<div dir="ltr"><div dir="ltr"><div dir="ltr">Hi Mark,<div><br></div><div>Thanks for your assistance!</div><div><br></div><div>I found two problems, one was my "Virus Names Which Are Spam" wasn't matching the correct virus reports, and then my "header MS_FOUND_SPAMVIRUS exists" didn't include my org-name, so even if it was matching the correct virus report, the header being added wouldn't have matched my spamassassin rule.</div><div><br></div><div>Thanks again!</div><div><br></div><div>Regards.</div><div>Neil Wilson. </div><div><br></div><div><br></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jan 21, 2019 at 7:17 PM Mark Sapiro <<a href="mailto:mark@msapiro.net">mark@msapiro.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 1/21/19 1:08 AM, Neil wrote:<br>
> Hi guys,<br>
> <br>
> Apologies in advance, I'm not sure if this is a question for MS, MW or<br>
> Sansecurity but I've just discovered that despite my Sansecurity sigs<br>
> picking up that this email was a spam email, it hasn't blocked it or<br>
> added points to the spam score as per the logs below...<br>
> <br>
> Jan 18 09:56:35 MailScanner[3219]: <br>
> Clamd::INFECTED::Sanesecurity.Phishing.Fake.Coin.27561.UNOFFICIAL ::<br>
> ./CAC9885AC.A3148/<br>
> Jan 18 09:56:35  MailScanner[3219]: Found spam-virus<br>
> Sanesecurity.Phishing.Fake.Coin.27561.UNOFFICIAL in CAC9885AC.A3148<br>
> Jan 18 09:56:35 MailScanner[3219]: Clamd::INFECTED::<br>
> Sanesecurity.Phishing.Fake.Coin.27561.UNOFFICIAL ::<br>
> ./CAC9885AC.A3148/msg-3219-52.txt<br>
> Jan 18 09:56:35 MailScanner[3219]: Found spam-virus<br>
> Sanesecurity.Phishing.Fake.Coin.27561.UNOFFICIAL in CAC9885AC.A3148<br>
<br>
<br>
Clamd has found Sanesecurity.Phishing.Fake.Coin.27561.UNOFFICIAL and<br>
MailScanner has identified it as a spam-virus because the name matched<br>
one of the configured "Virus Names Which Are Spam" pattern. See<br>
<<a href="https://www.mailscanner.info/MailScanner.conf.index.html#Virus%20Names%20Which%20Are%20Spam" rel="noreferrer" target="_blank">https://www.mailscanner.info/MailScanner.conf.index.html#Virus%20Names%20Which%20Are%20Spam</a>>.<br>
<br>
The next step is MailScanner adds the header defined by "Spam-Virus<br>
Header" to the message. The default for this is<br>
<br>
X-%org-name%-MailScanner-SpamVirus-Report:<br>
<br>
I.e. if org-name is "Example" the header added is<br>
<br>
X-Example-MailScanner-SpamVirus-Report:<br>
<br>
See<br>
<<a href="https://www.mailscanner.info/MailScanner.conf.index.html#Spam-Virus%20Header" rel="noreferrer" target="_blank">https://www.mailscanner.info/MailScanner.conf.index.html#Spam-Virus%20Header</a>><br>
<br>
The part you are missing is in SpamAssassin, you need something like<br>
<br>
header MS_FOUND_SPAMVIRUS exists:X-Example-MailScanner-SpamVirus-Report<br>
score  MS_FOUND_SPAMVIRUS 3.0<br>
<br>
Of course the actual name of the rule and the score are up to you.<br>
<br>
-- <br>
Mark Sapiro <<a href="mailto:mark@msapiro.net" target="_blank">mark@msapiro.net</a>>        The highway is for gamblers,<br>
San Francisco Bay Area, California    better use your sense - B. Dylan<br>
<br>
<br>
-- <br>
MailScanner mailing list<br>
<a href="mailto:mailscanner@lists.mailscanner.info" target="_blank">mailscanner@lists.mailscanner.info</a><br>
<a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" rel="noreferrer" target="_blank">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a><br>
<br>
</blockquote></div>