d1ck3n
Goto Top

DRINGEND!: Jede Email wird als "spam" markiert

Hallo zusammen,

ich habe ein ziemlich doofes Problem: Der KMLS-AntiSpam (Kaspersky) auf unserem Mail-Server (Ubuntu 14.04 mit Cyrus) markiert plötzlich jede ein und ausgehende Mail mit dem Tag [spam]!

Ist das einem von euch auch schon mal passiert und kann mir eventuell helfen?

Gruß
D1Ck3nj

Content-ID: 310251

Url: https://administrator.de/contentid/310251

Printed on: December 9, 2024 at 22:12 o'clock

Snowman25
Snowman25 Jul 19, 2016 at 14:40:48 (UTC)
Goto Top
Hallo @D1Ck3n,

Kannst du uns bitte mal die relevanten Header zeigen?
X-Spam-*

Gruß,
@Snowman25
D1Ck3n
D1Ck3n Jul 19, 2016 updated at 14:49:11 (UTC)
Goto Top
Oh ja, sorry:

X-Virus-Scanned: Debian amavisd-new at mailserver.domain.tld
X-Spam-Flag: NO
X-Spam-Score: -2.899
X-Spam-Level:
X-Spam-Status: No, score=-2.899 required=6.31 tests=[ALL_TRUSTED=-1,
	BAYES_00=-1.9, URIBL_BLOCKED=0.001] autolearn=ham autolearn_force=no

X-KLMS-Rule-ID: 1
X-KLMS-Message-Action: skipped, AntiSpam
X-KLMS-AntiSpam-Lua-Profiles: 99579 [Jul 19 2016]
X-KLMS-AntiSpam-Version: 5.5.9.33
X-KLMS-AntiSpam-Envelope-From: user@domain.de
X-KLMS-AntiSpam-Rate: 100
X-KLMS-AntiSpam-Status: spam
X-KLMS-AntiSpam-Method: KAS SURBL
X-KLMS-AntiSpam-Moebius-Timestamps: 4235913, 4235931, 4235873
X-KLMS-AntiSpam-Info: LuaCore: 501 501 3a8aaa8d14224492bab4cb634f40384fe0d643e9, {url is listed in kas extended surbl}
X-KLMS-AntiSpam-Interceptor-Info: scan successful
X-KLMS-AntiPhishing: Clean, 2016/07/19 08:45:51
X-KLMS-AntiVirus: Kaspersky Security 8.0 for Linux Mail Server, version 8.0.1.721, bases: 2016/07/19 06:00:00 #7317500
X-KLMS-AntiVirus-Status: Clean, skipped

Der Kaspersky scheint plötzlich jeder Mail ein Spam-Rating von 100 zu geben.
Pjordorf
Pjordorf Jul 19, 2016 at 14:49:49 (UTC)
Goto Top
Hallo,

Zitat von @D1Ck3n:
Der KMLS-AntiSpam (Kaspersky) auf unserem Mail-Server (Ubuntu 14.04 mit Cyrus) markiert
Und wenn es wie deine Überschrift uns sagen will DRINGEND!: sein soll, dann rufe schnell bei Kaspersky an bevor die für Heute nach Hause gehen.
http://support.kaspersky.com/de/b2c#region1
Contact information

Montags bis Freitags, 9:00 – 17:00.

Wenn Sie aus Deutschland anrufen, wählen Sie bitte die 0841 885 610.
Sollten Sie aus dem Ausland anrufen, wählen Sie bitte die +49 (0) 841 88 56 10.

0841 885 610
+49 (0) 841 88 56 10

Gruß,
Peter
Snowman25
Snowman25 Jul 19, 2016 at 14:56:22 (UTC)
Goto Top
Überprüfe mal eure Domain auf der SURBL-Website: http://www.surbl.org/surbl-analysis
Darauf scheint Kaspersky nämlich anzuspringen (Siehe Zeile 8 und 10)
D1Ck3n
D1Ck3n Jul 19, 2016 at 14:58:09 (UTC)
Goto Top
Aber das passiert auch bei internen Mails, die das lokale Netz gar nicht verlassen.
Snowman25
Snowman25 Jul 19, 2016 at 14:59:31 (UTC)
Goto Top
Und du bist dir sicher, dass euer Kaspersky da nicht auch in der SURBL-Liste nachschaut?
Den Kaspersky scheint es ja nicht zu stören, von wo und nach wo die E-Mail geht.
D1Ck3n
D1Ck3n Jul 19, 2016 at 15:00:58 (UTC)
Goto Top
Ich habe sicherheitshalber mal die Domain geprüft, aber die ist nicht blacklisted.
Snowman25
Snowman25 Jul 19, 2016 updated at 15:06:06 (UTC)
Goto Top
X-KLMS-AntiSpam-Info: [..snip...] {url is listed in kas extended surbl}#

Nun, IRGENDWAS steht auf der SURBL-Liste. Ohne die Doku gelesen zu haben gehe ich mal davon aus, dass der Kaspersky die Liste offline vorhält und regelmäßig online synchronisiert. Also vielleicht mal ein Update der Definitionen und Listen anstoßen.
D1Ck3n
D1Ck3n Jul 19, 2016 at 15:30:02 (UTC)
Goto Top
Mhhhh...leider weiß ich nicht, wie ich ein Update dafür per Hand anstoße.

Mir ist aber auch aufgefallen, dass ein paar Mails keinen Spam tag bekommen:

X-KLMS-AntiSpam-Rate: 0
X-KLMS-AntiSpam-Status: not_detected
X-KLMS-AntiSpam-Method: none

Beim Support komme ich leider telefonisch nicht durch (warte schon seit 40 Minuten in der Warteschleife) face-sad
D1Ck3n
D1Ck3n Jul 19, 2016, updated at Jul 20, 2016 at 06:16:07 (UTC)
Goto Top
Kleines Update:

Ich habe mit dem Kaspersky Support geredet und er sagt, dass es doch am Amavis liegt. Der scheint etwas weiter zu geben, was dem Kaspersky nicht schmeckt und es dann als Spam Flagt.
Snowman25
Snowman25 Jul 20, 2016 at 08:03:17 (UTC)
Goto Top
Alles, was der Amavis "weitergibt" sind diese zusätzlichen Header:
X-Virus-Scanned: Debian amavisd-new at mailserver.domain.tld
X-Spam-Flag: NO
X-Spam-Score: -2.899
X-Spam-Level:
X-Spam-Status: No, score=-2.899 required=6.31 tests=[ALL_TRUSTED=-1,
	BAYES_00=-1.9, URIBL_BLOCKED=0.001] autolearn=ham autolearn_force=no
Wenn sich der Kaspersky daran stört, sehe ich das als Problem beim Kaspersky. Vorallem, da dieser ganz deutlich in seinem eigenen Header deklariert, dass die Hohe bewertung durch die SURBL kommt (was ja wohl laut Kaspersky nicht der Fall ist?).

Bitte halte uns auf dem Laufenden.

Gruß,
@Snowman25
D1Ck3n
D1Ck3n Jul 20, 2016 at 13:03:10 (UTC)
Goto Top
Der Support pocht darauf, dass "die Konkurenz" daran schuld sei und nicht Kaspersky -.-

Ich habe jetzt erst mal den Spam-Scanner von KAV deaktiviert und der Amavis übernimmt jetzt den Scan alleine. Vielleicht meldet sich KAV noch mal auf mein Ticket, was ich erstellt habe.

Ich halte euch auf dem Laufenden.

Gruß
D1Ck3n