This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Spamfilter filtert nicht mehr gut genug

Hallo,

unsere Anwender beklagen, dass sie in letzter Zeit vermehrt Spam-Mails im Postfach haben. Als Spamfilter sollte die Sophos UTM9 fungieren, bzw. sie tut das auch (gestern über 1300 geblockte Nachrichten), jedoch scheinbar nicht mehr so gut wie bisher.

 

"Empfohlene RBLs verwenden" ist angehakt, aber kann ich irgendwo sehen, ob das Aktualisieren der Listen funktioniert?

Zu den erweiterten Optionen:

 

X  Ungültige HELO/fehlende RDNS ablehnen
- Strikte RDNS-Prüfungen durchführen
X Greylisting verwenden
X BATV verwenden
X SPF-Prüfung durchführen 

Hat jemand eine Idee, an was das liegen könnte?



This thread was automatically locked due to age.
Parents
  • Strikte RDNS Prüfung aktivieren. Ist eine der effektivsten AS Methoden in der UTM.

    Solange Du nicht von Snowshoe Spam betroffen bist sollte das eigentlich spürbar helfen...

    Und RBL s sind keine Listen die geladen werden, sondern Echtzeit Lookups von öff. RBL Servern. Wenn Du im Mail Log oder Mail Manager rejectete Mails mit reason RBL hast, dann funktioniert das...NB: Der Liste noch 2-3 weitere RBL Server hinzuzufügen hat auch noch Niemandem geschadet

    Gruss Sascha

  • SaschaParis said:

    Strikte RDNS Prüfung aktivieren. Ist eine der effektivsten AS Methoden in der UTM.

    ...

    Vielleicht noch als Anmerkung:

    Die RFC selbst fordert n. m. Auffassung eigentlich nur, dass es sich um einen "Voll qualifizierten Hostnamen" handeln muss. Alle weitergehenden Prüfungen sind nicht vorgeschrieben und die damit verbundenen Bedingungen müssen nicht erfüllt sein. Sicher zeigt es von einem "guten" Setup, wenn der Name des Server im HELO-String auch per DNS auflösbar ist.

    Ggf. erzeugt man so jedoch false positives. Zumindest im Hinterkopf sollte man dies behalten.

    Best
    Alex

    -

  • Alex, the UTM's SMTP Proxy doesn't check on name resolution for the FQDN in the HELO string.  It does Forward-Confirmed rDNS to confirm that the FQDN returned by an rDNS query resolves to the sending IP.

    Felix and LA, it's difficult to make any other suggestions without seeing the data requested above.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • BAlfson said:
    Alex, the UTM's SMTP Proxy doesn't check on name resolution for the FQDN in the HELO string.  It does Forward-Confirmed rDNS to confirm that the FQDN returned by an rDNS query resolves to the sending IP.

    ...

    Bob, Danke für die Klarstellung. Aber ich denke, dass dieses ebenfalls für die rDNS Auflösung der Absender-IP gilt?

    Ich stimme ja zu, dass obwohl Reverse-Namen nicht unbedingt erforderlich sind, dieser Test auf eine unzuverlässige E-Mail-Quelle hindeuten kann. Trotzdem sollte irgendwie ein Hinweis in der UTM enthalten sein, so wie:

    Bitte bedenken Sie, dass die Aktivierung dieses Tests dazu führen kann, dass legitime E-Mails eventuell nicht zugestellt werden.

    Immerhin ist dieser Test doch auch nicht im Standard aktiv, oder?

    Alex

    -

  • I agree, Alex - I think there should be a suggestion during the first month after selecting 'Strict RDNS' to weekly check for rejections from desired senders:

    1. Open Mail Manager
    2. Select the 'SMTP Log' tab
    3. Double-click 'RDNS/HELO' to show just those lines
    4. Select 'Received date' to limit the selection to emails rejected since the log was last examined
    5. Select 'Show: all messages'
    6. Search (Ctrl-f) for the word invalid
    7. Add the desired sending IPs to an Exception for RDNS

    Is that what you had in mind?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

    Addendum: If you wanted a sorted list of the from addresses, the following gives the result for all "RDNS invalid" last month:

    zgrep '"RDNS invalid"' /var/log/smtp/2017/09/*|grep -oP 'from=".*?"'|sort -n|uniq -c|sort -n>/home/rdns_invalid-2017-09.txt

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • I agree, Alex - I think there should be a suggestion during the first month after selecting 'Strict RDNS' to weekly check for rejections from desired senders:

    1. Open Mail Manager
    2. Select the 'SMTP Log' tab
    3. Double-click 'RDNS/HELO' to show just those lines
    4. Select 'Received date' to limit the selection to emails rejected since the log was last examined
    5. Select 'Show: all messages'
    6. Search (Ctrl-f) for the word invalid
    7. Add the desired sending IPs to an Exception for RDNS

    Is that what you had in mind?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

    Addendum: If you wanted a sorted list of the from addresses, the following gives the result for all "RDNS invalid" last month:

    zgrep '"RDNS invalid"' /var/log/smtp/2017/09/*|grep -oP 'from=".*?"'|sort -n|uniq -c|sort -n>/home/rdns_invalid-2017-09.txt

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children