Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1468 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Spamassassin issue

Ted
The spamassassin portion of the firewall seems to be letting through a small number of messages that are calculated above the threshold set to identify them as spam. Here is an example from my Inbox:

Return-Path: 
Received: from larry.flightcraft.ca (larry.flightcraft.ca [1.1.1.1])
by flightcraft.ca (8.9.3/8.9.3) with ESMTP id AAA13184
for ; Sat, 19 Apr 2003 00:33:36 -0700
Received: from [61.174.239.204] (helo=topknitting.com)
by larry.flightcraft.ca with esmtp (Exim 4.10)
id 196mqN-00015n-00
for none@flightcraft.ca; Sat, 19 Apr 2003 00:33:03 -0700
From: "lolita" 
Subject: new sweater styles publish-011
To: none@flightcraft.ca
Content-Type: text/html;charset="ISO-8859-1"
Reply-To: lolita@topknitting.com
Date: Sat, 19 Apr 2003 15:37:00 +0800
X-Priority: 3
X-Mailer: FoxMail 3.11 Release [cn]
Message-Id: 
X-Do-Spam-Scan: 1
X-Spam-Score: 4.9 (++++)
X-Spam-Flag: NO
X-Spam-Report: SPAM: -------------------- Start SpamAssassin results ----------------------
SPAM: This mail is probably spam.  The original message has been altered
SPAM: so you can recognise or block similar unwanted mail in future.
SPAM: See http://spamassassin.org/tag/ for more details.
SPAM: 
SPAM: Content analysis details:       (4.90 hits, 4.5 required)    
SPAM: SPAM_PHRASE_05_08  (1.6 points)  BODY: Spam phrases score is 05 to 08 (medium)
SPAM:                    [score: 5]
SPAM: HTML_FONT_COLOR_MAGENTA (0.4 points)  BODY: HTML font color is magenta
SPAM: HTML_WITH_BGCOLOR  (0.3 points)  BODY: HTML mail with non-white background
SPAM: HTML_FONT_COLOR_RED (0.3 points)  BODY: HTML font color is red
SPAM: LINES_OF_YELLING_3 (0.3 points)  BODY: 3 WHOLE LINES OF YELLING DETECTED
SPAM: HTML_50_70         (0.3 points)  BODY: Message is 50-70% HTML tags
SPAM: LINES_OF_YELLING_2 (0.2 points)  BODY: 2 WHOLE LINES OF YELLING DETECTED
SPAM: LINES_OF_YELLING   (0.2 points)  BODY: A WHOLE LINE OF YELLING DETECTED
SPAM: JAVASCRIPT         (0.2 points)  BODY: JavaScript code
SPAM: JAVASCRIPT_UNSAFE  (0.3 points)  BODY: Easily-executed JavaScript code
SPAM: MAILTO_LINK        (0.2 points)  BODY: Includes a URL link to send an email
SPAM: MAILTO_TO_REMOVE   (0.2 points)  URI: Includes a 'remove' email address
SPAM: CTYPE_JUST_HTML    (0.4 points)  HTML-only mail, with no text version
SPAM: 
SPAM: -------------------- End of SpamAssassin results ---------------------
X-Scanner: exiscan for exim4 (http://duncanthrax.net/exiscan/) *196mqN-00015n-00*E6dlIy6z8Cs*
Status:   


Has anyone already looked into this or seen this problem on teir systems?  


This thread was automatically locked due to age.
Parents
  • 0
    in conservative mode, my spam assassin indicates 5.0 as the threshold, but it is actually using 10 as the threshold.

    I'm running a two layer spam assassin approach here -- SA on the firewall (rejecting) and SA on my mail server delivering spam to the receiver's spam folder.    This seems to be working reasonably well...YMMV  
  • 0 in reply to donavan
    The issue that donavan described is the main problem I have seen with SpamAssassin.  It is working great, but in the SMTP header it says (XXX hits, 5 required) no matter how many hits it is really looking for.  I think the only bug is that it does not accurately describe the threshold in the SMTP header.    
Reply
  • 0 in reply to donavan
    The issue that donavan described is the main problem I have seen with SpamAssassin.  It is working great, but in the SMTP header it says (XXX hits, 5 required) no matter how many hits it is really looking for.  I think the only bug is that it does not accurately describe the threshold in the SMTP header.    
Children
  • 0 in reply to Moby
    To answer Marcel's question yes, I have tweaked the threshold to 4.5, after a bit of review it seems like a better compromise than 5. However I have seen this problem prior to my tweak so this would not seem to be the issue.

    As for the reporting versus actual threshold, that doesn't seem to be an issue. In 95% of the cases mail is blocked when above the set threshold (be a default value or one I have modified), it just seems like a few messages leak through.

    It would sure be nice to have finer grained control of spamassassin via the GUI, especially since this is something that really requires tuning on a per site basis.