Notre serveur mails Debian avec Exim4, Dovecot et Squirrelmail fonctionne bien.

Il lui manque encore un antispam et un antivirus pour filtrer les innombrables mails non désirés que l’on reçoit actuellement.

(le logo Exim est de Jennifer Greenley, celui de SpamAssassin est de Christian Rauh)

Je me base sur l’excellent article Antivirus and Antispam setup with Exim4 de Anurag Patel, sur le site www.debian-administration.org

Ces deux articles de Steve Kemp, et le dernier de Justin Koivisto, sont également intéressants :

• Rejecting viral email at SMTP time with exim4
• HELO restrictions for Exim4
• Installing and configuring Exim 4 on Debian

Cette installation se base sur 4 packages

• exim4-daemon-heavy : une version d’Exim4 qui possède des possibilités supplémentaires par rapport à exim4-deamon-light, en particulier des Access List.
• clamav-daemon : Clam Anti-virus
• sa-exim : ajout la possibilité de faire exécuter un script directement à l’arrivée du mail (SMTP time), comme un anti-virus, une grey-list…
• spamassassin et spamc : l’anti-spam bien connu

Installons donc Exim Heavy :

# apt-get install exim4-daemon-heavy
Reading package lists... Done
Building dependency tree... Done
The following extra packages will be installed:
 libperl5.8
The following packages will be REMOVED
 exim4-daemon-light
The following NEW packages will be installed
 exim4-daemon-heavy libperl5.8
0 upgraded, 2 newly installed, 1 to remove and 0 not upgraded.
Need to get 994kB of archives.
After unpacking 1315kB of additional disk space will be used.
Do you want to continue [Y/n]?

Il est donc NORMAL que exim4-daemon-light soit désinstallé !

L’antivirus maintenant :

# apt-get install clamav-daemon
Reading package lists... Done
Building dependency tree... Done
The following extra packages will be installed:
 ca-certificates clamav-base clamav-freshclam libclamav2 libcurl3 libgmp3c2
Suggested packages:   daemon clamav-docs
Recommended packages:   clamav
The following NEW packages will be installed
 ca-certificates clamav-base clamav-daemon clamav-freshclam libclamav2 libcurl3 libgmp3c2
0 upgraded, 7 newly installed, 0 to remove and 0 not upgraded.
Need to get 10.7MB of archives.
After unpacking 12.7MB of additional disk space will be used.

L’installation me demande :

This package may install new CA (Certificate Authority) certificates when upgrading.

Je répond « oui»  pour installer tous les certificats.

Comment va se faire la mise à jour de cet antivus ?
Car comme tout antivirus, il ne sera valable que s’il est tenu à jour.

Please choose the method for virus database updates.
daemon : freshclam is running as a daemon all the time.
You should choose this option if you have a permanent network connection.

Je conserve l’option par défaut qui est de laisser tourner le daemon freshclam qui s’occupera des mises à jour.

Clamav me demande alors quel serveur je veux utiliser pour ces mises à jour :

Please select the closest local mirror site.
- db.fr.clamav.net (France)

Je prend le français, vu que notre serveur se trouve en France.

Notre accès internet est direct, pas de proxy.

Please confirm whether clamd should be notified to reload the database after successful updates. Yes

Je répond oui. Je désire que Clamd prenne immédiatement la nouvelle base de donnée virus dès qu’une nouvelle version est disponible.

L’installation se poursuit.
Quelques messages intéressants :

...
Setting up ca-certificates (20070303)
...
Updating certificates in /etc/ssl/certs....done.
Setting up clamav-base (0.90.1-3etch4)
...
Adding system user `clamav' (UID 106)
...
Adding new group `clamav' (GID 108)
...
Adding new user `clamav' (UID 106) with group `clamav'
...
Not creating home directory `/var/lib/clamav'.
...
Starting ClamAV daemon: clamd Running as user clamav (UID 106, GID 108)

Il faut autoriser Clamav à lire et écrire dans les dossiers d’Exim4.
Exim4 doit extraite les attachements (MIME) dans un dossier temporaire et demander à Clamav de les scanner.

Le userid clamav a été créé lors de l’installation du package clamav.
Pour ajouter clamav dans le groupe debian-exim :

# adduser clamav Debian-exim
Adding user `clamav' to group `Debian-exim' ... Done

On aurait également pu le faire directement en éditant le fichier /etc/group et en ajoutant « clamav»  sur la ligne « Debian-exim» 

Debian-exim:x:104:clamav

Sa-exim maintenant. D’abord une petite explication sur sa-exim :

l’utilisation de spamAssassin au niveau SMTP avec le MTA Exim v4 SA-Exim permet d’utiliser spamAssassin au niveau SMTP avec l’agent de transport de courriel Exim v4, ce qui offre de nombreuses possibilités dans le traitement des courriels, y compris leur rejet avant d’être acceptés, ainsi que le piégeage de l’envoyeur (p. ex. en le ralentissant par mobilisation de ses ressources).

# apt-get install sa-exim
Reading package lists... Done
Building dependency tree... Done
The following extra packages will be installed:
 spamc
Suggested packages:   spamassassin
The following NEW packages will be installed
 sa-exim spamc
0 upgraded, 2 newly installed, 0 to remove and 0 not upgraded.
Need to get 155kB of archives.
After unpacking 471kB of additional disk space will be used.
...
Reloading exim4 configuration files: exim4

Reste SpamAssassin, le tueur de Spam comme son nom l’indique

# apt-get install spamassassin spamc
Reading package lists... Done
Building dependency tree... Done
spamc is already the newest version.
The following extra packages will be installed:
 libarchive-tar-perl libdigest-sha1-perl libio-zlib-perl libsocket6-perl
Suggested packages:
 libio-string-perl razor libnet-ident-perl libio-socket-ssl-perl dcc-client pyzor
Recommended packages:
 libmail-spf-query-perl libnet-dns-perl
The following NEW packages will be installed
 libarchive-tar-perl libdigest-sha1-perl libio-zlib-perl libsocket6-perl spamassassin
0 upgraded, 5 newly installed, 0 to remove and 0 not upgraded.
Need to get 1090kB of archives.
After unpacking 3576kB of additional disk space will be used.
...
SpamAssassin Mail Filter Daemon: disabled, see /etc/default/spamassassin

Par défaut, après l’installation, SpamAssassin n’est pas activé.

Maintenant il faut activer SpamAssassin.

# vi /etc/default/spamassassin
...
# Change to one to enable spamd
ENABLED=1

Il faut également activer sa-exim :

# vi /etc/exim4/sa-exim.conf

Localiser les lignes suivantes :

SAEximRunCond: ${if and {{def:sender_host_address} {!eq {$sender_host_address}{127.0.0.1}} {!eq {$sender_host_address}{::1}}}}
...
#----------------------------------------------------------------------
# Remove or comment out the following line to enable sa-exim
SAEximRunCond: 0

Modifier la ligne en

SAEximRunCond: 1

Il faut configurer le message de rejet dans Exim4.

# vi /etc/exim4/conf.d/acl/40_exim4-config_check_data

A la fin du fichier, juste avant la ligne « accept« , ajoutez les lignes

# Deny viruses.
deny message = Message contains malware or a virus ($malware_name).
log_message = $sender_host_address tried sending $malware_name demime = * malware = *
# accept otherwise accept

Il reste à configurer Exim4 pour qu’il utilise Clamav.

vi /etc/exim4/conf.d/main/01_exim4-config_listmacrosdefs

Au début du fichier, ajouter la ligne « av_scanner…» . Je l’ai ajouté ici :

#            MAIN CONFIGURATION SETTINGS
#
# Just for reference and scripts.
# On Debian systems, the main binary is installed as exim4 to avoid
# conflicts with the exim 3 packages.
exim_path = /usr/sbin/exim4
# Macro defining the main configuration directory.
# We do not use absolute paths.
.ifndef CONFDIR CONFDIR = /etc/exim4 .endif
# Didier Misson 20070815
av_scanner = clamd:/var/run/clamav/clamd.ctl ...

Et voilà, il suffit de redémarrer Exim4

# /etc/init.d/exim4 restart
Stopping MTA for restart: exim4_listener.
Restarting MTA: exim4.

Ca ne fonctionne pas correctement.

Exim4 génère des messages d’erreur dans /var/log/exim4/paniclog
et évidemment les mails n’arrivent pas.

Les messages se retrouvent aussi dans /var/log/exim4/mainlog :

2007-08-15 19:53:29 1ILN3g-0004kU-UL malware acl condition: clamd: ClamAV returned /var/spool/exim4/scan/1ILN3g-0004kU-UL: lstat() failed. ERROR
2007-08-15 19:53:29 1ILN3g-0004kU-UL H=ug-out-1314.google.com [66.249.92.173] F= temporarily rejected after DATA

Je suspecte un problème de permission sur le dossier /var/spool/exim4/scan

Une petite recherche Google (autant commencer par là), et je trouve directement ce lien :

http://edin.no-ip.com/html/?q=anti_virus_configuration

Edison Wong parle effectivement des permissions sur ce dossier.
Je vérifie :

:/var/spool/exim4# ls -l
total 48
drwxr-x--- 2 Debian-exim Debian-exim  4096 2007-06-30 19:34 db
-r-------- 1 Debian-exim Debian-exim   202 2007-07-01 20:32 gnutls-params
drwxr-x--- 2 Debian-exim Debian-exim 24576 2007-08-15 21:50 input
drwxr-x--- 2 Debian-exim Debian-exim 12288 2007-08-15 21:50 msglog
drwxr-x--- 2 Debian-exim Debian-exim  4096 2007-08-15 21:30 scan

Je pense que le owner est correct. En effet j’ai pris soin d’ajouter « clamav»  au groupe « Debian-exim« .

Par contre, il est clair que seul « Debian-exim»  peut écrire dans ces dossiers !

J’exécute donc la commande :

chmod -Rf g+w /var/spool/exim4

Et maintenant, le dossier est bien accessible en écriture par ClamAV.

Si j’ai bien compris, la commande suivante conseillée par Edison Wong, permet d’avoir tous les fichiers créés dans un des sous-dossiers appartenant au même groupid, càd comme si c’était toujours Debian-exim qui les crée :

chmod -Rf g+s /var/spool/exim4
ls -l
total 48 drwxrws--- 2 Debian-exim Debian-exim  4096 2007-06-30 19:34 db
-r---wS--- 1 Debian-exim Debian-exim   202 2007-07-01 20:32 gnutls-params
drwxrws--- 2 Debian-exim Debian-exim 24576 2007-08-15 22:13 input
drwxrws--- 2 Debian-exim Debian-exim 12288 2007-08-15 22:13 msglog
drwxrws--- 2 Debian-exim Debian-exim  4096 2007-08-15 21:30 scan

Je réessaye.

On progresse… euh… disons que je viens de passer au problème suivant

Voici les messages d’erreur :

2007-08-15 22:45:30 1ILPk9-0005t1-Uk malware acl condition: clamd: unable to connect to UNIX socket /var/run/clamav/clamd.ctl (No such file or directory)
2007-08-15 22:45:30 1ILPk9-0005t2-VL malware acl condition: clamd: unable to connect to UNIX socket /var/run/clamav/clamd.ctl (No such file or directory)
2007-08-15 22:45:30 1ILPk9-0005t1-Uk H=ug-out-1314.google.com [66.249.92.174] F= temporarily rejected after DATA
2007-08-15 22:45:30 1ILPk9-0005t2-VL H=ug-out-1314.google.com [66.249.92.169] F= temporarily rejected after DATA

Je vérifie donc /var/run/clamav/clamd.ctl.

Pourtant il existe :

:/var/run/clamav# ls -l
total 8
srwxrwxrwx 1 clamav clamav 0 2007-08-15 22:46 clamd.ctl
-rw-rw---- 1 clamav clamav 5 2007-08-15 22:46 clamd.pid
-rw-rw---- 1 clamav clamav 5 2007-08-15 19:00 freshclam.pid

Je cherche sur Google.

Quelqu’un indiquait qu’il n’avait pas de base de données virus, càd que freshclam ne réussissait pas à la mettre à jour via le net.
Je vérifie donc :

# freshclam
ClamAV update process started at Wed Aug 15 23:37:20 2007
WARNING: Your ClamAV installation is OUTDATED!
WARNING: Local version: 0.90.1
Recommended version: 0.91.1
DON'T PANIC!
Read http://www.clamav.net/support/faq
main.inc is up to date (version: 44, sigs: 133163, f-level: 20, builder: sven)
daily.cvd is up to date (version: 3964, sigs: 14108, f-level: 20, builder: arnaud)

Donc, la liste de virus, ça va. C’est à jour.
Mais il existe déjà une nouvelle version de ClamAV.

Le site de ClamAV est assez bien fait et je trouve ceci concernant les mises à jour :

• http://www.clamav.net/support/faq
• http://www.clamav.net/download/packages/packages-linux

Debian fait effectivement passer la stabilité en premier lieu. De ce fait, les packages ne sont pas toujours très à jour.

Mais un anti-virus ou anti-spam est un cas spécial.
On ne peut pas se permettre d’attendre 1 à 2 ans entre chaque version de Debian, ni même 6 mois si votre serveur est sous Ubuntu, pour mettre à jour un programme anti-virus !

Ces cas ont été prévus par le projet Debian Volatile.

Pour avoir accès aux dernières versions de ces paquets (sans utiliser de backports depuis la version Unstable), il faut ajouter un dépot dans le sources.list.

# vi /etc/apt/sources.list
deb http://volatile.debian.org/debian-volatile etch/volatile main contrib non-free

Faire la mise à jour :

# apt-get update
...
# apt-get dist-upgrade
Reading package lists... Done
Building dependency tree... Done
Calculating upgrade... Done
The following packages will be upgraded:
 clamav-base clamav-daemon clamav-freshclam libclamav2 tzdata
5 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Need to get 11.8MB of archives.
After unpacking 1516kB of additional disk space will be used.

J’ai ignoré le message d’avertissement sur la clé du dépot volatile.
Je verrai ça un autre soir.

Maintenant, tout est à jour :

# freshclam
ClamAV update process started at Thu Aug 16 00:01:13 2007
main.inc is up to date (version: 44, sigs: 133163, f-level: 20, builder: sven)
daily.cvd is up to date (version: 3964, sigs: 14108, f-level: 20, builder: arnaud)

Plus de message disant que ClamAV n’est pas à jour.

Je vais réessayer.
Peut-être que la mise à jour a corrigé ce bug, si ça en est un (ce qui n’est pas certain).

Je redémarre Exim, et je m’envoie un mail.

Il passe !

Mais avec des erreurs :

• 2007-08-16 00:14:20 1ILR85-0006pi-FR SA: Action: SA didn’t successfully run against message, accepting (time: 3/3 secs | Message-Id: 46C37AB5
• .7070407@gmail.com). From (host=ug-out-1314.google.com [66.249.92.175]) for didier@libre-pc.be
• 2007-08-16 00:14:20 1ILR85-0006pi-FR <= didier.misson@gmail.com H=ug-out-1314.google.com [66.249.92.175] P=esmtp S=2297 id=46C37AB5.7070407@g
• mail.com
• 2007-08-16 00:14:20 1ILR85-0006pi-FR => didier R=local_user T=maildir_home
• 2007-08-16 00:14:20 1ILR85-0006pi-FR Completed

Effectivement, dans l’entête du mail dans Thunderbird, je vois des lignes ajoutées (ce qui est normal), mais avec le message suivant :

X-SA-Exim-Scanned : No (on ks12345.kimsufi.com); Unknown failure

Ce problème est donc différent du précédant, qui a donc été réglé par la mise à jour.

Je vois que pourtant ClamAV détecte des virus :

2007-08-16 02:19:00 no IP address found for host node175.48.208.daystar.net (during SMTP connection from [208.48.175.136])
2007-08-16 02:19:02 1ILT4n-0007M5-BB demime acl condition: base64 line contains illegal character
2007-08-16 02:19:02 1ILT4n-0007M5-BB H=(node175.48.208.daystar.net) [208.48.175.136] F=
 rejected after DATA: 208.48 .175.136 tried sending Trojan.Downloader-12905

C’est déjà ça… mais il reste des messages « SA didn’t successfully run against message» .

J’essaye de faire quelques tests.

Edison Wong donne des indications sur la façon de faire des essais.

Je m’envoie un mail depuis Gmail avec la paterne de test dans le corp du mail :

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

et effectivement, ce mail ne m'arrive pas dans ma boite, mais est rejeté par ClamAV. je vois dans /var/log/exim4/mainlog :

2007-08-16 11:26:43 1ILbcp-0006FC-7M H=py-out-1112.google.com [64.233.166.182] F= rejected after DATA: 64.233.166.182 tried sending Eicar-Test-Signature

Je constate que le serveur a renvoyé une réponse sur mon adresse Gmail.com

Mail Delivery Subsystem
 This is an automatically generated Delivery Status Notification
 Delivery to the following recipient failed permanently:     didier@libre-pc.be
Technical details of permanent failure: PERM_FAILURE: SMTP Error (state 16):
550 Message contains malware or a virus (Eicar-Test-Signature).

C’est absolument parfait !
Donc, l’antivirus fonctionne correctement !

Pour plus de test, on peut s’envoyer des fichiers en attachement.
Pour cela il faut installer les fichiers de test :

# apt-get install clamav-testfiles

Je ferai ce test, mais pour le moment, ce n’est donc pas ClamAV qui pose problème, mais SpamAssassin…

On progresse !

C’est donc Spamassassin qui ne fonctionne pas.

Je me refais un mail.
Toujours les même erreurs dans le log Exim4 :

2007-08-18 00:08:37 1IM9zh-00032D-Lm SA: Debug: SAEximRunCond expand returned: '1'
2007-08-18 00:08:37 1IM9zh-00032D-Lm SA: Debug: check succeeded, running spamc
2007-08-18 00:08:40 1IM9zh-00032D-Lm SA: Action: SA didn't successfully run against message, accepting (time: 3/3 secs | Message-Id: 46C61C5F .7030005@gmail.com).
From  (host=ug-out-1314.google.com [66.249.92.171]) for didier@libre-pc.be
2007-08-18 00:08:40 1IM9zh-00032D-Lm <= didier.misson@gmail.com H=ug-out-1314.google.com [66.249.92.171] P=esmtp S=2294 id=46C61C5F.7030005@g mail.com
2007-08-18 00:08:40 1IM9zh-00032D-Lm => didier  R=local_user T=maildir_home
2007-08-18 00:08:40 1IM9zh-00032D-Lm Completed

Mais je trouve ceci dans /var/log/syslog :

Aug 18 00:08:37 ks12345 spamc[11671]: connect(AF_INET) to spamd at 127.0.0.1 failed, retrying (#1 of 3): Connection refused
Aug 18 00:08:38 ks12345 spamc[11671]: connect(AF_INET) to spamd at 127.0.0.1 failed, retrying (#2 of 3): Connection refused
Aug 18 00:08:39 ks12345 spamc[11671]: connect(AF_INET) to spamd at 127.0.0.1 failed, retrying (#3 of 3): Connection refused
Aug 18 00:08:40 ks12345 spamc[11671]: connection attempt to spamd aborted after 3 retries

J’essaye de redémarrer SpamAssassin :

# /etc/init.d/spamassassin stop
Stopping SpamAssassin Mail Filter Daemon: No spamd found running; none killed. spamd.
# /etc/init.d/spamassassin start
Starting SpamAssassin Mail Filter Daemon: spamd.
# ps -A|grep spa
12751 ?        00:00:01 spamd
12752 ?        00:00:00 spamd
12753 ?        00:00:00 spamd

Il n’y avait pas de tâche SpamAssassin active !

On cherche parfois des heures dans des fichiers de configuration… en oubliant de vérifier la base !

Je refais un mail.

Je vois cette fois dans les logs d’Exim4 :

2007-08-18 00:58:00 1IMAlU-0003Mb-LY SA: Debug: SAEximRunCond expand returned: '1'
2007-08-18 00:58:00 1IMAlU-0003Mb-LY SA: Debug: check succeeded, running spamc
2007-08-18 00:58:00 1IMAlU-0003Mb-LY SA: Action: scanned but message isn't spam: score=0.0 required=5.0 (scanned in 0/0 secs | Message-Id: 46 C627F2.4060201@gmail.com).
From  (host=ug-out-1314.google.com [66.249.92.169]) for didier@libre-pc.be
2007-08-18 00:58:00 1IMAlU-0003Mb-LY <= didier.misson@gmail.com H=ug-out-1314.google.com [66.249.92.169] P=esmtp S=2465 id=46C627F2.4060201@g mail.com
2007-08-18 00:58:01 1IMAlU-0003Mb-LY => didier  R=local_user T=maildir_home
2007-08-18 00:58:01 1IMAlU-0003Mb-LY Completed

Et très logiquement, les messages sont maintenant positif dans /var/log/syslog aussi.

Aug 18 00:58:00 ks36586 spamd[12752]: spamd: connection from localhost.localdomain [127.0.0.1] at port 4371
Aug 18 00:58:00 ks36586 spamd[12752]: spamd: setuid to Debian-exim succeeded
Aug 18 00:58:00 ks36586 spamd[12752]: spamd: processing message <46C627F2.4060201@gmail.com> for Debian-exim:104
Aug 18 00:58:00 ks36586 spamd[12752]: spamd: clean message (0.0/5.0) for Debian-exim:104 in 0.2 seconds, 2165 bytes.
Aug 18 00:58:00 ks36586 spamd[12752]: spamd: result: . 0 - scantime=0.2,size=2165,user=Debian-exim,uid=104,required_score=5.0,rhost=localhost .localdomain,raddr=127.0.0.1,rport=4371,mid=<46C627F2.4060201@gmail.com>,autolearn=ham
Aug 18 00:58:00 ks36586 spamd[12751]: prefork: child states: II

Vu que la tâche n’avait pas démarré, je vérifie quand même si elle se trouve bien dans les tâches devant démarrer automatiquement :

# ls -l /etc/rc2.d/*spam*
lrwxrwxrwx 1 root root 22 2007-08-15 19:11 /etc/rc2.d/S19spamassassin -> ../init.d/spamassassin

Le démarrage de SpamAssassin est bien inclu dans les rc2.d à rc5.d.
C’est donc ok de ce côté là. En cas de reboot du serveur, SpamAssassin sera bien en machine.

Bon allez, pour le fun, je me fais un petit Spam !

Je m’envoie un mail avec comme sujet « VIAGRA 4U» 
Et dans le message :

Best product : NEW
V I A G R A : $ 5.00

Il est passé… pas bloqué.
Mais SpamAssassin a réagi malgré tout… un peu…

Dans /var/log/syslog :

Aug 18 01:15:04 ks36586 spamd[12752]: spamd: connection from localhost.localdomain [127.0.0.1] at port 1913
Aug 18 01:15:04 ks36586 spamd[12752]: spamd: setuid to Debian-exim succeeded
Aug 18 01:15:04 ks36586 spamd[12752]: spamd: processing message <46C62BEB.9060206@gmail.com> for Debian-exim:104
Aug 18 01:15:04 ks36586 spamd[12752]: spamd: clean message (1.1/5.0) for Debian-exim:104 in 0.1 seconds, 2093 bytes.
Aug 18 01:15:04 ks36586 spamd[12752]: spamd: result: . 1 - AWL,DRUGS_ERECTILE,DRUGS_ERECTILE_OBFU scantime=0.1,size=2093,user=Debian-exim,uid =104,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=1913,mid=<46C62BEB.9060206@gmail.com>,autolearn=no
Aug 18 01:15:04 ks36586 spamd[12751]: prefork: child states: II

Et dans /var/log/exim4/mainlog :

1IMB20-0003SU-2X SA: Action: scanned but message isn't spam: score=1.1 required=5.0

Pour l’exemple, voici ce que donne un vrai spam :

Le log d’Exim4 :

2007-08-18 01:54:12 1IMBdr-0003hq-Cq SA: Debug: SAEximRunCond expand returned: '1'
2007-08-18 01:54:12 1IMBdr-0003hq-Cq SA: Debug: check succeeded, running spamc
2007-08-18 01:54:12 1IMBdr-0003hq-Cq SA: Action: flagged as Spam but accepted: score=6.7 required=5.0 (scanned in 0/0 secs | Message-Id: 7203 207072.20070817235410@gkssplsjd.shankscape.com).
From  (host=NULL [222.238.214.164]) for didier@libre-pc.com
2007-08-18 01:54:12 1IMBdr-0003hq-Cq <= vogel@gkssplsjd.shankscape.com H=(-1208575648) [222.238.214.164] P=smtp S=4096 id=7203207072.20070817 235410@gkssplsjd.shankscape.com
2007-08-18 01:54:12 1IMBdr-0003hq-Cq => didier  R=local_user T=maildir_home
2007-08-18 01:54:12 1IMBdr-0003hq-Cq Completed

Dans le /var/log/syslog :

Aug 18 01:54:12 ks36586 spamd[12752]: spamd: connection from localhost.localdomain [127.0.0.1] at port 1250
Aug 18 01:54:12 ks36586 spamd[12752]: spamd: setuid to Debian-exim succeeded
Aug 18 01:54:12 ks36586 spamd[12752]: spamd: processing message <7203207072.20070817235410@gkssplsjd.shankscape.com> for Debian-exim:104
Aug 18 01:54:12 ks36586 spamd[12752]: spamd: identified spam (6.7/5.0) for Debian-exim:104 in 0.2 seconds, 3576 bytes.
Aug 18 01:54:12 ks36586 spamd[12752]: spamd: result: Y 6 - DRUGS_ANXIETY,DRUGS_ANXIETY_EREC,DRUGS_DIET,DRUGS_ERECTILE,DRUGS_MANYKINDS,DRUGS_M USCLE,DRUGS_PAIN,DRUG_ED_GENERIC,FROM_DOMAIN_NOVOWEL,HG_HORMONE,HTML_IMAGE_ONLY_20,HTML_MESSAGE,UNPARSEABLE_RELAY
scantime=0.2,size=3576,user =Debian-exim,uid=104,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=1250,mid=<7203207072.20070817235410@gkssplsjd.shank scape.com>,autolearn=no
Aug 18 01:54:12 ks36586 spamd[12751]: prefork: child states: II

Et le mail est arrivé dans ma boite.

En effet, pour le moment la détection fonctionne, mais rien n’est fait pour mettre automatiquement les spams dans un dossier Spam par exemple.
Mais ils sont flagués comme spam dans l’entête du mail.

Je vois par exemple ceci dans l’entête de ce mail :

X-AntiVirus: Checked by Dr.Web (http://www.drweb.net)
X-SA-Exim-Connect-IP: 222.238.214.164
X-SA-Exim-Mail-From: vogel@gkssplsjd.shankscape.com Subject: The Pharmacy America Trusts
X-Spam-Flag: YES X-Spam-Checker-Version: SpamAssassin 3.1.7-deb (2006-10-05) on      ks12345.kimsufi.com
X-Spam-Level: ****** X-Spam-Status: Yes, score=6.7 required=5.0 tests=DRUGS_ANXIETY,
 DRUGS_ANXIETY_EREC,DRUGS_DIET,DRUGS_ERECTILE,DRUGS_MANYKINDS,
 DRUGS_MUSCLE,DRUGS_PAIN,DRUG_ED_GENERIC,FROM_DOMAIN_NOVOWEL,
 HG_HORMONE,HTML_IMAGE_ONLY_20,HTML_MESSAGE,UNPARSEABLE_RELAY
 autolearn=no version=3.1.7-deb X-SA-Exim-Version: 4.2.1 (built Tue, 09 Jan 2007 17:23:22 +0000)
X-SA-Exim-Scanned: Yes (on ks123456.kimsufi.com)

Remarquez le « X-AntiVirus: Checked by Dr.Web» 
Cette entête n’a rien à voir avec SpamAssassin !
C’est juste une entête piège mise par le virus lui-même, destinée à tromper certains programmes de mails qui penseraient que le mail est sûr puisque déjà scanner… Il n’est en rien !

Je me rend compte que le mail est mis dans un dossier « Junk« , même depuis le webmail Squirrelmail.
Mais je pense que c’est Thunderbird qui a déplacé les mails.
Comme il est connecté au serveur en IMAPs, ses actions, telque mettre des spams dans le dossier « Junk» , sont répétées sur le serveur.

Je vérifierai cela demain, directement du Webmail, pour voir si les spams sont dans le dossier « Junk»  ou « Inbox» .

On peut penser que cette détection fait double emploie avec celle de Thunderbird…

Oui en partie. Mais ce serait bien de directement déplacer les mails dans ce dossier « Junk« .
Ce serait de toute façon utile si on consulte ses mails depuis le webmail avec un navigateur.

Il est possible de toute façon de configurer Thunderbird pour qu’il se fie aux entêtes de courrier indésirable placés par SpamAssassin. Cela se configure, très logiquement dans la gestion des indésirables

Je viens de le configurer. Je verrai également demain comme il va se comporter.
L’idéal serait qu’il place directement les spams détectés par SpamAssassin dans le dossier « indésirable» , et qu’il scanne malgré tout les autres.

Voir à ce sujet mon billet du 28 octobre.