Белые списки адресов и доменов в правилах попадают в СПАМ

[exchar]

Цитата

Сообщение от dionem

а можете расшифровать эти строки, не совсем понятно как вы узнали о версии аутлука. да действительно на тех машинах стоит старая версия.

Название (условное) правила в спамассасине: Outlook Express шлет на MX с использованием старого варианта авторизации.

Цитата

Сообщение от dionem

и не понимаю откуда взялось это
X-Spam-Status: Yes, hits=3.0 required=3.0

из настроек спамассасина в керио - где два горизонтальных ползунка определяют, начиная со скольки "спам-баллов" считать письмо спамом.

Добавлено через 48 минут

Цитата:

Сообщение от exchar

ну или более сложно

есть еще совсем простой "не вариант" - поставить границу не 3.0, а где-нибудь ближе к 4.0 и надеяться, что поток реального спама не увеличится, а пересылаемые локальными пользователями мессаги никогда не превысят эти 4.0.

[naliman]

о как
кто бы мог подумать, фильру антиспама не нравится клиент, не взирая даже что почта локальная

[exchar]

Цитата:

Сообщение от naliman

фильру антиспама не нравится клиент

чесгря, там правило само по себе мутное

[naliman]

может это борьба опенсорса против мелкомягких?

[dionem]

Ребята помогите из внутри почты в спам летит в письмо вложение *.xslx в правилах запрета нет вот тело письма
Return-Path: <YusupovMA@domen.uz>
X-Spam-Status: No, hits=1.7 required=3.0
tests=AWL: 0.512,HTML_MESSAGE: 0.001,TVD_RCVD_SINGLE: 1.213,
TOTAL_SCORE: 1.726,autolearn=no
X-Spam-Level: *
X-Footer: Y2FibGUudXo=
Received: from MYUSUPOVHP ([213.230.97.72])
(authenticated user [Для просмотра данной ссылки нужно зарегистрироваться])
by mail.domen.uz (Kerio Connect 8.3.4 patch 1)
(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256 bits))
for [Для просмотра данной ссылки нужно зарегистрироваться];
Wed, 30 Jan 2019 14:54:58 +0500
Return-Receipt-To: =?koi8-r?B?4NPV0M/XIO3ByMHNwcTWz84=?= <YusupovMA@domen.uz>
From: =?koi8-r?B?4NPV0M/XIO3ByMHNwcTWz84=?= <YusupovMA@domen.uz>
To: <Ok-3@domen.uz>
Subject:
Date: Wed, 30 Jan 2019 14:55:02 +0500
Message-ID: <!&!AAAAAAAAAAAuAAAAAAAAAHlHBkE5yuJFp0rCt7HB9JcBAMO2jhD3dRHOtM0AqgC7tu YAAAAAAA4AABAAAADVl/ljw+4vQZ7pPDphOsC7AQAAAAA=@domen.uz>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_000F_01D4B8AB.C9D03190"
X-Mailer: Microsoft Outlook 16.0
Content-Language: ru
Thread-Index: AdS4gd5uXJ7vU5MzSNS+MD5d2Ztkfw==
Disposition-Notification-To: =?koi8-r?B?4NPV0M/XIO3ByMHNwcTWz84=?= <YusupovMA@domen.uz>

Добавлено через 10 минут

Почтовые домены от которых письма попадают в спам так же как и локальный находятся в белых списках. Может есть какая то последовательность обработки?

[exchar]

Цитата

Сообщение от dionem

*.xSLx

это опечатка?

Цитата

Сообщение от dionem

в правилах запрета нет

а что в правилах есть?

Цитата

Сообщение от dionem

Может есть какая то последовательность обработки?

лог debug - хорошая штука!

[dionem]

Это не опечатка имелось ввиду вложение экселевский файл.

Правил всего два это добавления в белый список двух доменов. Остальные настройки стандартные в исключениях локальные ip адреса удаленных офисов

лог debug
[30/Jan/2019 14:49:32][2644] {avir} Running antivirus check on mail from <myusupov@ak.uz> to <Ok-3@domen.ru> size 17132 B
[30/Jan/2019 14:49:32][2644] {avir} Client: requesting check for file C:\Program Files (x86)\Kerio\MailServer\store/tmp/5c51732b-00011682/avfile.tmp, mail from <myusupov@ak.uz> to <Ok-3@domen.ru>
[30/Jan/2019 14:49:32][2644] {avir} Checking file C:\Program Files (x86)\Kerio\MailServer\store/tmp/5c51732b-00011682/avfile.tmp for JPEG vulnerabilities
[30/Jan/2019 14:49:32][2644] {avir} Client: waiting for result...
[30/Jan/2019 14:49:32][2644] {avir} Sophos plug-in scanning avfile.tmp (C:\Program Files (x86)\Kerio\MailServer\store/tmp/5c51732b-00011682/avfile.tmp) - verdict: No Virus found
[30/Jan/2019 14:49:32][2644] {avir} Client: check result: (2) Clean
[30/Jan/2019 14:49:32][2644] {avir} Client: requesting check for file C:\Program Files (x86)\Kerio\MailServer\store/tmp/5c51732b-00011682/avfile.tmp, mail from <myusupov@ak.uz> to <Ok-3@domen.ru>
[30/Jan/2019 14:49:32][2644] {avir} Checking file C:\Program Files (x86)\Kerio\MailServer\store/tmp/5c51732b-00011682/avfile.tmp for JPEG vulnerabilities
[30/Jan/2019 14:49:32][2644] {avir} Client: waiting for result...
[30/Jan/2019 14:49:32][2644] {avir} Sophos plug-in scanning avfile.tmp (C:\Program Files (x86)\Kerio\MailServer\store/tmp/5c51732b-00011682/avfile.tmp) - verdict: No Virus found
[30/Jan/2019 14:49:32][2644] {avir} Client: check result: (2) Clean
[30/Jan/2019 14:49:32][2644] {avir} Client: requesting check for file C:\Program Files (x86)\Kerio\MailServer\store/tmp/5c51732b-00011682/avfile.tmp, mail from <myusupov@ak.uz> to <Ok-3@domen.ru>
[30/Jan/2019 14:49:32][2644] {avir} Checking file C:\Program Files (x86)\Kerio\MailServer\store/tmp/5c51732b-00011682/avfile.tmp for JPEG vulnerabilities
[30/Jan/2019 14:49:32][2644] {avir} Client: waiting for result...
[30/Jan/2019 14:49:32][2644] {avir} Sophos plug-in scanning Книга1.xlsx (C:\Program Files (x86)\Kerio\MailServer\store/tmp/5c51732b-00011682/avfile.tmp) - verdict: No Virus found
[30/Jan/2019 14:49:32][2644] {avir} Client: check result: (2) Clean
[30/Jan/2019 14:49:32][2644] {spam} Spam Filter: calculating spam rating for message 5c51732b-00011682 from <myusupov@ak.uz> to <Ok-3@domen.ru>...
[30/Jan/2019 14:49:32][2644] {spam} Bayes database: Checking whether tokens need expiration maintenance. Database last expiration: 20190129T094929Z, last invoked in this server instance on: 20190129T094929Z
[30/Jan/2019 14:49:38][2644] {spam} Bayes database: Token expiration maintenance check finished.
[30/Jan/2019 14:49:38][2644] {spam} SpamAssassin result string for message file C:\Program Files (x86)\Kerio\MailServer\store/queue/2f/5c51732b-00011682.eml, intrinsic time 0.14s, total time 0.14s: No, 0.384,5,AWL: 0.383,HTML_MESSAGE: 0.001,autolearn=ham
[30/Jan/2019 14:49:38][2644] {spam} Spam Filter: SpamAssassin check finished, adding score 0.38
[30/Jan/2019 14:49:38][2644] {spam} Message from <myusupov@ak.uz> to <Ok-3@domen.ru> matched ALLOW rule: Header From contains address with domain ak.uz.
[30/Jan/2019 14:49:38][2644] {spam} Spam Filter: Custom spam rules check finished, adding score 0.00
[30/Jan/2019 14:49:38][2644] {spam} Spam Filter: Message 5c51732b-00011682 from <myusupov@ak.uz> to <Ok-3@domen.ru> got 0.00 hits, total spam score is 0.384
[30/Jan/2019 14:49:38][2644] {qproc} Queue ID 5c51732b-00011682: Footer inserting is disabled because sender domain ak.uz cannot be found.
[30/Jan/2019 14:49:38][2644] {qproc} Queue ID 5c51732b-00011682: Message is going to be rewritten.
[30/Jan/2019 14:49:38][2644] {qproc} Queue ID 5c51732b-00011682: Inserting footer is disabled.
[30/Jan/2019 14:49:38][2644] {qproc} Queue ID 5c51732b-00011682: Rewriting finished.
[30/Jan/2019 14:49:38][2644] {qproc} SEND_LOCAL: Started delivery of queued message id=5c51732b-00011682 sender=<myusupov@ak.uz>
[30/Jan/2019 14:49:38][2644] {qproc} SEND_LOCAL: Delivering to local recipient [Для просмотра данной ссылки нужно зарегистрироваться]...
[30/Jan/2019 14:49:38][2644] {sieve} Delivering message with queue ID 5c51732b-00011682 to user [Для просмотра данной ссылки нужно зарегистрироваться]
[30/Jan/2019 14:49:38][2644] {sieve} Script successfully parsed
[30/Jan/2019 14:49:38][2644] {sieve} Executing sieve script for user [Для просмотра данной ссылки нужно зарегистрироваться]
[30/Jan/2019 14:49:38][2644] {sieve} Performing action FILEINTO, folder=Junk E-mail
[30/Jan/2019 14:49:38][2644] {folder} Started delivery of message id 5c51732b-00011682 to folder ~ok-3@domen.ru/Junk E-mail as user [Для просмотра данной ссылки нужно зарегистрироваться]
[30/Jan/2019 14:49:38][2644] {folder} Opened folder '~ok-3@domen.ru/Junk E-mail'.
[30/Jan/2019 14:49:38][2644] {folder} Connecting to opened folder ~ok-3@domen.ru/Junk E-mail, refcount=2.
[30/Jan/2019 14:49:38][2644] {folder} Closing folder ~ok-3@domen.ru/Junk E-mail, refcount=2
[30/Jan/2019 14:49:38][2644] {folder} Finished delivery of message 5c51732b-00011682 to folder ~ok-3@domen.ru/Junk E-mail
[30/Jan/2019 14:49:38][2644] {qproc} SEND_LOCAL: Result for recipient [Для просмотра данной ссылки нужно зарегистрироваться]: delivered, Status: 2.1.5

[exchar]

Цитата

Сообщение от dionem

delivered, Status: 2.1.5

Отработало правило фильтрации
можно начать с filter.siv в калатоге пользователя,
затем все правила фильтрации входящих на сервере
и далее заданные админом правила антиспама

[dionem]

Цитата:

Сообщение от exchar

Отработало правило фильтрации
можно начать с filter.siv в калатоге пользователя,
затем все правила фильтрации входящих на сервере
и далее заданные админом правила антиспама

filter.siv ничего не дал там нет абсолютно никаких правил. А вот правила фильтрации на входящем сервере все что в веб интерфейсе керио я уже просмотрел. Кстати сервер тоже новый и домен новый залежавшихся правил там нету. Беда просто.

Добавлено через 1 час 37 минут


Ребята вот тело письма которое попало в спам. Объясните пожалуйста откуда он набрал показатель 4. А точнее что означают строки
tests=CUSTOM_RULE_RECEIVED: 2.00,CUSTOM_RULE_RECEIVED: 2.00,TOTAL_SCORE: 4.000

спасибо

[exchar]

Цитата

Сообщение от dionem

Ребята вот тело письма которое попало в спам. Объясните пожалуйста откуда он набрал показатель 4. А точнее что означают строки
tests=CUSTOM_RULE_RECEIVED: 2.00,CUSTOM_RULE_RECEIVED: 2.00,TOTAL_SCORE: 4.000

с Kerio Connect 8.3.4 patch 1 выложи mailserver.cfg
а то по одним и тем же граблям ходить еще можно долго, вопрос - нужно ли

[Wonderer]

Подниму тему.
На сервере стоит kerio connect 9.2.1.
Периодически, но очень редко (раз в несколько дней) письма от одного сотрудника другому внутри сервера попадают в спам. выявил только одну закономерность: всегда при этом в теме письма присутствует символ №. Попытка воспроизвести проблему ни к чему не приводит. даже точно такое же письмо в следующий раз в спам не попадает. уже всю голову сломал что это может быть. Можно было бы и забить, но тут в спам попало директору, и он требует ответа почему так произошло.

Заголовок письма (пользователи и домен изменены):

X-Envelope-To: [Для просмотра данной ссылки нужно зарегистрироваться]
X-Footer: aGFsbG9zY2FyLnJ1
Received: from localhost ([127.0.0.1])
by mail.xxx.ru (Kerio Connect 9.2.1) with ESMTPSA
for [Для просмотра данной ссылки нужно зарегистрироваться]; Mon, 15 Jun 2020 14:39:22 +0300
Date: Mon, 15 Jun 2020 14:39:22 +0300
Subject: *** SPAM =?windows-1251?b?KioqzODw6uXy6O3jIO/u?=
=?windows-1251?b?IOru7fLw4Ory8yC5NjYwNzIgIOTr/w==?=
=?windows-1251?b?IMTl7ejx4CDC4PHo6+7i4A==?=
Importance: Normal
X-Priority: 3
X-MSMail-Priority: Normal
Thread-Index: AdZDCZzQO/UHsNEvS2SatYsYxqKskQ==
Message-ID: <af1f863e-fc7d-4126-99d0-132b5d33fe17@xxx.ru>
X-Mailer: Kerio Outlook Connector (Offline Edition) (8.0.0.639 T0)
MIME-Version: 1.0
X-Antispam: spam, score=93
From: =?windows-1251?b?x+7w6O3gIMjw6O3g?= <user2@xxx.ru>
Sender: =?windows-1251?b?x+7w6O3gIMjw6O3g?= <user2@xxx.ru>
To: =?windows-1251?b?w+X27uIgyujw6Ovr?= <user1@xxx.ru>
Content-Type: multipart/alternative; boundary="=-+/BOLmA3W/yo6Vigcyxm"

[exchar]

Цитата:

Сообщение от Wonderer

X-Antispam: spam, score=93

осталось выяснить кто добавляет эту метку
ставлю на аваст со включенным модулем антиспама (или еще какой проверкой почты)
после чего спамассасин в керио радостно пихает письмо в спам, т.к. у него пороги стоят гораздо ниже бай дизайн

[Wonderer]

Цитата:

Сообщение от exchar

ставлю на аваст со включенным модулем антиспама (или еще какой проверкой почты)

Вон оно чо. На аваст даже подумать не мог...
Хотя мысль шальная посещала меня что может какая-то комбинация в этим символом может распознаваться как часть кода какого-нибудь вируса.

[exchar]

Цитата:

Сообщение от Wonderer

Вон оно чо. На аваст даже подумать не мог...
Хотя мысль шальная посещала меня что может какая-то комбинация в этим символом может распознаваться как часть кода какого-нибудь вируса.

осталось проверить.