[8.161][BUG][CLOSED] some spams in norton's spam inbox

Hi,

yes please. Please send log file excerpts from the specific time when you encountered the Spam problem. Log files that don't show the problem don't help. Please just send the log parts related to the falsely classified mail, not the whole log file.

The more precise you are, the less time it takes other people to identify the problem and this then gives them more time to actually FIX the problem. At the moment, we're still in a "we're searching for the problem and information about this before we can hand it over to the gurus" level.

where do i send log this are big files ?

thx

Just send the parts that are relevant.

Relevant: each mail has an identifier in the log file. Find the ones (by the from or to address) that have been falsely classified, look at the identifiert (Message ID) and just post the lines related to this false classification.

2-5 Examples are enough, each bunch of log lines shouldn't be more than 20-30 lines total. 150 lines, this is not too big.

Christian

hi !

pop log

 

 2011:03:17-22:48:34 acenn pop3proxy[30113]: id="1100" severity="info" sys="SecureMail" sub="pop3" name="email passed" from="Matte@tigersmess.com" to="virusbuster@mycom.com" subject="Giant Pre-seeded sunflower mats that grow in days" size="1471" srcip="0.0.0.0" dstip="66.118.157.156" uid="1300381756.12505.ns80.webmasters.com" ident="0/30113-1-1300382313"


2011:03:18-22:23:07 acenn-1 pop3proxy[14163]: id="1100" severity="info" sys="SecureMail" sub="pop3" name="email passed" from="pile@tigercrunch.com" to="virusbuster@mycom.com" subject="Check Out Fastest Growing Empress Royal Paulownia Tree" size="1524" srcip="0.0.0.0" dstip="66.118.157.156" uid="1300467121.9413.ns80.webmasters.com" ident="1/14163-1-1300467186"

2011:03:23-22:29:55 acenn pop3proxy[2985]: id="1100" severity="info" sys="SecureMail" sub="pop3" name="email passed" from="nutintips@tameingtiger.com" to="virusbuster@mycom.com" subject="The Biggest Losers nutritionist insider tips" size="2924" srcip="0.0.0.0" dstip="66.118.157.156" uid="1300899422.15669.ns80.webmasters.com" ident="0/2985-1-1300899594"

2011:03:23-22:29:56 acenn pop3proxy[2985]: id="1100" severity="info" sys="SecureMail" sub="pop3" name="email passed" from="MAILER-DAEMON@ns80.webmasters.com" to="virusbuster@mycom.com" subject="failure notice" size="1957" srcip="0.0.0.0" dstip="66.118.157.156" uid="1300899423.15716.ns80.webmasters.com" ident="0/2985-2-1300899595"

2011:03:23-22:44:56 acenn pop3proxy[4605]: id="1100" severity="info" sys="SecureMail" sub="pop3" name="email passed" from="soft0embuyinstantly@disappointmentdefense.com" to="virusbuster@mycomax.com" subject="Soft0em Essentials invites virusbuster to Download the Top-Rated Titles at 86 percent discount" size="61851" srcip="0.0.0.0" dstip="66.118.157.156" uid="1300900304.24668.ns80.webmasters.com" ident="0/4605-1-1300900494"

thx

edit:

this mail bypass all

Return-Path: 
Delivered-To: virtual-mycompany_com-myname.poxxdi@mycompany.com
Received: (qmail 6800 invoked by uid 10003); 24 Mar 2011 07:34:23 -0000
Delivered-To: virtual-mycompany_com-virusbuster@mycompany.com
Received: (qmail 6788 invoked from network); 24 Mar 2011 07:34:22 -0000
Received: from unknown (HELO web57412.mail.re1.yahoo.com) (66.196.100.64)
	by ns80.webmasters.com with SMTP; Thu, 24 Mar 2011 03:34:22 -0400
Received: (qmail 40267 invoked by uid 60001); 24 Mar 2011 07:34:49 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1300952089; bh=Y4Uqa8dbxGRG9/jxCHZ+EIfwVh+wXjX1yIu0kuHV/kI=; h=Message-ID:X-YMail-OSG:Received:X-Mailer[[:D]]ate:From:Reply-To:To:MIME-Version:Content-Type; b=hw2ZBN5fKK5ay3Xg382cT3AurQj3VCaG6DIdkZCWpLwylMgOdwd3iW8I4OmBWfFgA4uuBe1I9V6aVWtzCwHBvTW5kRDVlQ8TxCywhzim+m+NmPfSMoeNTINXuyi+EdY0NF7+tdDoFBjDK4ec1E+dZzImWrMfN2Kb2jft3kNDp2k=
DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;
  s=s1024; d=yahoo.com;
  h=Message-ID:X-YMail-OSG:Received:X-Mailer[[:D]]ate:From:Reply-To:To:MIME-Version:Content-Type;
  b=zojFMWkxlgKZTcvz2YdUX57EoznIGxw1bAVd2qWKNWRY8pq1BoXSZz7mPocd8G5+X3+iDsZVoeh84kkWjjZ7yw0Ar2gp9EZIM76m4FFMEokjZ9zPnDi6W7sXFcTce/JWJocDsFY+fQhUmWBJXZBBlG7+W4dVKUjgk0gHKzDZcvE=;
Message-ID: 
X-YMail-OSG: jNY.xF8VM1moGyGMyz6fYYWie2Dw.HXg1zMb.ffaC1IwNkN
 vYJhcBqTOqLaRzCptanIzVOydVzViT4YtxSCx7r7ELjhXSuqilaLFy.mVr3U
 pX9tkAwV8Zk0UDlsBdrwMV7MB8JVa3A_Vu7R9GK1wpvgpjZeIenO7q90klFO
 p1YHvYcoImupGQEpU9ZQAxOtcK53LJNsMKZW1widO9QrbGP2WTav97wZPzum
 L5D8SIOPNaT3KAhz0wDv4J6Z5TKhM5J7KqQeLNNDnOFqpCJuXNq2orGL_8OZ
 Z4QFADd2_xX4KHZwG6OmK3l4k6l65ZmuoZ5wAcWpnu_xnkocygOY7NDBuTPl
 HFQu_e2qgUQa2KaT4BP9Z9RkDbpu.tQ--
Received: from [71.84.69.186] by web57412.mail.re1.yahoo.com via HTTP; Thu, 24 Mar 2011 00:34:49 PDT
X-Mailer: YahooMailRC/559 YahooMailWebService/0.8.109.295617
Date: Thu, 24 Mar 2011 00:34:49 -0700 (PDT)
From: Josh Dyckes 
Reply-To: jdyckes@yahoo.com
To: ra8srknhhhf@aol.com, ortrudga@aol.com, jadams8046@aol.com,
  huanglibo@iname.com, vanessa_gc@hotmail.com, silverring234@aol.com,
  virusbuster@mycompany.com, farid@elwailly.com, joola@gtindustries.com,
  steve.servakh@fmr.com, mial2468@comcast.net,
  ifcighadpiealcaaa.wooku@lge.com, thank_you@polite.com,
  mason7@optushome.com.au
X-Proxy-Ident: 0/11460-1-1300952376
X-CTCH-RefID: str=0001.0A090203.4D8AF539.00FF,ss=1,re=0.000,fgs=0
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="0-880446725-1300952089=:74234"
X-Brightmail-Tracker: AAAAAResyiU=

--0-880446725-1300952089=:74234
Content-Type: text/plain; charset=us-ascii

hmeprftsys.t35.com/xbzop001.htm 
Get ur new eJob 


      
--0-880446725-1300952089=:74234
Content-Type: text/html; charset=us-ascii

hmeprftsys.t35.com/xbzop001.htm


Get ur new eJob











      
--0-880446725-1300952089=:74234--

Ah, this came in through POP3. I was under the impression that SMTP didn't filter out the spam properly. Aren't there any more lines related to those messages? Just those?

yes mostly single line but smtp has long list of lines but yesterday i started my vmware box again (dmz) and i will watch today and get back to u 



thanks

Okay. As for the POP3 it's likely that the mail didn't get classified, because it wasn't known to the spam database as being spam. We can't tell for sure, since the log file doesn't show this kind of information. So, let's focus on the SMTP spam detection part, okay?

If the problem comes up again with a mail that has been sent via SMTP to the ASG, we can have a look at it once again, if not, then we just assume that it is not reproducable / not debuggable so well. OK?

sender :::::2011:03:25-14:32:20 acenn exim-in[6959]: 2011-03-25 14:32:20 SMTP connection from [74.205.48.98]:49926 (TCP/IP connection count = 1)

my local ipaddress:::::2011:03:25-14:02:08 acenn exim-in[6959]: 2011-03-25 14:02:08 SMTP connection from [192.168.2.105]:4838 (TCP/IP connection count = 1)
from smtp log :::::

 2011:03:25-14:32:20 acenn exim-in[6959]: 2011-03-25 14:32:20 SMTP connection from [74.205.48.98]:49926 (TCP/IP connection count = 1)

2011:03:25-14:32:22 acenn exim-in[3709]: 2011-03-25 14:32:22 [74.205.48.98] F= R= Verifying recipient address with callout

2011:03:25-14:32:29 acenn exim-in[3709]: 2011-03-25 14:32:29 1Q32uY-0000xp-0m DKIM: d=idgconnect-resources.com s=key1 c=relaxed/relaxed a=rsa-sha1 i=IDGConnect@idgconnect-resources.com [verification succeeded]

2011:03:25-14:32:30 acenn exim-in[3709]: 2011-03-25 14:32:30 1Q32uY-0000xp-0m ctasd reports 'Unknown' RefID:str=0001.0A090201.4D8C5A26.0069:SCFMA12602446,ss=1,re=-4.000,fgs=0

2011:03:25-14:32:30 acenn exim-in[3709]: 2011-03-25 14:32:30 1Q32uY-0000xp-0m Greylisting: Greylisted 74.205.48.98

2011:03:25-14:32:30 acenn exim-in[3709]: [1\27] 2011-03-25 14:32:30 1Q32uY-0000xp-0m H=mail5.idgconnect-resources.com [74.205.48.98]:49926 F= temporarily rejected after DATA: Temporary local problem, please try again!

2011:03:25-14:32:30 acenn exim-in[3709]: [2\27] Envelope-from: 

2011:03:25-14:32:30 acenn exim-in[3709]: [3\27] Envelope-to: 

2011:03:25-14:32:30 acenn exim-in[3709]: [4\27] P Received: from mail5.idgconnect-resources.com ([74.205.48.98]:49926)

2011:03:25-14:32:30 acenn exim-in[3709]: [5\27] 	by mail.mydomain.com with esmtp (Exim 4.74)

2011:03:25-14:32:30 acenn exim-in[3709]: [6\27] 	(envelope-from )

2011:03:25-14:32:30 acenn exim-in[3709]: [7\27] 	id 1Q32uY-0000xp-0m

2011:03:25-14:32:30 acenn exim-in[3709]: [8\27] 	for myname@mydomain.com; Fri, 25 Mar 2011 14:32:27 +0530

2011:03:25-14:32:30 acenn exim-in[3709]: [9\27]   X-CTCH-RefID: str=0001.0A090201.4D8C5A26.0069:SCFMA12602446,ss=1,re=-4.000,fgs=0

2011:03:25-14:32:30 acenn exim-in[3709]: [10\27]   DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=key1; d=idgconnect-resources.com;

2011:03:25-14:32:30 acenn exim-in[3709]: [11\27]  h=From:To:Subject:Mime-Version:List-Unsubscribe:Content-Type:Message-ID[:D]ate; i=IDGConnect@idgconnect-resources.com;

2011:03:25-14:32:30 acenn exim-in[3709]: [12\27]  bh=WrKit1621Fr+e7uFdgg+Oaqku40=;

2011:03:25-14:32:30 acenn exim-in[3709]: [13\27]  b=dMHQiqNQ1nVcUA4YFqE/ELzCYQRFk6UHIfSJfGL1WziELST5XW1scVyTi7ZHeZ9kduHgIJj83XO8

2011:03:25-14:32:30 acenn exim-in[3709]: [14\27]    2Lc3zqwPajRdmBzeyx93OH8HeTCiyxzImXGvCUc0ZKbEdVFMQR1N

2011:03:25-14:32:30 acenn exim-in[3709]: [15\27]   DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=key1; d=idgconnect-resources.com;

2011:03:25-14:32:30 acenn exim-in[3709]: [16\27]  b=V9UFCEG2GhB6BcWT3kHKmCYNpWT64UBpMXdj8CZpngzWh4LjE7Fb05WJL8uGaT4A/33E6xSBFUiR

2011:03:25-14:32:30 acenn exim-in[3709]: [17\27]    NBSYLu1Ri/BJs2F1dfCmyJKC1r+LdUnBGwGFVqGkcb7JMkR9kcww;

2011:03:25-14:32:30 acenn exim-in[3709]: [18\27] P Received: by mail5.idgconnect-resources.com id hhhd1m0ik5og for ; Fri, 25 Mar 2011 05:02:11 -0400 (envelope-from )

2011:03:25-14:32:30 acenn exim-in[3709]: [19\27] * Return-Path: J248278-R310468@idgconnect-resources.com

2011:03:25-14:32:30 acenn exim-in[3709]: [20\27] F From: "IDG Connect International "

2011:03:25-14:32:30 acenn exim-in[3709]: [21\27] T To: 

2011:03:25-14:32:30 acenn exim-in[3709]: [22\27]   Subject: Global IT Skills 2011: Tech Insights - Your Workplace - Security People

2011:03:25-14:32:30 acenn exim-in[3709]: [23\27]   Mime-Version: 1.0

2011:03:25-14:32:30 acenn exim-in[3709]: [24\27]   List-Unsubscribe: 

2011:03:25-14:32:30 acenn exim-in[3709]: [25\27]   Content-Type: multipart/alternative; boundary="---- Main boundary ----"

2011:03:25-14:32:30 acenn exim-in[3709]: [26\27] I Message-ID: 

2011:03:25-14:32:30 acenn exim-in[3709]: [27/27]   Date: Fri, 25 Mar 2011 05:02:11 -0400

2011:03:25-14:32:30 acenn exim-in[3709]: 2011-03-25 14:32:30 SMTP connection from mail5.idgconnect-resources.com [74.205.48.98]:49926 closed by QUIT

2011:03:25-14:33:00 acenn exim-out[3716]: 2011-03-25 14:33:00 Start queue run: pid=3716

thanks

Shirkant, would you now classify this IDG Mailinglist as spam? It's from all I know a legitimate mailing list that has not been classified as spam - as it's not Spam. Did Norton trigger on this mail?

Shirkant, would you now classify this IDG Mailinglist as spam? It's from all I know a legitimate mailing list that has not been classified as spam - as it's not Spam. Did Norton trigger on this mail?

Okay. As for the POP3 it's likely that the mail didn't get classified, because it wasn't known to the spam database as being spam. We can't tell for sure, since the log file doesn't show this kind of information. So, let's focus on the SMTP spam detection part, okay?

If the problem comes up again with a mail that has been sent via SMTP to the ASG, we can have a look at it once again, if not, then we just assume that it is not reproducable / not debuggable so well. OK?

i am sorry christian !

this is log from smtp as send mail ,infact thoes mail suppose to be pop mails 


thanks