Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 38 subscribers
  • Views 5547 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SPAM Problem

jenZ
Hallo zusammen,

ich habe seit einigen Versionen das Problem, dass immer mehr Spam durch die Firewall kommt. Spam der ziemlich eindeutig als Spam erkennbar ist, z.B. ******, meine Nachbarin, Penis-Enlargement usw.
Wenn wir nicht hinter der Firewall noch ein TrendMicro Anti-Spam, Anti-Virus hätten, kämen die Mails direkt in den Posteingang.
Nun habe ich den Header der E-Mails untersucht und folgendes gefunden:

MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-CTCH-RefID: str=0001.0A0B0204.476A1107.00FF,ss=1,fgs=0
X-cff-SpamScore: 0(/)
X-cff-SpamReport: ----- ----- Message is unknown to the spam scanner.
X-cff-LastScanner: av

Spam Score 0?? Message is unknown to spam scanner?
Hier stimmt doch irgendetwas nicht. Letztes Wochenende habe ich unsere ASG320 komplett neu installiert (7.100) und kein Backup zurückgeholt, sondern alles Manuell wieder übernommen. Der Fehler ist leider geblieben. Einige andere Fehler sind zum Glück weg.

Vielleicht kennt ja jemand das Problem.

LG
Jens


This thread was automatically locked due to age.
  • 0
    Hallo Jens, 

    nutzt du POP3 oder SMTP?

    Wenn du SMTP nutzt, werden die email direkt in die ASG eingeliefert (Ist ASG der MX fuer deine Domain) oder werden diese von einem anderen Server zwischengespeichert (gequeued) wie zum Beispiel deinem ISP. 

    Die den V7.100 Spamfilter ist es wichtig das die ASG die Email direkt eingeliefert bekommt, da sie nicht mehr nach dem Inhalt der Email filtert sondern nach dem Verbreitungsweg bzw. der Reputation der Sender IP Adressen. 

    Deshalb versucht er die Sendene IP Adresse der Nachricht herauszufinden (TCP connect waehrend der SMTP Session sowie Received header parsing) und macht einen Digitalen Fingerabdruck der Email und schickt diesen an einen Zentralen Server welcher daraufhin zurueckgibt ob es sich um SPAM handelt oder nicht. 

    Wenn die IP adresse nicht stimmt, weil die Email von einem anderen Server zwischengesprichert wurde (wie von einem ISP oder Mailinglisten server) dann wird in der Anfrage die Falsche IP mitgeschickt was sich auf die erkennungsrate auswirken kann. 

    Da gibt es tuning moeglichkeiten, je nachdem was bei dir der Fall ist. 

    Gruss Gert
  • 0 in reply to Gert Hansen
    Hallo Gert,

    danke erstmal für die schnelle Antwort.
    Hier ist meine Konfiguration:
    Der MX Eintrag für die Domain ist weißt auf die externe IP Adresse der Leitung auf der Astaro und wird aufgelöst mit relay.unseredomain.de. Am SMTP habe ich AV mit beiden Scannern aktiviert. Als Anti Spam habe ich RBL, Heuristik, URL Check, Expression, BATV und SPF aktiviert. Die E-Mails werden an einen Front-End Exchange 2003 (fully patched) Server weitergeleitet, wo TrendMicro Scan erfolgt. Der schickt die E-Mail wiederum an einen Backend Exchange 2003 mit Kaspersky AV. Dann sind die E-Mails bei Client.
    Manche E-Mails werden auch durchaus als Spam erkannt, da der Quaratäne Ordner oft recht voll ist.

    Ich hoffe, die Infos helfen.

    Lieben Gruß
    Jens
  • 0 in reply to jenZ
    Also mein Problem besteht immer noch und leider konnte der Support mir (wieder mal) nicht weiter helfen. Wie immer wollten die nur ein Login auf meine Firewall haben, die ich nicht mehr geben kann, da beim letzten mal danach alles kaputt war und ich alles neu machen musste.
    Naja, man hat mir dann gesagt, ich sollte doch die E-Mails an spam@astaro.com senden. Das tue ich seit Tagen, aber daran kann es meiner Ansicht nach nicht liegen, denn die Mails sind EINDEUTIG Spam und es kommt immer eine Spam Score von 0 im Header raus. Nur unser TrendMicro Scanmail erkennt die Mails problemlos als Spam und verschiebt sie in den Junk Ordner.
    Es wäre schön, wenn mir irgendjemand helfen kann.
  • 0 in reply to jenZ
    Hi,
    also ich hab das gleiche Problem. 

    Hunderte von SPAM Mails rauschen täglich durch die Astaro mit:
    X-cff-SpamScore: 0(/)
    X-cff-SpamReport: ----- ----- Message is unknown to the spam scanner.


    und unser MX-Record ist direkt die IP der ASG!

    Das ist irgendwie nicht befriedigend....

    cu SveN
  • 0 in reply to SveN_01
    Hallo,

    bitte schickt mir jeweils ein paar (ca. 5-8) Samples zu, incl. kompletten Headern. Schreibt auch bitte dazu welche Domain es ist. Ich schau mir das dann mal genauer an [:)]

    An: tkistner@astaro-tech.com

    Danke!

    /tom
  • 0 in reply to tom_01
    Hi Tom, Email ist raus an Dich...
  • 0 in reply to SveN_01
    Also die Spamerkenung hat ab V 7.006 oder so (oder wars schon beim wechsel von 6 auf 7?) sehr stark nachgelassen.
    Habe einen Kunden, der betriebt eine weitere AntiSpamLösung nach Astaro um auf vernüftige Ergebnisse zu kommen.

    Beim anderen Kunden ist mir per Zufall aufgefallen, daß bei manchen Mails die X-cff Tags fehlen.
    Er hat Spams mit "Penis verlängerungen" im Betreff und im Header gibst keine X-cff Einträge.
    Oder es gibt beim Spam nur einen Eintrag:
    X-cff-LastScanner: av

    Beide Kunden haben den MX auf Astaro umgebogen.

    Die einzige Gemeinsamkeit bei den beiden Kunden ist:
    beide haben von V6 auf V7 auf der selben Machine upgedatet.

    Weiters Manko ist: es gibt keine Details wie der SpamScore zustande kommt

    Gregor Kemter
  • 0 in reply to gkemter
    Hi gkemter,
    gleiches Verhalten hier. Betreibe hinter der Astaro
    noch ein Spam Gateway damit das ganze akzeptabel
    bleibt. Tom hatte mir noch einen Hack für die
    ctasd.conf geschickt. Aber eine wirkliche Verbesserung
    war das auch nicht...

    cu SveN
  • 0 in reply to SveN_01
    Ich bin auch immernoch unzufrieden, aber bei Astaro hört man immer nur "It's not a bug, it's a feature". Das nervt langsam echt. Ich bin es inzwischen leid bei der Platinum Hotline anzurufen, da die Mitarbeiter dort das Problem gar nicht verstehen wollen. Und ohne Access auf die Maschinen machen die gar nichts. Aber Access bekommen die bei mir nicht mehr, nachdem sie die Astaro einmal abgeschossen haben und ich zwei Tage neu installieren musste.

    Man hat mir gesagt, ich solle alle Spams an spam@astaro.com schicken zur analyse. Hab ich aber inzwischen auch aufgegeben, weil es eh nichts bringt.

    Ich habe auch eine Anti-Spam Lösung auf unserem Exchange Server, damit es läuft. Die Mails, die die Astaro durchlässt sind ja mehr als eindeutig spam.
  • 0 in reply to jenZ
    Naja, die stetige Entwicklung zu einer EierlegendenWollMilchSau kann auch nicht gutgehen.....


    Gregor Kemter
Unfiltered HTML