|
| Amavisd-new, clamav og SpamAssassin Fra : Jacob Bunk Nielsen |
Dato : 20-04-04 15:20 |
|
Hej
Jeg er ved at sætte en boks op med Amavisd-new, clamav og
SpamAssassin. I den anledning har jeg et par uafklarede spørgsmål, som
I måske kan hjælpe med.
Jeg kalder SpamAssassin fra amavisd-new. Jeg vil gerne have
SpamAssassin til at bruge 'report_safe 1', men selv om jeg angiver det
i konfigurationsfilen til SpamAssassin ignoreres det totalt. Efter at
have googlet lidt ser det ud som om det er amavisd-new der er ligeglad
med hvad der står i SA's logfil. Kan man på nogen måde gøre noget ved
det?
Jeg har prøvet at hælde en simpel mail med en linjes tekst og lidt
spam-fy-ord ind i den. Det tygger amavisd på i 15-20 sekunder (det er
ikke clamav). Det synes jeg er lidt meget på en 800 MHz P3 (en server
vi lige havde til overs). Kan det være rigtigt. Eller har jeg overset
noget, og skal kigge den grundigere efter i sømmene, eller er det
normalt at amavisd-new bruger meget CPU-tid? Det er en dual-maskine,
og vi modtager alligevel ikke 10 mails i minuttet, så det går nok, men
jeg synes det lyder af meget.
Hvis det gør nogen forskel (det tror jeg næppe), så putter jeg mails
ind i amavisd-new fra en Postfix-dims.
--
Jacob - www.bunk.cc
Has anyone ever tasted an "end"? Are they really bitter?
| |
( (20-04-2004)
| Kommentar Fra : ( |
Dato : 20-04-04 16:45 |
|
Jacob Bunk Nielsen <spam@bunk.cc> writes:
> Hej
>
> Jeg er ved at sætte en boks op med Amavisd-new, clamav og
> SpamAssassin. I den anledning har jeg et par uafklarede spørgsmål, som
> I måske kan hjælpe med.
>
> Jeg kalder SpamAssassin fra amavisd-new. Jeg vil gerne have
> SpamAssassin til at bruge 'report_safe 1', men selv om jeg angiver det
> i konfigurationsfilen til SpamAssassin ignoreres det totalt. Efter at
> have googlet lidt ser det ud som om det er amavisd-new der er ligeglad
> med hvad der står i SA's logfil. Kan man på nogen måde gøre noget ved
> det?
Amavisd får bare spamscore, ramte tests, og den lidt længere beskrivelse
af testsene fra spamassassin. Hvis der er blevet lavet noget om på en
mail der kommer igennem, er det amavis der har gjort det.
Hvis den skulle have fortsat med beskeden som spamassasin ville have
ændret den, skulle rewrite_mail() have været kørt. Der er
tilsyneladende tænkt over at implementere det, men det er ikke på
plads (se spam_scan() i koden).
> Jeg har prøvet at hælde en simpel mail med en linjes tekst og lidt
> spam-fy-ord ind i den. Det tygger amavisd på i 15-20 sekunder (det er
> ikke clamav). Det synes jeg er lidt meget på en 800 MHz P3 (en server
> vi lige havde til overs). Kan det være rigtigt. Eller har jeg overset
> noget, og skal kigge den grundigere efter i sømmene, eller er det
> normalt at amavisd-new bruger meget CPU-tid? Det er en dual-maskine,
> og vi modtager alligevel ikke 10 mails i minuttet, så det går nok, men
> jeg synes det lyder af meget.
På det system jeg styrer (1200MHz Athlon) tager almindelige spams omkring
5sekunder fra postfix har logget "connect from" til amavis har logget en
rapport. Det er med clamav.
Det er min oplevelse at det ofte er internettests der tager lang tid, er
det en mulighed? ($sa_local_tests_only i amavisd.conf overruler SVJV
hvad der står i spamassassins opsætning).
>
> Hvis det gør nogen forskel (det tror jeg næppe), så putter jeg mails
> ind i amavisd-new fra en Postfix-dims.
Ditto.
Mvh.
Dennis Jørgensen
| |
( (20-04-2004)
| Kommentar Fra : ( |
Dato : 20-04-04 22:53 |
|
Jacob Bunk Nielsen <spam@bunk.cc> writes:
> postmaster@q.nospam.kampsax.k-net.dk ( Dennis Jørgensen) writes:
>
>> Amavisd får bare spamscore, ramte tests, og den lidt længere beskrivelse
>> af testsene fra spamassassin. Hvis der er blevet lavet noget om på en
>> mail der kommer igennem, er det amavis der har gjort det.
>
> Ahh - ja, nu fik du mig til at kigge i koden. Du har ret. Det må jeg
> så leve med.
Undskyld
>> Det er min oplevelse at det ofte er internettests der tager lang tid, er
>> det en mulighed? ($sa_local_tests_only i amavisd.conf overruler SVJV
>> hvad der står i spamassassins opsætning).
>
> Den bruger eksterne tests. Det vil jeg prøve at slå fra i morgen når
> jeg er lidt tættere på maskinen og forhåbentlig knap så træt (læs: på
> arbejde).
>
> Men som jeg også skrev som svar til Peter undrer det mig at den bruger
> så meget CPU-tid. Jeg kan fint leve med at det tager lang tid pr.
> mail, hvis det bare er fordi den venter på svar på DNS-opslag, men der
> burde den vel ikke bruge voldsomt meget CPU-tid.
Nu prøvede jeg at sende en mail med en vedhæftet exe-fil[1], og en
spammail, og holdt øje med top samtidig. Amavis hoppede lige op en
enkelt opdatering i begge tilfælde, og brugte 10-15% cpu. Jeg bruger
også rbl'er, razor,...
Pakkerne er fra Debian unstable. Clamavs opsætning har jeg
ikke rørt. Spamassassin har bare fået en enkelt adresse tilføjet til
whitelist, og amavisd.conf er ikke ændret ret meget.
Enig i at det skulle være mærkeligt den brugte så meget cpu på
dnsopslag.
Mvh.
Dennis Jørgensen
[1]Lugter af at være en virus, men clamav fanger den ikke. Nu er det
sikkert ikke aktuelt længere, men er der nogen der ved hvor sådan en kan
afleveres?
| |
( (21-04-2004)
| Kommentar Fra : ( |
Dato : 21-04-04 00:51 |
|
Jacob Bunk Nielsen <spam@bunk.cc> writes:
> postmaster@q.nospam.kampsax.k-net.dk ( Dennis Jørgensen) writes:
>
>> Nu prøvede jeg at sende en mail med en vedhæftet exe-fil[1], og en
>> spammail, og holdt øje med top samtidig. Amavis hoppede lige op en
>> enkelt opdatering i begge tilfælde, og brugte 10-15% cpu. Jeg bruger
>> også rbl'er, razor,...
>> [1]Lugter af at være en virus, men clamav fanger den ikke. Nu er det
>> sikkert ikke aktuelt længere, men er der nogen der ved hvor sådan en kan
>> afleveres?
>
> Ikke forstået? Hvor man kan aflevere en exe-fil? Hvad med til en der
> kan bruge den til noget?
Jeg tænkte at clamav nok havde nogle folk der kunne bruge den, men jeg
ved ikke hvilken liste jeg skal kontakte. Hvis det er en virus[1], vil de
jo nok gerne kunne fange den.
Men det må jeg jo læse op på selv så.
Mvh.
Dennis Jørgensen
[1]Nu jeg kigger på nettet ser det ud til at være en mimail.m, men
beskeden den kom med var lidt ændret (andre navne).
| |
( (21-04-2004)
| Kommentar Fra : ( |
Dato : 21-04-04 01:03 |
|
postmaster@q.nospam.kampsax.k-net.dk ( Dennis Jørgensen) writes:
> Jeg tænkte at clamav nok havde nogle folk der kunne bruge den, men jeg
> ved ikke hvilken liste jeg skal kontakte. Hvis det er en virus[1], vil de
> jo nok gerne kunne fange den.
Nu fik jeg kigget mig om: De har en fin form at udfylde på www.clamav.net.
Mvh.
Dennis Jørgensen
| |
Jacob Bunk Nielsen (21-04-2004)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 21-04-04 15:47 |
|
Jacob Bunk Nielsen <spam@bunk.cc> writes:
> postmaster@q.nospam.kampsax.k-net.dk ( Dennis Jørgensen) writes:
>
>> Det er min oplevelse at det ofte er internettests der tager lang tid, er
>> det en mulighed? ($sa_local_tests_only i amavisd.conf overruler SVJV
>> hvad der står i spamassassins opsætning).
>
> Den bruger eksterne tests. Det vil jeg prøve at slå fra i morgen når
> jeg er lidt tættere på maskinen og forhåbentlig knap så træt (læs: på
> arbejde).
Jeg fandt så ud af at når jeg slår de eksterne tests fra, så tager det
ca. 0,3 sekunder at behandle en gennemsnitsmail, så det var altså de
eksterne tests der gav ballade. Spøjst.
Men så har jeg endnu et spørgsmål. Jeg har sat $sa_tag_level_deflt
lavt således at den altid skal putte headere i mine mails, og
$sa_tag2_level_deflt til 5.5, så den burde ændre subject på mails der
får mere end 5,5 point. Desværre gør den ingen af delene :-/
Jeg har sat $sa_kill_level_deflt til 15.0 og det virker fint, så mails
der får mange point bliver væk.
Hvorfor virker $sa_tag_level_deflt og $sa_tag2_level_deflt ikke? Hvor
har jeg glemt at kigge/rette?
--
Jacob
| |
Brian Albertsen (25-04-2004)
| Kommentar Fra : Brian Albertsen |
Dato : 25-04-04 08:02 |
|
On Wed, 21 Apr 2004 16:47:05 +0200, Jacob Bunk Nielsen <spam@bunk.cc>
wrote in <spamdrop+7tllkpz8uu.fsf@armstrong.exiqon.com>:
>Jacob Bunk Nielsen <spam@bunk.cc> writes:
>> postmaster@q.nospam.kampsax.k-net.dk ( Dennis Jørgensen) writes:
>>
>>> Det er min oplevelse at det ofte er internettests der tager lang tid, er
>>> det en mulighed? ($sa_local_tests_only i amavisd.conf overruler SVJV
>>> hvad der står i spamassassins opsætning).
>>
>> Den bruger eksterne tests. Det vil jeg prøve at slå fra i morgen når
>> jeg er lidt tættere på maskinen og forhåbentlig knap så træt (læs: på
>> arbejde).
>
>Jeg fandt så ud af at når jeg slår de eksterne tests fra, så tager det
>ca. 0,3 sekunder at behandle en gennemsnitsmail, så det var altså de
>eksterne tests der gav ballade. Spøjst.
Ja. vorest tests tager mellem 1 og 5 sek inkl. ClamAV og eksterne
tests,
Dette på en P3/800 som også kører Squid.
Apr 25 08:27:24 homer.mpitech.com amavisd[4919]: (04919-04-4) TIMING
[total 1249 ms] - SMTP pre-DATA-flush: 3 (0%), SMTP DATA: 73 (6
%), body hash: 1 (0%), mime_decode: 19 (2%), AV-scan-1: 9 (1%), SA msg
read: 3 (0%), SA parse: 2 (0%), SA check: 885 (71%), fwd-conn
ect: 11 (1%), fwd-mail-from: 2 (0%), fwd-rcpt-to: 2 (0%),
write-header: 5 (0%), fwd-data: 1 (0%), fwd-data-end: 100 (8%),
fwd-rundown: 2 (0%), unlink-1-files: 131 (10%), rundown: 1 (0%)
SA og clamav's workdir er en tmpfs partition på 64 MB, dette
reducerede al fil I/O til et minimum.
Mails over 64KB bliver alligevel ikke scannet da der oftest ikke er
spam eller virus i mails der er større. Vi har også en Symantec AV
scanner på vores Notes server.
>Men så har jeg endnu et spørgsmål. Jeg har sat $sa_tag_level_deflt
>lavt således at den altid skal putte headere i mine mails, og
>$sa_tag2_level_deflt til 5.5, så den burde ændre subject på mails der
>får mere end 5,5 point. Desværre gør den ingen af delene :-/
>Jeg har sat $sa_kill_level_deflt til 15.0 og det virker fint, så mails
>der får mange point bliver væk.
>
>Hvorfor virker $sa_tag_level_deflt og $sa_tag2_level_deflt ikke? Hvor
>har jeg glemt at kigge/rette?
Nu afleverer vi slet ikke mails der får mere en 6,3 point til
brugerne. En kopi havner i en spam mailbox hvor der kun ligger 30
dages mail.
$sa_tag_level_deflt = -10.0;
$sa_tag2_level_deflt = 6.3;
$sa_kill_level_deflt = $sa_tag2_level_deflt;
| |
Jesper Krogh (27-04-2004)
| Kommentar Fra : Jesper Krogh |
Dato : 27-04-04 05:42 |
|
I dk.edb.system.unix, skrev Brian Albertsen:
> SA og clamav's workdir er en tmpfs partition på 64 MB, dette
> reducerede al fil I/O til et minimum.
> Mails over 64KB bliver alligevel ikke scannet da der oftest ikke er
> spam eller virus i mails der er større. Vi har også en Symantec AV
> scanner på vores Notes server.
Jeg vil da sige at du med fordel kan hælde større mails gennem clamav:
# find /var/lib/amavis/virusmails/ -size +64k | wc -l
194
# find /var/lib/amavis/virusmails/ | wc -l
474
--
../Jesper Krogh, jesper@krogh.cc
Jabber ID: jesper@jabbernet.dk
| |
Brian Albertsen (28-04-2004)
| Kommentar Fra : Brian Albertsen |
Dato : 28-04-04 11:01 |
|
On Tue, 27 Apr 2004 04:41:55 +0000 (UTC), Jesper Krogh
<jesper@krogh.cc> wrote:
>I dk.edb.system.unix, skrev Brian Albertsen:
>> SA og clamav's workdir er en tmpfs partition på 64 MB, dette
>> reducerede al fil I/O til et minimum.
>> Mails over 64KB bliver alligevel ikke scannet da der oftest ikke er
>> spam eller virus i mails der er større. Vi har også en Symantec AV
>> scanner på vores Notes server.
>
>Jeg vil da sige at du med fordel kan hælde større mails gennem clamav:
># find /var/lib/amavis/virusmails/ -size +64k | wc -l
>194
># find /var/lib/amavis/virusmails/ | wc -l
>474
Rettelse. Det er kun SA der skippes hvis mailen er større end 64 KB
# find /var/virusmails/ -size +64k | wc -l
4
# find /var/virusmails/ | wc -l
1009
Men max størrelse på mails gør at vores tempfs filsystem ikke bliver
fyldt.
| |
Peter Larsen (20-04-2004)
| Kommentar Fra : Peter Larsen |
Dato : 20-04-04 18:42 |
|
Jacob Bunk Nielsen wrote:
> Jeg er ved at sætte en boks op med Amavisd-new, clamav og
> SpamAssassin. I den anledning har jeg et par uafklarede spørgsmål, som
> I måske kan hjælpe med.
skal prøve..
>
> Jeg kalder SpamAssassin fra amavisd-new. Jeg vil gerne have
> SpamAssassin til at bruge 'report_safe 1', men selv om jeg angiver det
> i konfigurationsfilen til SpamAssassin ignoreres det totalt. Efter at
> have googlet lidt ser det ud som om det er amavisd-new der er ligeglad
> med hvad der står i SA's logfil. Kan man på nogen måde gøre noget ved
> det?
i bunden af amavisd.conf er der opsætning af spamassassin.. (det er der
på den originale amavisd.conf med comments) er de på "default"
værdier ? Bruger du externe test's, dvs.. blacklists ?
> normalt at amavisd-new bruger meget CPU-tid? Det er en dual-maskine,
> og vi modtager alligevel ikke 10 mails i minuttet, så det går nok, men
> jeg synes det lyder af meget.
jeg har en P3 400 (eller er det 600 mhz?) som modtager post.. den smider
det igennem, amavisd-new/clamav og spamassassin.. den bliver smidt
igennem på 1 sekund.
PS: ram er alfa og omega..
--
regards, Peter Larsen - GratisDNS.dk / MXHotel.dk
| |
Jacob Bunk Nielsen (20-04-2004)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 20-04-04 21:52 |
|
Peter Larsen <mail@czar.dk> writes:
> i bunden af amavisd.conf er der opsætning af spamassassin.. (det er der
> på den originale amavisd.conf med comments) er de på "default"
> værdier ? Bruger du externe test's, dvs.. blacklists ?
Jeg har installeret amavisd-new fra Debian unstable. Nogen der ved om
den er standard? Den bruger eksterne tests, og det kan jeg fint leve
med tager noget tid, men jeg kan med top se at den bruger al den
CPU-tid den kan få i de 15-20 sekunder den bruger på en mail.
> PS: ram er alfa og omega..
Den har 512 MB, og i de tests jeg lige har lavet har amavisd-new ikke
brugt ret meget over 80-90 MB.
--
Jacob - www.bunk.cc
You will become rich and famous unless you don't.
| |
Peter Larsen (20-04-2004)
| Kommentar Fra : Peter Larsen |
Dato : 20-04-04 22:44 |
|
Jacob Bunk Nielsen wrote:
> Jeg har installeret amavisd-new fra Debian unstable. Nogen der ved om
> CPU-tid den kan få i de 15-20 sekunder den bruger på en mail.
>> PS: ram er alfa og omega..
> Den har 512 MB, og i de tests jeg lige har lavet har amavisd-new ikke
> brugt ret meget over 80-90 MB.
min, som er 1 sekund om det, har 128 mb ram... du har et eller andet
underligt fænomen igang der..
--
regards, Peter Larsen - GratisDNS.dk / MXHotel.dk
| |
Jacob Bunk Nielsen (20-04-2004)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 20-04-04 21:57 |
|
postmaster@q.nospam.kampsax.k-net.dk ( Dennis Jørgensen) writes:
> Amavisd får bare spamscore, ramte tests, og den lidt længere beskrivelse
> af testsene fra spamassassin. Hvis der er blevet lavet noget om på en
> mail der kommer igennem, er det amavis der har gjort det.
Ahh - ja, nu fik du mig til at kigge i koden. Du har ret. Det må jeg
så leve med.
> Det er min oplevelse at det ofte er internettests der tager lang tid, er
> det en mulighed? ($sa_local_tests_only i amavisd.conf overruler SVJV
> hvad der står i spamassassins opsætning).
Den bruger eksterne tests. Det vil jeg prøve at slå fra i morgen når
jeg er lidt tættere på maskinen og forhåbentlig knap så træt (læs: på
arbejde).
Men som jeg også skrev som svar til Peter undrer det mig at den bruger
så meget CPU-tid. Jeg kan fint leve med at det tager lang tid pr.
mail, hvis det bare er fordi den venter på svar på DNS-opslag, men der
burde den vel ikke bruge voldsomt meget CPU-tid.
--
Jacob - www.bunk.cc
The reward for working hard is more hard work.
| |
Jacob Bunk Nielsen (20-04-2004)
| Kommentar Fra : Jacob Bunk Nielsen |
Dato : 20-04-04 23:02 |
|
postmaster@q.nospam.kampsax.k-net.dk ( Dennis Jørgensen) writes:
> Nu prøvede jeg at sende en mail med en vedhæftet exe-fil[1], og en
> spammail, og holdt øje med top samtidig. Amavis hoppede lige op en
> enkelt opdatering i begge tilfælde, og brugte 10-15% cpu. Jeg bruger
> også rbl'er, razor,...
OK, så må min amavisd være syg på en eller anden måde.
> Pakkerne er fra Debian unstable. Clamavs opsætning har jeg
> ikke rørt. Spamassassin har bare fået en enkelt adresse tilføjet til
> whitelist, og amavisd.conf er ikke ændret ret meget.
Jeg har heller ikke rørt clamav, men den har jeg heller ikke nogle
problemer med. Den fanger også den der EICAR jeg har prøvet at kaste
gennem den.
Jeg har rodet en del i SpamAssassins konfiguration for at få den til
at fange noget spam vi får særligt meget af, men jeg kører en identisk
konfiguration af SA på en anden boks uden at det giver anledning til
noget mystisk.
Jeg har været igennem hele amavisd.conf (lang!) og ændret de steder,
hvor jeg synes det virkede fornuftigt at ændre. Jeg prøver at debugge
lidt videre i morgen. Tak for hjælpen indtil nu, også til Peter.
> [1]Lugter af at være en virus, men clamav fanger den ikke. Nu er det
> sikkert ikke aktuelt længere, men er der nogen der ved hvor sådan en kan
> afleveres?
Ikke forstået? Hvor man kan aflevere en exe-fil? Hvad med til en der
kan bruge den til noget?
--
Jacob - www.bunk.cc
Being schizophrenic is better than living alone.
| |
|
|