Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 4 subscribers
  • Views 5040 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Quarantine report to old non existent email users

eripoll
Hi was hoping someone could point me in the right direction or provide some insite on this. basically our astaro is sending quarantine reports to non existant users, i found one thread on this which is here:
https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/20464 

they said to use the active directory filter for recipient checks, but we had that set and confirmed that it worked yet the quarantine report for non existent users are still coming. Of course since they user account is not there is gets Bounced by exchange since it knows not to accept bad emails, but what happens is the bounced emails go to the designated admin email address, so everyday there is a lot of bounce back email in the inbox folder. I have just put it back to "call out" to see what happens but is there anyway to make sure astaro isn't accepting bad email??

Thanks


This thread was automatically locked due to age.
  • 0
    I don't use AD it's a mailserver issue.  use callout instead of AD.  If that doesn't work check your mailserver from the astaro as noted in this post:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/56/t/49072

    This will make sure your mailserver actually rejects non-existent users outright instead of trying to "bounce" them.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Ok i waited a couple days and still same result with using call out instead of AD. Now before you so oh its your email server, the issue isnt getting email its why is astaro even attempting to give a quarantine report for an email address when its told its rejected in a callout. at that point shouldnt it not even attempt to generate an email. 
    When i email from my gmail account to a bogus email. I get succefully get a
    550 5.1.1 User unknown
    this means its doing it correctly the problem is astaro is still trying to create a quarantine report for the address. 

    i will try again to reboot it and put it back to Active directory, but if anyone has any instight that would be great, thanks.
  • 0
    did you do the test i linked to?  I'm going to say it's your mailserver until you properly eliminate your mail server.

    The best way to test for this is to telnet to your mail server from the ASG (via 
    ssh) and run the following:

    telnet mail.server.ip-or-name 25
    HELO any.full.hostname
    MAIL FROM: postmaster@some.domain.com
    RCPT TO: bad-name@your.domain.com

    If the response code is 250 for that command, then the mail server needs to be 
    configured to deny the message.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    mine passed an external test as yours did but it failed this test.  so go back to regular callout and run the test above.  Exchange is a gnarly beastie...so if you get a 250 response from a test at the astaro server then your mailserver isn't properly rejecting invalid e-mails.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    this is what i type in the SSH and get back

    HELO Firewall.***x.***x
    exchange server hello
    MAIL FROM: postmaster@***x.com
    250 sender ok
    RCPT TO: Blahblah@***.com
    550 5.1.1 user unknown
  • 0
    additional information looking at the logs the emails in question never actually hit the mail server the get filtered and rejected by either expression filter or SBL list list spamhaus. I looked at a few items they get rejected immediately and the few that make it to the Quarantine list are placed there by expression rules. Is it possible since its not attempting to communicate with the server its not being told that the user doesn't exist?
  • 0 in reply to eripoll
    this is what i type in the SSH and get back

    HELO Firewall.***x.***x
    exchange server hello
    MAIL FROM: postmaster@***x.com
    250 sender ok
    RCPT TO: Blahblah@***.com
    550 5.1.1 user unknown


    is that .com the external domain in AD that exchange serves?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to eripoll
    additional information looking at the logs the emails in question never actually hit the mail server the get filtered and rejected by either expression filter or SBL list list spamhaus. I looked at a few items they get rejected immediately and the few that make it to the Quarantine list are placed there by expression rules. Is it possible since its not attempting to communicate with the server its not being told that the user doesn't exist?
     You said the mail is being placed there by expression filters..take out the expression filters in question and try again.  I don't use AD callout..i use regular callout.  if you use AD collout every internal user has to have a matching external e-mail address or ad callout won't work at all.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Hello together,

    did u got a solution to this, because we migrated from Exchange 2007 to Exchange 2010 and we' re havin the exact same Problem.

    I did the steps above and sshed to our Astaro. Did a Telnet on Port 25 to our Internal Mailserver with an Mailbox that is non existent. (RCPT TO: bogus@domain.com) and got a 550 User Uknown.

    When I sent Mail to the same adress from outside our dmain, then i gets rejected. Problem is the same you had, when the mail for a non existent user is quarantined by the mail engine.

    At the defined time in the ASG, the Quarantine Reports are sent to all users, that have quarantined mail including the non existenst user.

    Using Normal Callout (no AD callout).

    Seems like the quarantine engine somehow ignores that it is sending to an non existent mailbox. Only happening with the quarantine reports.

    Thanks for help
Unfiltered HTML