This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Block entire Top Level Domains in Email Protection : Anti-spam ?

I am getting an enormous amount of spam in user quarantines from a seemingly made up TLD. I used to get .xyz and now I get .science.

Of my 10680 mails in quarrintine, 4455 are from a .science domain

I would love it if someone would tell me how to block these since that are all junk.

I tried 
*@*.science
 under Email Protection : Anti-spam : Sender blacklist but it does not work.

It looks like each SPAM campaign has a different IP, domain, and sub-domain so the TLD is the only common factor. These never get caught by rDNS or RBLs and I would like to see them gone.

Here are some sample headers: 

Received: from prescout.quinter.science ([66.248.193.188]:49960) by 7552-5.UTM-server.com with esmtp (Exim 4.82_1-5b7a7c0-XX) (envelope-from ) id 1YzYdc-0005Qn-0p for mic@mydomain.com; Mon, 01 Jun 2015 18:56:56 -0400
Received: from 0035201d.prescout.quinter.science ([127.0.0.1]:4011 helo=prescout.quinter.science) by prescout.quinter.science with ESMTP id 00GP3520VA1D; for ; Mon, 1 Jun 2015 15:56:55 -0700
X-CTCH-RefID: str=0001.0A020203.556CE338.00C9,ss=3,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
Date: Mon, 1 Jun 2015 15:56:55 -0700
To: 
Message-ID: 

Received: from 2rqun09wm.lovechristian.science ([198.52.177.235]:50587) by 7552-5.UTM-server.com with esmtp (Exim 4.82_1-5b7a7c0-XX) (envelope-from ) id 1YzYS4-0004vz-0R for connie@mydomain.com; Mon, 01 Jun 2015 18:45:00 -0400
Received: from 00de1d46.2rqun09wm.lovechristian.science (amavisd, port 6523) by 2rqun09wm.lovechristian.science with ESMTP id 00PPATYDE1DVNNNY46; for ; Mon, 1 Jun 2015 15:44:56 -0700
X-CTCH-RefID: str=0001.0A020202.556CE038.0081,ss=3,sh,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
Message-ID: 
Envelope-to: connie@mydomain.com
Date: Mon, 1 Jun 2015 15:44:56 -0700
From: "ONLINE-DATING" 
Subject: ARE YOU-SINGLE?- CONSIDER THIS..
To: 
Content-Language: en-us


Will a REGEX work?

If so, can someone please post one?

Thanks.


This thread was automatically locked due to age.
Parents
  • I should have been more clear regarding the importance of my parenthetical comment regarding the UTM's support for DBL type lists.

    An example lookup would be "dig astaro.org.org.bl.yodbl.net"

    See more about DBLs at https://www.spamhaus.org/dbl/
  • Billybob,

    I am giong to open a case with Sophos. I will keep this thread updated as to what progress I make with your idea.

    teched, based on your latest reply I was able to get a response to a response to  a dig command based on the format suggested by you and https://www.spamhaus.org/faq/section/Spamhaus%20DBL

    The result is 127.0.1.2. A spam domain according to the FAQ so in theory a DBL works:
    [HTGs-Mac:~ user$] dig telaso.science.dbl.spamhaus.org
    

    ; <>> DiG 9.8.3-P1 <>> telaso.science.dbl.spamhaus.org
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER


    It also worked from the DBL you recommended with the .science TLD repeated twice:
    [HTGs-Mac:~ user$] dig telaso.science.science.bl.yodbl.net
    

    ; <>> DiG 9.8.3-P1 <>> telaso.science.science.bl.yodbl.net
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER


    This even worked with a wildcard on bl.yodbl.net but not dbl.spamhaus.org:
    [HTGs-Mac:~ user$] dig *.science.science.bl.yodbl.net
    

    ; <>> DiG 9.8.3-P1 <>> *.science.science.bl.yodbl.net
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER


    So the syntax for such a query to a DBL is now known and works correctly with a wildcard to get a 127.0.1.2 response with indicates an entire TLD is all spam, but now the bad news. According to spamhaus: 
    You must not put 'dbl.spamhaus.org' into any email server 'DNSBL' or 'RBLs' feature, spam firewall or spam filter unless it specifically states that blocklists entered there are used for domain checking only. If you are unsure, ask your spam filter developer. 


    This plus the response by Billybob: 
    I don't think teched solution would work. Astaro supports RBLs which essentially blacklist or whitelist an IP ,not domains as far as I know.


    Based on the above you must assume that it is not supported by Sophos and prohibited by dbl.spamhaus.org so perhaps bl.yodbl.net would frown on the practice as well.

    Just for fun, I have put 
    *.science.science.bl.yodbl.net
     into my RBL list just for some quick testing as I don't want to get banned from querying. I will watch the log and update the thread with my findings.

    If it works, great.

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

Reply
  • Billybob,

    I am giong to open a case with Sophos. I will keep this thread updated as to what progress I make with your idea.

    teched, based on your latest reply I was able to get a response to a response to  a dig command based on the format suggested by you and https://www.spamhaus.org/faq/section/Spamhaus%20DBL

    The result is 127.0.1.2. A spam domain according to the FAQ so in theory a DBL works:
    [HTGs-Mac:~ user$] dig telaso.science.dbl.spamhaus.org
    

    ; <>> DiG 9.8.3-P1 <>> telaso.science.dbl.spamhaus.org
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER


    It also worked from the DBL you recommended with the .science TLD repeated twice:
    [HTGs-Mac:~ user$] dig telaso.science.science.bl.yodbl.net
    

    ; <>> DiG 9.8.3-P1 <>> telaso.science.science.bl.yodbl.net
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER


    This even worked with a wildcard on bl.yodbl.net but not dbl.spamhaus.org:
    [HTGs-Mac:~ user$] dig *.science.science.bl.yodbl.net
    

    ; <>> DiG 9.8.3-P1 <>> *.science.science.bl.yodbl.net
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER


    So the syntax for such a query to a DBL is now known and works correctly with a wildcard to get a 127.0.1.2 response with indicates an entire TLD is all spam, but now the bad news. According to spamhaus: 
    You must not put 'dbl.spamhaus.org' into any email server 'DNSBL' or 'RBLs' feature, spam firewall or spam filter unless it specifically states that blocklists entered there are used for domain checking only. If you are unsure, ask your spam filter developer. 


    This plus the response by Billybob: 
    I don't think teched solution would work. Astaro supports RBLs which essentially blacklist or whitelist an IP ,not domains as far as I know.


    Based on the above you must assume that it is not supported by Sophos and prohibited by dbl.spamhaus.org so perhaps bl.yodbl.net would frown on the practice as well.

    Just for fun, I have put 
    *.science.science.bl.yodbl.net
     into my RBL list just for some quick testing as I don't want to get banned from querying. I will watch the log and update the thread with my findings.

    If it works, great.

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

Children
  • So I can confirm it does not work.

    Sophos UTM SMTP Proxy does not unnderstand *.science.science.bl.yodbl.net and without the wildcard it is not useful.

    This is from the log:
    2015:06:09-03:50:43 7552-5 exim-in[31174]: 2015-06-09 03:50:43 dnslists domain "*.science.science.bl.yodbl.net" contains strange characters - is this right?


    Going to start up up a support case tomorrow.

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

  • Already had a ticket open on this. It's a known bug.  I argued with the support guy over and over, telling him that it had worked in prior releases of UTM -- he finally admitted it had (I honestly don't think he knew that, he was new) after talking to others, and said it got broken at some point.

    You can reference our case 5157629 if you want.

    In our case it was the inability to block undesired email with a simple *.*.eu expression...

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • I just tested with 9.312 and it seems to be working again with simple *@domain.com. I assume it will work for any blacklists hopefully fingers crossed[:P]

    Edit: Nope *@*.tld is not working but specific email addresses can now be blocked. This more than likely broke my workaround also. Love it[:(]
  • I just tested with 9.312 and it seems to be working again with simple *@domain.com. I assume it will work for any blacklists hopefully fingers crossed[:P]

    Edit: Nope *@*.tld is not working but specific email addresses can now be blocked. This more than likely broke my workaround also. Love it[:(]


    Yes I meant to say that *@baddomain.tld does work correctly; the issue is that you can't block *.*.tld

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.