
<div dir="ltr"><div dir="ltr"><div dir="ltr">Hi Mark,<div><br></div><div>Thanks for your assistance!</div><div><br></div><div>I found two problems, one was my "Virus Names Which Are Spam" wasn't matching the correct virus reports, and then my "header MS_FOUND_SPAMVIRUS exists" didn't include my org-name, so even if it was matching the correct virus report, the header being added wouldn't have matched my spamassassin rule.</div><div><br></div><div>Thanks again!</div><div><br></div><div>Regards.</div><div>Neil Wilson. </div><div><br></div><div><br></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jan 21, 2019 at 7:17 PM Mark Sapiro <<a href="mailto:mark@msapiro.net">mark@msapiro.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 1/21/19 1:08 AM, Neil wrote:<br>

> Hi guys,<br>

> <br>

> Apologies in advance, I'm not sure if this is a question for MS, MW or<br>

> Sansecurity but I've just discovered that despite my Sansecurity sigs<br>

> picking up that this email was a spam email, it hasn't blocked it or<br>

> added points to the spam score as per the logs below...<br>

> <br>

> Jan 18 09:56:35 MailScanner[3219]: <br>

> Clamd::INFECTED::Sanesecurity.Phishing.Fake.Coin.27561.UNOFFICIAL ::<br>

> ./CAC9885AC.A3148/<br>

> Jan 18 09:56:35  MailScanner[3219]: Found spam-virus<br>

> Sanesecurity.Phishing.Fake.Coin.27561.UNOFFICIAL in CAC9885AC.A3148<br>

> Jan 18 09:56:35 MailScanner[3219]: Clamd::INFECTED::<br>

> Sanesecurity.Phishing.Fake.Coin.27561.UNOFFICIAL ::<br>

> ./CAC9885AC.A3148/msg-3219-52.txt<br>

> Jan 18 09:56:35 MailScanner[3219]: Found spam-virus<br>

> Sanesecurity.Phishing.Fake.Coin.27561.UNOFFICIAL in CAC9885AC.A3148<br>

<br>

<br>

Clamd has found Sanesecurity.Phishing.Fake.Coin.27561.UNOFFICIAL and<br>

MailScanner has identified it as a spam-virus because the name matched<br>

one of the configured "Virus Names Which Are Spam" pattern. See<br>

<<a href="https://www.mailscanner.info/MailScanner.conf.index.html#Virus%20Names%20Which%20Are%20Spam" rel="noreferrer" target="_blank">https://www.mailscanner.info/MailScanner.conf.index.html#Virus%20Names%20Which%20Are%20Spam</a>>.<br>

<br>

The next step is MailScanner adds the header defined by "Spam-Virus<br>

Header" to the message. The default for this is<br>

<br>

X-%org-name%-MailScanner-SpamVirus-Report:<br>

<br>

I.e. if org-name is "Example" the header added is<br>

<br>

X-Example-MailScanner-SpamVirus-Report:<br>

<br>

See<br>

<<a href="https://www.mailscanner.info/MailScanner.conf.index.html#Spam-Virus%20Header" rel="noreferrer" target="_blank">https://www.mailscanner.info/MailScanner.conf.index.html#Spam-Virus%20Header</a>><br>

<br>

The part you are missing is in SpamAssassin, you need something like<br>

<br>

header MS_FOUND_SPAMVIRUS exists:X-Example-MailScanner-SpamVirus-Report<br>

score  MS_FOUND_SPAMVIRUS 3.0<br>

<br>

Of course the actual name of the rule and the score are up to you.<br>

<br>

-- <br>

Mark Sapiro <<a href="mailto:mark@msapiro.net" target="_blank">mark@msapiro.net</a>>        The highway is for gamblers,<br>

San Francisco Bay Area, California    better use your sense - B. Dylan<br>

<br>

<br>

-- <br>

MailScanner mailing list<br>

<a href="mailto:mailscanner@lists.mailscanner.info" target="_blank">mailscanner@lists.mailscanner.info</a><br>

<a href="http://lists.mailscanner.info/mailman/listinfo/mailscanner" rel="noreferrer" target="_blank">http://lists.mailscanner.info/mailman/listinfo/mailscanner</a><br>

<br>

</blockquote></div>