This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SPAM Release not working

Good Morning Colleagues,

I have configured Mail Security on my SOHO ASGv7.5 (firmware 7.500) box and have run into a problem.[:S]

The Spam filtering is working, however, mails that end up in Quarantine cannot be released.[:(]
I have searched this forum, tried every suggestions and the Release function is not working.

I select a mail marked as spam, then select "Release as False positive", nothing happens. The mail is still in quarantine.
If I select the checkbox and "Release" or "Release and report as false positive", then GO. The checkbox is cleared but the mail remains in quarantine.

I have defined a Rule:

  SRC: Internal Network (i.e., 192.168.1.0/24)
  Port: 3840:4840 (Astaro Spam Release)
  DST: 192.168.1.1 (ASG Address)

The "Live Log" shows that the connection is allowed, but nothing happens.

I've checked the Knowledge Base, "USER Spam release not working". It mentions using URL: http://ip:3840/release.pl?. I tried this and the page says "Connection Failure." I log onto  the FW and did a search for release.pl, this file does not exist on the firewall.


This thread was automatically locked due to age.
  • I'm back again.

    I try to connect to the UserPortal using https://asgv7-ip and receive 'The connection has timed out.'

    Connecting to the WebAdmin on port 4444 works without a problem. Please see the pictures.

    https.JPG

    3840.jpg

    In the httpd-spam.conf file, I changed the ServerAdmin to my email address. This did not correct the problem either.

    spam.conf.JPG

    Everything that should be set, according to the documentation, has been done.
  • What do you have on the 'Global' tab of 'Management >> User Portal'? 

    I'm confused by your packet filter rule; all traffic from 'Internal (Network)' to 'Internal (Address)' is allowed by default as it does not transit the Astaro.

    From the 7.5 Users' Manual concerning the 'Advanced' tab in 'Mail Security >> POP3':
    POP3 Servers: Specify the POP3 servers that are used in your network or by your end-users.
    If no POP3 server is specified and a mail gets caught by the proxy, the proxy replaces the mail with a notification to the recipient right away in the same connection stating that the mail has been quarantined. The quarantined mail can be viewed in Mail Manager, but is not associated to a server or account and therefore cannot be released in a later connection. Generally, releasing of e-mails from quarantine does only work for prefetched messages. 

    There are two scenarios: 

    • If POP3 server(s) are given and prefetching is disabled, the proxy keeps track which quarantined mails belong to which server/account. Thus, quarantined mail can be released when the client polls the mailbox next time. For this to work, the proxy has to savely identify which ip addresses belong to which server (by their FQDN which you have entered in your mail client). 
    • If POP3 server(s) are given and prefetching is enabled, the POP3 proxy periodically checks the POP3 server(s) for new messages. If a new message has arrived, it will be copied to the POP3 proxy, scanned and stored into a database on the security system. The message remains on the POP3 server. When a client tries to fetch new messages, it communicates with the POP3 proxy instead and only retrieves messages from this database.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    you are right about the ruleset[:$]. I realized that it didn't make any sense and deleted it. It was implemented so I could see if the connection was being made over the firewall.

    After that wasn't successful, I went back through the User Portal configuration to make sure everything was working properly.

    Here are the Global settings and the new error message that I am getting.

    UP-error.jpg

    UP-Global.jpg
  • Log entries.

    This what I am seeing in my httpd.log:

    2009:10:29-14:18:44 JMFASGV7 httpd: 192.168.1.110 - - [29/Oct/2009:14:18:44 +0100] "GET /core/img/throbber_still.gif HTTP/1.1" 304 -
    2009:10:29-14:18:44 JMFASGV7 httpd: 192.168.1.110 - - [29/Oct/2009:14:18:44 +0100] "GET /core/img/throbber_active.gif HTTP/1.1" 304 -
    2009:10:29-14:18:44 JMFASGV7 httpd: 192.168.1.110 - - [29/Oct/2009:14:18:44 +0100] "GET /core/img/topbar_left.gif HTTP/1.1" 304 -
    2009:10:29-14:18:44 JMFASGV7 httpd: 192.168.1.110 - - [29/Oct/2009:14:18:44 +0100] "GET /core/img/topbar_center.gif HTTP/1.1" 304 -
    2009:10:29-14:18:44 JMFASGV7 httpd: 192.168.1.110 - - [29/Oct/2009:14:18:44 +0100] "GET /core/img/blank1x1.gif HTTP/1.1" 304 -
    2009:10:29-14:18:45 JMFASGV7 httpd: 192.168.1.110 - - [29/Oct/2009:14:18:44 +0100] "POST /index.plx HTTP/1.1" 200 913
    2009:10:29-14:18:45 JMFASGV7 httpd: 192.168.1.110 - - [29/Oct/2009:14:18:45 +0100] "GET /core/img/login_bg.png HTTP/1.1" 304 -
    2009:10:29-14:18:45 JMFASGV7 httpd[11671]: [error] [client 127.0.0.1] access to /var/webadmin/ failed, reason: SSL connection required
    2009:10:29-14:18:45 JMFASGV7 httpd: 127.0.0.1 - - [29/Oct/2009:14:18:45 +0100] "GET /" 403 -
    2009:10:29-14:18:46 JMFASGV7 httpd[11673]: [error] [client 127.0.0.1] access to /var/webadmin/ failed, reason: SSL connection required
    2009:10:29-14:18:46 JMFASGV7 httpd: 127.0.0.1 - - [29/Oct/2009:14:18:46 +0100] "GET /" 403 -
    2009:10:29-14:18:51 JMFASGV7 httpd[11674]: [error] [client 127.0.0.1] access to /var/webadmin/ failed, reason: SSL connection required
    2009:10:29-14:18:51 JMFASGV7 httpd: 127.0.0.1 - - [29/Oct/2009:14:18:51 +0100] "GET /" 403 -
    2009:10:29-14:18:52 JMFASGV7 httpd[11672]: [error] [client 127.0.0.1] access to /var/webadmin/ failed, reason: SSL connection required
    2009:10:29-14:18:52 JMFASGV7 httpd: 127.0.0.1 - - [29/Oct/2009:14:18:52 +0100] "GET /" 403 -
    2009:10:29-14:18:53 JMFASGV7 httpd[11667]: [error] [client 127.0.0.1] access to /var/webadmin/ failed, reason: SSL connection required
    2009:10:29-14:18:53 JMFASGV7 httpd: 127.0.0.1 - - [29/Oct/2009:14:18:53 +0100] "GET /" 403 -
    2009:10:29-14:18:54 JMFASGV7 httpd[11661]: [error] [client 127.0.0.1] access to /var/webadmin/ failed, reason: SSL connection required
    2009:10:29-14:18:54 JMFASGV7 httpd: 127.0.0.1 - - [29/Oct/2009:14:18:54 +0100] "GET /" 403 -
    2009:10:29-14:18:55 JMFASGV7 httpd[11668]: [error] [client 127.0.0.1] access to /var/webadmin/ failed, reason: SSL connection required
    2009:10:29-14:18:55 JMFASGV7 httpd: 127.0.0.1 - - [29/Oct/2009:14:18:55 +0100] "GET /" 403 -
    2009:10:29-14:18:56 JMFASGV7 httpd[11429]: [error] [client 127.0.0.1] access to /var/webadmin/ failed, reason: SSL connection required
    2009:10:29-14:18:56 JMFASGV7 httpd: 127.0.0.1 - - [29/Oct/2009:14:18:56 +0100] "GET /" 403 -

    In IE, I get the logon for the User Portal and then the perl error. Firefox only gives me the perl error.

    Why am I getting an "SSL connection required." message for 127.0.0.1 (localhost)?[:S]

    I guess this will require more brain cells (it's probably something real simple:eek[:)].


    The server certificate is loaded in both browsers
  • You have to enter in the User Portal the IDENTICAL email address as the one used in your email client.

    Can you show a pic of the 'Advanced' tab in POP3 (I assumed you were using the POP3 Proxy, if not, then let's start over!).

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Here is the screenshot; however, I am not able to get the portal page to load in my browser.

    Did I miss something in the documentation?!?![:S] I don't recall seeing anything about logging on with the email address. I could be wrong, so in the meantime I will go through the documentation again.

    Thank you.
  • Good Morning,

    After a long and frustrating troubleshooting session[[:(]], I decided to do a factory reset.

    1. Did a backup of the configuration.
    2. Started factory reset from WebAdmin
    3. Configured only the basics.

    eth0 and eth1

    assigned dhcp to internal interface

    configured POP3 proxy

    configured User Portal
    4. Generated new backup of configuration

    This time the User Portal is displayed for logon without problems[:)]. I was able to successfully logon to the User Portal; however, do not see list of mails to release [[:(]](see snapshot) Yes, I have received a spam mail since reconfiguration.


    It appears the errors that I was getting have been removed with the factory reset. I will reload the last configuration file before the factory reset. Then do some more testing.

    Regards/grüß

    Jasper

  • As you have discovered, the factory reset deletes all logs, reports, quarantined emails, etc.  These items are not included in the configuration backup.

    Do the links in the quarantine email allow you to release quarantined emails?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • As you have discovered, the factory reset deletes all logs, reports, quarantined emails, etc.  These items are not included in the configuration backup.

    Do the links in the quarantine email allow you to release quarantined emails?

    Cheers - Bob


    Hi Bob,

    I see you're up early?

    I kind of suspected this would happen[8-)]. That is why I made a backup of the configuration before the reset.

    The User Portal is showing the different options now[:)]. The snapshot that I sent was in error. I was a little ahead of myself and didnot enter the pop3 mail servers from my providers. Now that I have corrected that mistake, and entered the different mail accounts, everything appears to be okay. 

    I notice in the Mail Manager, there are two mails that are marked as spam, but they donot show up in User Portal. Is this because the mails were fetched prior to getting everything completely configured? Anyway, I am pretty sure that a few more spams will be seen today. I will keep you posted.

    During the next few days I will perform some more tests. Then I believe next week I can bring this little project to an end.

    Regards/grüß
    Jasper
  • Good morning,

    I apologize for not getting back to  you all sooner, working on other problems [:S].

    Releasing of mail and access to the user portal is working. 

    After the factory reset, I manually re-entered my rule sets, configured the user portal and everything is working fine.

    As a test, I imported the last configuration save before the default reset. When I tried to configure the user portal, I ran into the same problem. No access to user portal and mail could not be released from through the mail manager.

    So, I loaded the configuration that was saved after the default reset and everything works fine.

    Therefore, I have to assume that the configuration before the default reset had problems. Unfortunately, there is no easy way to compare the saved files to see what the differences are.

    So, now I am entering all configuration information and rules in a spreadsheet. This way, I will have a record of what changes are being made.

    I was experimenting with various configurations and that's how I ended up with the problem.

    The Email Manager  is a great idea [:)], now my families mail box are filled with spam.

    Thanks to all helpers and commenters.

    Regards
    Jasper