Bug 6035 - URIBL False positive
Summary: URIBL False positive
Status: RESOLVED FIXED
Alias: None
Product: Spamassassin
Classification: Unclassified
Component: Plugins (show other bugs)
Version: 3.2.4
Hardware: PC Linux
: P3 major
Target Milestone: Undefined
Assignee: SpamAssassin Developer Mailing List
URL:
Whiteboard:
Keywords:
Depends on:
Blocks:
 
Reported: 2008-12-22 03:45 UTC by lolo_kea
Modified: 2008-12-22 05:17 UTC (History)
1 user (show)


Attachment Type Modified Status Actions Submitter/CLA Status
Original email text/plain None lolo_kea [NoCLA]
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description lolo_kea 2008-12-22 03:45:24 UTC 
Created attachment 4408 [details]
Original email

I get randomly a false positive on URIBL_BLACK, GREY and RED on our domain isosel.fr (and several other domains), which aren't in the URIBL list.

Below is the smapassassin report after analysis.
See attached the original email.

I don't know why I get such false positive.

Regards,
  Laurent Blin

------------------ Début de Rapport SpamAssassin ---------------------
Ce message est probablement du SPAM (message non sollicité envoyé en
masse, publicité, escroquerie...).

Cette notice a été ajoutée par le système d'analyse "SpamAssassin" sur
votre serveur de courrier "webmail.isosel.int", pour vous
aider à identifier ce type de messages.

Le système SpamAssassin ajoute un en-tête "X-Spam-Flag: YES" aux
messages qu'il considère comme étant probablement du Spam.
Vous pouvez si vous le souhaitez utiliser cette caractéristique
pour régler un filtre dans votre logiciel de lecture de courrier,
afin de détruire ou de classer à part ce type de message.

Si ce robot a classifié incorrectement un message qui vous était
destiné, ou pour toute question, veuillez contacter l'administrateur
du système par e-mail à the administrator of that system .

Voir http://spamassassin.apache.org/tag/ pour plus de détails (en anglais).

Détails de l'analyse du message:   (5.6 points, 5.0 requis)
 0.0 URIBL_RED              Contains an URL listed in the URIBL redlist
                            [URIs: isosel.fr]
 0.2 URIBL_GREY             Contains an URL listed in the URIBL greylist
                            [URIs: isosel.fr]
 2.0 URIBL_BLACK            Contains an URL listed in the URIBL blacklist
                            [URIs: isosel.fr]
 2.2 HTML_IMAGE_ONLY_12     BODY: HTML contient images avec 1000 à 1200 octets
                             de texte
 0.0 HTML_MESSAGE           BODY: HTML inclus dans le message
 1.7 MIME_HTML_ONLY         BODY: Le message possède uniquement des parties MIME
                            text/html
 0.1 RDNS_NONE              Delivered to trusted network by a host with no rDNS
-0.6 AWL                    AWL: From: address is in the auto white-list

-------------------- Fin de Rapport SpamAssassin ---------------------

Le message original n'étant pas au format text brut, il est peut-être
dangereux de l'ouvrir avec votre logiciel e-mail ; en particulier il
pourrait contenir un virus, ou confirmer à l'expéditeur que votre
adresse e-mail est active, et peut recevoir du spam. Si vous voulez
lire ce message, et n'êtes pas certain de la sécurité de votre logiciel
e-mail, il est plus prudent d'enregistrer ce message sur votre disque
dur, et de l'afficher ensuite avec un éditeur de texte.




Sujet :
Mail de test
De :
Laurent Blin <l.blin@isosel.fr>
Date :
Mon, 22 Dec 2008 12:38:42 +0100
Pour :
l.blin@isosel.fr

Bonjour,

Ceci est un test.

Cordialement,
  Laurent Blin
Comment 1 Steve Freegard 2008-12-22 04:26:04 UTC 
(In reply to comment #0)
> I get randomly a false positive on URIBL_BLACK, GREY and RED on our domain
> isosel.fr (and several other domains), which aren't in the URIBL list.
> 
> Below is the smapassassin report after analysis.
> See attached the original email.
> 
> I don't know why I get such false positive.


Most likely - your nameserver has been blocked by URIBL for excessive query traffic.

Run the following command:

host -t TXT 2.0.0.127.multi.uribl.com

And it will tell you if you are blocked or not and tell you which nameserver IP address is blocked.

If you are using your providers or ISPs DNS server, then install a local caching-nameserver instead and it will start working again.

Otherwise - you'll either need to pay for a datafeed from URIBL or disable the rules in SpamAssassin that query URIBL.

Regards,
Steve.
Comment 2 lolo_kea 2008-12-22 05:17:02 UTC 
Perfect. It works. Thanks a lot for your help.

Regards,
  Laurent Blin