Добрый день. Помогите разобраться со СПАМ-ерским письмом которое, как по мне, имеет интересное содержание.Суть:
- есть большая корпоративная сеть с таким почтовым сервером Postfix+Amavisd-new+Spamassassin+CommuniGate.
- Пользователю «А» пришло спамерское письмо которое было адресовано пользователю «В»
- Пользователь «В» понятное дело это письмо не отсылал, и это видно из заголовка письма так как первый Received это какой-то интернет сервер.
- Интересно то что и отправитель письма и получатель письма пользователь «B»
- А самое интересное что в X-Spam-Status пишется что срабатывает правило USER_IN_WHITELIST_TO. Но вот в конфиге Spamassassin пользователь «В» не прописан в белом списке.
Само письмо и конфиги выложены ниже. Название своего сервера и пользователей я заменил на myserver и «А», «В», «С».
Не могу понять почему на письмо сработало правило USER_IN_WHITELIST_TO и почему оно пришло пользователю «А» которого вообще нет в заголовке.
ЗАГОЛОВОК ПИСЬМА:
Return-Path: <mootermk@sendsmtp.com>
Received: from [123.44.55.66] (HELO relay.myserver.com)
by myserver.com (CommuniGate Pro SMTP 4.2.10)
with ESMTP id 10124872; Tue, 02 Feb 2010 23:14:28 +0200
Received: from localhost (localhost [127.0.0.1])
by relay.myserver.com (Postfix) with ESMTP id BF989E0051;
Tue, 2 Feb 2010 23:14:28 +0200 (EET)
Received: from relay.myserver.com ([127.0.0.1])
by localhost (relay [127.0.0.1]) (amavisd-new, port 10024) with ESMTP
id 30727-12; Tue, 2 Feb 2010 23:14:26 +0200 (EET)
Received: from host-81-190-2-17.gdynia.mm.pl (host-81-190-2-17.gdynia.mm.pl [81.190.2.17])
by relay.myserver.com (Postfix) with ESMTP id 266F7E004F;
Tue, 2 Feb 2010 23:14:25 +0200 (EET)
Received: from 81.190.2.17 by vanitysmtp.changeip.com; Tue, 2 Feb 2010 22:13:48 +0100
Message-ID: <000d01caa44c$9c930130$6400a8c0@mootermk>
From: B@myserver.com
To: <B@myserver.com>
Subject: I'll like you? Remember that night in the hotel?
Date: Tue, 2 Feb 2010 22:13:48 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0007_01CAA44C.9C930130"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.3790.1830
X-MimeOLE: Produced By Microsoft MimeOLE 6.00.3790.1830
X-Virus-Scanned: by amavisd-new at relay.myserver.com
X-Spam-Status: No, hits=-45.606 tagged_above=-100 required=9.5 tests=BAYES_99,
DCC_CHECK, DIGEST_MULTIPLE, HELO_DYNAMIC_IPADDR, HTML_80_90, HTML_MESSAGE,
INFO_TLD, NO_REAL_NAME, RAZOR2_CF_RANGE_E8_51_100, RAZOR2_CHECK,
RCVD_IN_BL_SPAMCOP_NET, RCVD_IN_SORBS_DUL, RCVD_IN_SORBS_WEB, RCVD_IN_XBL,
UNPARSEABLE_RELAY, URIBL_AB_SURBL, URIBL_JP_SURBL, USER_IN_WHITELIST_TO
X-Spam-Level:
Основные моменты amavisd.conf:
$sa_local_tests_only = 0; # (default: false)
$sa_mail_body_size_limit = 1024*1024;
$sa_tag_level_deflt = -100.0;
$sa_tag2_level_deflt = 9.5;
$sa_kill_level_deflt = 9.5;
$sa_spam_subject_tag = '***** SPAM ***** ';
$sa_spam_modifies_subj = 1;
$sa_debug = 1;
Основные моменты Local.cf:
use_razor2 1
use_bayes 1
bayes_auto_learn 0
bayes_path /var/spool/amavis/.spamassassin/bayes
bayes_auto_learn_threshold_nonspam 0
bayes_auto_learn_threshold_spam 20.0
use_pyzor 0
ok_locales all
razor_config /var/spool/amavis/.razor/razor-agent.conf
whitelist_to C@myserver.com
whitelist_to D@myserver.com
whitelist_to F@myserver.com
score USER_IN_WHITELIST_TO -100.000
Вариант для распечатки
Открытые системы на сервере (Почта / Linux)
(ok) on 12-Фев-10, 14:53 
