SpamAssassin und lcsam SPF_PASS

Febas · 10. Dezember 2019

Wenn man SpamAssassin über LiveConfig bzw. lcsam läuft, so gibt es bei einer Prüfung kein „SPF_PASS“, auch wenn der SPF-Record der Domain korrekt ist.

Dadurch kommt es manchmal zu einer Fehlbewertung aufgrund "FORGED_SPF_HELO":

LiveConfig: 1.5
bei mail-tester.com SA: -0.2

Code

FORGED_SPF_HELO = __HELO_NOT_RDNS && SPF_HELO_PASS && !SPF_PASS

Beispiel-E-Mail:

Ausgabe von lcsam:

Code

lcsam[820]: 40.107.7.84: ACCEPT (ham 1.5/5.0/2.5 DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,FORGED_SPF_HELO,HTML_MESSAGE,RCVD_IN_DNSWL_NONE,SPF_HELO_PASS)

Bei aktiviertem Debug (über /etc/default/spamassassin) erhält man den Fehler:

Code

spamd[14886]: received-header: parsed as [ ip=40.107.1.83 rdns=mail-eopbgr40079.outbound.protection.outlook.com helo=EUR02-HE1-obe.outbound.protection.outlook.com by=mail.xxx.net ident= envfrom= intl=0 id=02C0B55B355 auth= msa=0 ]
...
spamd[14886]: spf: checking to see if the message has a Received-SPF header that we can use
spamd[14886]: spf: cannot get Envelope-From, cannot use SPF

envfrom hat keinen Wert. lcsam übergibt also wohl den Return-Path- / Envelope-Sender-Header nicht?

Prüft man nun die gleiche E-Mail manuell mit spamassassin -Dspf

Code

X-Spam-Status: No, score=-0.2 required=5.0 tests=DKIM_SIGNED,DKIM_VALID,
DKIM_VALID_AU,DKIM_VALID_EF,HTML_MESSAGE,RCVD_IN_DNSWL_NONE,
SPF_HELO_PASS,SPF_PASS autolearn=ham autolearn_force=no version=3.4.2


Nov 26 10:24:00.354 [3546] dbg: spf: checking to see if the message has a Received-SPF header that we can use
Nov 26 10:24:00.382 [3546] dbg: spf: using Mail::SPF for SPF checks
Nov 26 10:24:00.382 [3546] dbg: spf: checking EnvelopeFrom (helo=EUR02-HE1-obe.outbound.protection.outlook.com, ip=40.107.1.83, envfrom=business@xxx.org)
Nov 26 10:24:00.457 [3546] dbg: spf: query for business@xxx.org/40.107.1.83/EUR02-HE1-obe.outbound.protection.outlook.com: result: pass, comment: , text: Mechanism 'include:spf.protection.outlook.com' matched
Nov 26 10:24:00.459 [3546] dbg: spf: whitelist_from_spf: business@xxx.org is not in user's WHITELIST_FROM_SPF
Nov 26 10:24:00.670 [3546] dbg: spf: def_whitelist_from_spf: business@xxx.org is not in DEF_WHITELIST_FROM_SPF
Nov 26 10:24:00.673 [3546] dbg: spf: already checked for Received-SPF headers, proceeding with DNS based checks
Nov 26 10:24:00.673 [3546] dbg: spf: checking HELO (helo=EUR02-HE1-obe.outbound.protection.outlook.com, ip=40.107.1.83)
Nov 26 10:24:00.689 [3546] dbg: spf: query for business@xxx.org/40.107.1.83/EUR02-HE1-obe.outbound.protection.outlook.com: result: pass, comment: , text: Mechanism 'include:spf.protection.outlook.com' matched

Alles anzeigen

erscheint wie erhofft „SPF_PASS“ und envfrom mit dem gleichen Ergebnis wie bei mail-tester.

kk · 11. Dezember 2019

Interessant. Ich habe mir den betroffenen Code angesehen: lcsam reicht die eintreffende E-Mail komplett (also inkl. aller Header) an spamd weiter. Allerdings enthält die Mail vom Postfix zu diesem Zeitpunkt offenbar noch keinen "Return-Path:"-Header (mit dem Envelope-From).

Wir haben lcsam nun so angepasst, dass er den Envelope-From selber als Return-Path: an den spamd übergibt. In unseren Tests hat der SPF-Check somit geklappt.

Die Änderung ist bei GitHub bereits eingecheckt, in der kommenden Version 2.9.1 ist das dann auch berücksichtigt.

Viele Grüße

-Klaus Keppler

Febas · 11. Dezember 2019

Vielen Dank für die Fehlerbehebung.

Sonst ist es ja so, das Postfix den Return-Path nicht übergibt, wenn das Flag "-R" vergessen wird.

Jetzt mitmachen!