Logwatch versus Amavisd => unsolicited bulk e-mail

Par le dans . Marqué comme , , , avec Aucun commentaire

Logwatch versus Amavisd => unsolicited bulk e-mail

Petit billet en mode « En bref ! » histoire de partager une petite astuce technique !

En gros, j’ai installé et configuré sur mon serveur le combo suivant :
Debian + postfix + courier + amavisd-new + spamassassin + clamav

Jusque là pas de problème même si la configuration d’un postfix reste toujours « sensible » ^^

J’utilise depuis un moment un petit programme nommé « Logwatch » qui est un analyseur de logs personnalisable. J’ai d’ailleurs dit à plusieurs reprises que j’en parlerai sur le blog, mais je remarque que je ne l’ai toujours pas fait …

Logwatch m’envoie donc quotidiennement un rapport par courriel contenant des informations sur ma machine comme les paquets ayant été modifiés, le statut de mon serveur de mails, les crons ayant été exécutées, l’état de mon serveur web etc.

Après avoir reçu plusieurs de ces rapports « normalement », Amavis (qui est un analyseur de contenus de messages électroniques permettant la chasse aux spams, virus et autres joyeusetés) a commencé à considérer que les messages transmis par Logwatch n’étaient plus « Passed CLEAN » mais « Blocked SPAM » ce qui n’est pas cool du tout …

Voici un petit extrait de logs pour prouver mes dires :

Feb  2 06:26:05 sbgk amavis[6002]: (06002-17) Blocked SPAM {BouncedOpenRelay,Quarantined},  -> , quarantine: V/spam-VdzT9y1Egsxd.gz, Message-ID: <20150202052557.99E2FA082A@sublimigeek.fr>, mail_id: VdzT9y1Egsxd, Hits: 8.092, size: 40884, 7844 ms

Et le rapport d’Amavis me signalant qu’il a « Blocked SPAM » le rapport de Logwatch :

A message from < logwatch@sublimigeek.fr >
to: monitoring@sublimigeek.fr

was considered unsolicited bulk e-mail (UBE).

Our internal reference code for your message is 01110-01/45wk9HKwxCbl

The message carried your return address, so it was either a genuine mail
from you, or a sender address was faked and your e-mail address abused
by third party, in which case we apologize for undesired notification.

We do try to minimize backscatter for more prominent cases of UBE and
for infected mail, but for less obvious cases some balance between
losing genuine mail and sending undesired backscatter is sought,
and there can be some collateral damage on either side.


Return-Path: < monitoring@sublimigeek.fr >
From: logwatch@sublimigeek.fr
Message-ID: <20150204191144.A5139A6DC0@sublimigeek.fr>
Subject: Logwatch for sbgk.sublimigeek.fr (Linux)

Delivery of the email was stopped!

Après avoir un peu errer sur la toile, j’ai fini par trouver une solution à mon problème, je partage donc ici l’astuce dans le cas où vous rencontreriez cette problématique :)

Rien de bien compliqué, mais il fallait le savoir … Il est possible de configurer Amavis assez finement sur de nombreux sujets mais un tout particulièrement : une white liste permettant d’assouplir les règles de filtrage des messages.

* Commencez par éditer le fichier suivant :

vim /etc/amavis/conf.d/20-debian_defaults

* Cherchez ensuite la chaîne de caractères suivantes :

# ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING

* Vous trouverez ensuite l’appel à la fonction suivante :

@score_sender_maps

* Puis plus bas une partie de code permettant la gestion d’une liste blanche permettant de jouer sur la valeur qu’Amavis attribue au message lui permettant de savoir si un mail est potentiellement dangereux ou pas.

#  read_hash("/var/amavis/sender_scores_sitewide"),

# This are some examples for whitelists, since envelope senders can be forged
# they are not enabled by default. 
   { # a hash-type lookup table (associative array)
     #'nobody@cert.org'                        => -3.0,
     #'cert-advisory@us-cert.gov'              => -3.0,
     #'owner-alert@iss.net'                    => -3.0,
     #'slashdot@slashdot.org'                  => -3.0,
[......]
     # soft-blacklisting (positive score)
     #'sender@example.net'                     =>  3.0,
     #'.example.net'                           =>  1.0,
     
     # ajout du compte mail utilisé par Logwatch
     'logwatch@sublimigeek.fr'              => -3.0
   },
  ],  # end of site-wide tables
});

* Enregistrez ensuite vos modifications et redémarrez le processus Amavis :

/etc/init.d/amavis restart

* Il est ensuite possible de vérifier si les rapports sont correctement traités par Amavis :

logwatch --mailto monitoring@sublimigeek.fr

Voici un extrait de logs du serveur de mails :

Feb  4 20:58:17 sbgk amavis[6284]: (06284-03) Passed CLEAN {RelayedOpenRelay},  -> , Message-ID: <20150204195809.09DCAA6F84@sublimigeek.fr>, mail_id: yN2HJcuugZb1, Hits: 5.592, size: 52840, queued_as: 3F4F6A6F81, 8214 ms

On remarque bien que le message est maintenant considéré comme « Passed CLEAN » par Amavis, ce qui nous arrange car problème résolu !

@ bientôt pour de nouvelles aventures :D

Aucun commentaire


N'hésitez pas, laissez un commentaire — DoFollow activé sur ce site —


« »