
<div dir="ltr"><div><div>Ok, you really need to put a local DNS server on the MailScanner box, doesn&#39;t matter if the DNS resolver is next to the server in the switch port, DNS is actually quite heavy on network traffic and hitting this all the time makes a huge difference. It can forward to the current machine, but the time this saves is actually quite noticable.<br>

<br></div>that three seconds for the pass across seems very quick to me, esp as it&#39;s got all the DNS requests to process.I normally remove most of the RBL&#39;s from being scanned in Spamassassin by giving most of them a zero score (see <a class="" href="http://spamassassin.apache.org/dist/rules/50_scores.cf">50_scores.cf</a> in the DNSEval section). also make sure you&#39;re updating sa rules regularly. In fact its almost as if you&#39;ve got skip-rbl-checks set to 1 in a spamassassin .cf or mailscanner,conf file somewhere.<br>

<br></div>I&#39;d double check all the setup to make sure everythings OK, as it&#39;s really odd that you&#39;re getting DNS based hits in test mode but not in test mode. Check the MailScanner.conf setttings and any site MailScanner.conf, and also get rid of any .spamassassin dirs esp if there&#39;s anything in root&#39;s home dir (so i presume ther MTA is sendmail?) to make sure that isnt overriding any settings. Check you&#39;ve got one MailScanner.conf and not multiple ones, sometimes some distributions put the active file in &#39;non-standard&#39; places.<br>

<br><br></div><div class="gmail_extra"><br clear="all"><div>-- <br>Martin Hepworth, CISSP<br>Oxford, UK</div>

<br><br><div class="gmail_quote">On 15 June 2013 03:22, Duncan, Brian M. <span dir="ltr">&lt;<a href="mailto:brian.duncan@kattenlaw.com" target="_blank">brian.duncan@kattenlaw.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div link="blue" vlink="purple" lang="EN-US">

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">Thanks, yes I noticed that, they all do seem to be the DNS rules.  I do have a caching DNS server but it is on the local network.  I will try and see if the

 behavior changes at all by running one locally on the box itself.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">When you say “</span>that youre not timing out the network checks in sa too quickly”  I have not changed anything in the defaults of Mailscanner or included

 any directives that would lower whatever time limits are set by default.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I took a look at the last example I put on pastebin, and it looks like it took 3 seconds to go from my Mailscanner box to my next gateway. 

<u></u><u></u></p><div class="im">

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Received: from <a href="http://venus.kattenlaw.com" target="_blank">venus.kattenlaw.com</a> ([10.18.3.33]) by <a href="http://us.kmz.com" target="_blank">us.kmz.com</a><u></u><u></u></p>

</div><p class="MsoNormal"> ([10.18.16.181]) with ESMTP (TREND IMSS SMTP Service 7.1) id 8e3c2381002025b2<u></u><u></u></p>

<p class="MsoNormal"> ; Fri, 14 Jun 2013 14:01:09 -0500<u></u><u></u></p>

<p class="MsoNormal">Received: from <a href="http://a.loselit.net" target="_blank">a.loselit.net</a> (<a href="http://a.loselit.net" target="_blank">a.loselit.net</a> [66.96.254.156])    by<u></u><u></u></p>

<p class="MsoNormal"> <a href="http://venus.kattenlaw.com" target="_blank">venus.kattenlaw.com</a> (8.13.8/8.13.4) with ESMTP id r5EJ13oK014449       for<u></u><u></u></p>

<p class="MsoNormal"> &lt;<a href="mailto:brian.duncan@kmzr.com" target="_blank">brian.duncan@kmzr.com</a>&gt;; Fri, 14 Jun 2013 14:01:06 -0500<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I am assuming the 3 seconds going from my incoming mail server Venus, to the next hop in my environment includes the time it took for the Spammer to send me the message.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I also don’t see anything in my maillogs related to Spam Assassin timing out for anything.. I recall many years ago when we used to run systems with much less CPU power (10+) seeing Spam Assassin time outs.<u></u><u></u></p>


<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Which BTW, at the peak of activity today the lowest idle %idle was 91.00 and that is because I turned off caching of SpamAssassin in Mailscanner to see if that had any impact.<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">I also looked at the local caching DNS server that is on the same switch as this box, and it was peaking at like 30 Kilobytes per second on UDP 53 requests from anything that uses it locally according to iptraf.<u></u><u></u></p>


<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">It also seems to be these messages from the same Spammer, as I said before if I take any of these message bodies and send them in myself I seem to get the DNS Spam Assassin hits then.  

<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Really odd one..<u></u><u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Thanks for your help<u></u><u></u></p><div class="im">

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="font-size:10.0pt;font-family:&quot;Arial&quot;,&quot;sans-serif&quot;;color:#1f497d">BRIAN M. DUNCAN<br>

Data Security Administrator<br>

Katten Muchin Rosenman LLP<br>

525 W. Monroe Street / Chicago, IL 60661-3693<br>

p / (312) 577-8045 f / (312) 577-4490<br>

<a href="mailto:brian.duncan@kattenlaw.com" target="_blank">brian.duncan@kattenlaw.com</a> / <a href="http://www.kattenlaw.com" target="_blank">www.kattenlaw.com</a><br>

  </span><span style="font-size:11.0pt;font-family:&quot;Arial&quot;,&quot;sans-serif&quot;;color:#1f497d"><u></u><u></u></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"><u></u> <u></u></span></p>

</div><div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:&quot;Tahoma&quot;,&quot;sans-serif&quot;">From:</span></b><span style="font-size:10.0pt;font-family:&quot;Tahoma&quot;,&quot;sans-serif&quot;"> <a href="mailto:mailscanner-bounces@lists.mailscanner.info" target="_blank">mailscanner-bounces@lists.mailscanner.info</a> [mailto:<a href="mailto:mailscanner-bounces@lists.mailscanner.info" target="_blank">mailscanner-bounces@lists.mailscanner.info</a>]

<b>On Behalf Of </b>Martin Hepworth<br>

<b>Sent:</b> Friday, June 14, 2013 4:16 PM<br>

<b>To:</b> MailScanner discussion<br>

<b>Subject:</b> Certain Spamassassin rules do not seem to be firing all of the time<u></u><u></u></span></p>

</div><div><div class="h5">

<p class="MsoNormal"><u></u> <u></u></p>

<p class="MsoNormal">Hmm most if the extra rules youre hitting are dns based<u></u><u></u></p>

<div>

<p class="MsoNormal">I&#39;d check youre running a local caching dns server on the scanning box and that youre not timing out the network checks in sa too quickly<u></u><u></u></p>

</div>

<div>

<p class="MsoNormal"><u></u> <u></u></p>

</div>

<div>

<p class="MsoNormal">Martin<br>

<br>

On Friday, 14 June 2013, Duncan, Brian M. wrote:<u></u><u></u></p>

<div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">Here is one more that just came in to me and was not tagged as Spam:</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"><a href="http://pastebin.com/w8SJk660" target="_blank">http://pastebin.com/w8SJk660</a></span><u></u><u></u></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">Mailscanner/Spamassassin results:</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">X-MailScanner-SpamCheck: not spam, SpamAssassin (score=2.999, required 6.5,</span><u></u><u></u></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">                BAYES_60 3.00, RP_MATCHES_RCVD -0.00)</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">--test-mode results:</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">Content analysis details:   (10.5 hits, 6.5 required)</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> 6.6 BAYES_99               BODY: Bayes spam probability is 99 to 100%</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">                            [score: 1.0000]</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">-0.0 RP_MATCHES_RCVD        Envelope sender domain matches handover relay domain</span><u></u><u></u></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> 2.5 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">                            above 50%</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">                            [cf: 100]</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> 8.5 RAZOR2_CHECK           Listed in Razor2 (<a href="http://razor.sf.net/" target="_blank">http://razor.sf.net/</a>)</span><u></u><u></u></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> 0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">                            [cf: 100]</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">-7.5 AWL                    AWL: From: address is in the auto white-list</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> </span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d">------ End of SpamAssassin results, Original message follows --------</span><u></u><u></u></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:&quot;Calibri&quot;,&quot;sans-serif&quot;;color:#1f497d"> </span><u></u><u></u></p>

</div>

</div>

<table border="0" cellpadding="0">

<tbody>

<tr>

<td style="background:white;padding:.75pt .75pt .75pt .75pt">

<pre><span style>===========================================================<u></u><u></u></span></pre>

<pre><span style>CIRCULAR 230 DISCLOSURE: Pursuant to Regulations Governing Practice Before the Internal Revenue<u></u><u></u></span></pre>

<pre><span style>Service, any tax advice contained herein is not intended or written to be used and cannot be used<u></u><u></u></span></pre>

<pre><span style>by a taxpayer for the purpose of avoiding tax penalties that may be imposed on the taxpayer.<u></u><u></u></span></pre>

<pre><span style>===========================================================<u></u><u></u></span></pre>

<pre><span style>CONFIDENTIALITY NOTICE:<u></u><u></u></span></pre>

<pre><span style>This electronic mail message and any attached files contain information intended for the exclusive<u></u><u></u></span></pre>

<pre><span style>use of the individual or entity to whom it is addressed and may contain information that is<u></u><u></u></span></pre>

<pre><span style>proprietary, privileged, confidential and/or exempt from disclosure under applicable law.  If you<u></u><u></u></span></pre>

<pre><span style>are not the intended recipient, you are hereby notified that any viewing, copying, disclosure or <u></u><u></u></span></pre>

<pre><span style>distribution of this information may be subject to legal restriction or sanction.  Please notify<u></u><u></u></span></pre>

<pre><span style>the sender, by electronic mail or telephone, of any unintended recipients and delete the original <u></u><u></u></span></pre>

<pre><span style>message without making any copies.<u></u><u></u></span></pre>

<pre><span style>===========================================================<u></u><u></u></span></pre>

<pre><span style>NOTIFICATION:  Katten Muchin Rosenman LLP is an Illinois limited liability partnership that has<u></u><u></u></span></pre>

<pre><span style>elected to be governed by the Illinois Uniform Partnership Act (1997).<u></u><u></u></span></pre>

<pre><span style>===========================================================<u></u><u></u></span></pre>

</td>

</tr>

</tbody>

</table>

</div>

<p class="MsoNormal"><br>

<br>

-- <br>

-- <br>

Martin Hepworth, CISSP<br>

Oxford, UK<u></u><u></u></p>

</div></div></div>

</div>


<br>--<br>

MailScanner mailing list<br>

<a href="mailto:mailscanner@lists.mailscanner.info">mailscanner@lists.mailscanner.info</a><br>

<a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" target="_blank">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a><br>

<br>

Before posting, read <a href="http://wiki.mailscanner.info/posting" target="_blank">http://wiki.mailscanner.info/posting</a><br>

<br>

Support MailScanner development - buy the book off the website!<br>

<br></blockquote></div><br></div>