ctasd reports 'Confirmed'

Paul, your friend's emails are 'confirmed' spam.  If they are all different and innocuous, it seems reasonable that they are being blocked either because his source IP is blacklisted, because he's sending SMTP from home and you've checked 'Block dialup/residential hosts' or his "server" isn't properly configured for the RDNS/HELO check.

You can see the first reason the Astaro found to reject the emails on the 'SMTP Log' tab of the 'Mail Manager'.

Cheers - Bob

Hi,

actually ctasd connects to commtouch and checks for their SPAM-score. You can get more information here

Cheers,
budy

Cool, thanks, budy!  Is that the only function of ctasd - to get the reputation of the sending IP?

Cheers - Bob

As far as I understood - yes, but I will request more in-depth information about that.
Actually commtouch also maintaines a real-time outbreak monitor - really neat. [:D]

Just visit www.commtouch.com and take a look.

Cheers,
budy

yes, I had found that commtouch story meanwhile also, but not yet that
reputation check link, thanks for that, budy.

BAlfson: RDNS/HELO produce different messages in SMTP log, so
that was not the reason.

but that ctasd is asked after passing the blacklist checks.

So I informed my partner about his problem with his commtouch reputation.

so thanks to both of you.

cu

Paul.

Several years old but, *bump*?

Has anyone been able to figure out how to decipher that ctasd output? As it is, it's amazingly unhelpful.

Eg,
... exim-in[25872]: 2013-09-05 11:03:42 1VHduA-0006jI-0g ctasd reports 'Confirmed' RefID:str=0001.0A020201.5228C77E.0201:SCFMA22625715,ss=1,re=-4.000,recu=0.000,reip=0.000,pt=R_352800,cl=4,cld=1,fgs=1024
... exim-in[25872]: 2013-09-05 11:03:42 1VHduA-0006jI-0g id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="74.125.82.174" from="***" to="***" subject="X is waiting for you to see her post on your timeline" queueid="1VHduA-0006jI-0g" size="13873" reason="as" extra="confirmed"

Pulling this message up in the Mail Manager and double clicking on the message shows nothing.
Pulling up the full SMTP log and checking at that timestamp shows that, and another message that says Rejected After DATA but I suspect that rejection is because ctasd thought that the email was 'confirmed spam' when it most isn't.  Well, unless you count Facebook email as spam, and I do, but I need this message for archival purposes and most people wouldn't count Facebook as spam.

I have reviewed all of my spam settings.  None are configured to explicitly block this sender.  In fact, this is one of several emails most of which were delivered, this 1 email was not. It was bounced with 550 Administrator Prohibited, which is what sent me searching through the SMTP logs on the UTM to begin with.  After identifying the message I can see the reason it's blocked is because ctasd reports it as 'confirmed spam'.  

But why?  What does that cryptic output from ctasd mean???

I've given up on the first part, but what is ss in the "ss=1" portion?  What about the "re" section? And "recu", "reip", and "pt"? What are those?

I've asked Sophos Support but frontline couldn't tell me. I haven't escalated a case to press the issue yet, I wanted to try searching myself and asking the community first. 

Has anyone figured this out?

RefID:str=0001.0A020201.5228C77E.0201:SCFMA2262571 5,ss=1,re=-4.000,recu=0.000,reip=0.000,pt=R_352800,cl=4,cld=1 ,fgs=1024

I don't know the details, but, after looking a a bunch of these over the last few years, I believe that this "signature" is a near-match for known spam.  The only way to report  false positives is from the 'SMTP Quarantine' tab.  In this case, the email was rejected, so I don't know of a way to submit the signature as one that's not spam.

Another member here recently reported outbound "confirmed spam" rejections when the users were in some other wireless networks when sending the email.

Hopefully, one of the devs will see this...

Cheers - Bob