Too Much Obvious Spam, What Can Be Done?

Hi

What anti-spam features do you have turned on?

Regards,
Michael

Can you explain what you mean by features? I have nothing on the PureMessage dashboard that says anything about specific features...

If I'm guess at what you are referring to you...

Under the Anti-Spam section (PureMessage Server Group -> Configuration -> Transport (SMTP) scanning policy -> Anti-Spam) we have Inbound Messages setup to DELETE On Spam and Quarantine On Suspected Spam. 

Under the Change anti-spam settings, we have spam set to 85, suspected spam set to 60. Each of the checkboxes are checked.

Again, I don't see anything referring to "features" so I apologize if I don't quite understand what you are referring to.

Maybe this is the wrong forum. This one is just for Sophos UTM (former Astaro Security Gateway (ASG)). PureMessage is a different product.

Regards
Manfred

We have this product: Sophos Complete Security Suit

I guess that is different from the Sophos UTM. Sorry for the confusion... not surprising... posting in a PureMessage forum has not yielded a single response.

Hi, Clayton, and welcome to the User BB!  If you're still here, you can get rid of those in 10 days.

I think you will find the same things with most Anti-Spam.  With the possible exception of the Telephone Systems message, those all look like messages where someone has opted-in to a list.  Just ask people to start opting out of those lists.  There are usually two links to follow - one for the specific emailer and another for the master list that he has copied.  Also, remind people to not use their work email for shopping, etc.

Cheers - Bob

Bob, 

I get 30 or so of these emails a day... and I never opted into any list. Not only that... but did all 80+ employees opt into the same list? I don't think so. I wish it were that simple. Unfortunately, it's going to take more than just opting out of a list.

Thanks,
Clay

Clay, I looked a little more closely.  This looks like the handiwork of the Russian Mafia.  Each of those domains was registered yesterday at eNom using their WhoisPrivacyProtect service.  It appears that the MX records all relate to servers in Bulgaria.

There are several things you can do if you want to help get rid of them.  Rather than clicking on any of the links, I would copy them to a browser in a sandbox (Sandboxie is free).

For one example of each:
[LIST=1]Report these spams to Sophos Labs.

• Start the Web Filtering Live Log, put your IP into the Filter box at the top and hit enter.
  
• Copy the URL (there are probably numerous copies of the same one) into your sandbox and go to the web page.  It's likely that you will be redirected to the real webpage of the criminals.
  
• Using a tool like CentralOps.net, look up the domain Whois of the FQDN in the original URL to get its IP and to confirm that it's a domain that was not registered recently.
  
• Do the same for the FQDN of the criminal site.
  
• Copy the headers of the email, forward the email to abuse@enom.com (and others as below) and copy the headers above the contents of the email.  I like to put -----Headers----- above them.
  
• Add in the 'To:' field abuse@whoisprivacyprotect.com and the network abuse@ addresses found in 4 and 5 above.
  
• At the top of your email, request that eNom and WhoisPrivacyProtect suspend the domain and privacy for the registrant in 5.
  
• Below that, add the IP addresses found in 4 and 5 so that their abuse systems don't reject your email.
  
• Find the originating IP of the email in the header and use the tool in 4 to find the abuse address for it and add it to the 'To:' field.
  
• Find the IP of the server from which your UTM received the spam, repeat 10 with it and send.

[/LIST]
Do this every morning for new domains.  Within a week, the spams will stop and they will be forced to move from eNom - killing their privacy and time/investment in domain names is what stops them.

Cheers - Bob
PS Here's a pic of one I reported in March.  As you can see, swissmail.org's server didn't add the originating IP to the header, and there were two hops before I got to the criminal site.  Even though the Chinese registrar didn't take the action I requested, the site is now without an IP.

I guess my issue is... this is what I purchased the Sophos product for... I shouldn't have to be doing this manually.

PureMessage should be stopping these messages, as they are clearly SPAM. If not the domains, then at least the content.

I'm attempting to get a hold of Sophos for now. Appreciate the feedback, thanks for the time you put in.

Step 1 is very easy and takes almost no time at all, Clay.  That's the easiest way to get their patterns into the system.  It doesn't punish the criminals, but it does force them to invest in testing new emails to avoid being rejected.

Cheers - Bob