct 27 22:12:21 home sendmail[4915]: h9RLCLQu004914: h9RLCLQu004915:
> DSN: Service unavailable
> Oct 27 22:12:21 home sendmail[4915]: h9RLCLQu004915:
> to=<haaning@post1.tele.dk>, delay=00:00:00, xdelay=00:00:00,
> mailer=relay, pri=31869
>
> ##Bounce mail til afsender (haaning@post1.tele.dk)
> The original message was received at Mon, 27 Oct 2003 22:12:21 +0100
> from fepx.post.tele.dk [195.41.46.234]
>
> ----- The following addresses had permanent fatal errors -----
> |/usr/bin/ask.py --loglevel=5 --logfile=/home/arne/ask.log
> --home=/home/arne
> (reason: Service unavailable)
> (expanded from: <edited@nospam.net>)
>
> ----- Transcript of session follows -----
> smrsh: arne not available for sendmail programs
> 554 5.0.0 Service unavailable
>