Spam Filter blocking Out Of Office

Hi, stroppyjoe, and welcome to the User BB!

If these are outbound emails, the quickest would be to create an Exception for 'Anti-spam checking' and 'Expression blocking' for emails coming from your mailserver.  If not, ...

In the SMTP log, find the lines related to one of the quarantined emails, and post them here.  Depending on the volumes you receive, I would expect this to be about a half-dozen lines within a goup of less thn 20 lines.  Go ahead and post the intervening lines along with the relevant ones.  Please change any of your usernames and your domain name to keep them secret.

Then, while waiting on a response here, check through your anti-spam page to see if there's anything there that might cause this issue.

Cheers - Bob

Hi Bob,

Cheers for the feedback, disabling anti-spam checking for my Internal Email Server fixed the OutBound Out of Office as suggested. I've attached an image of the SMTP log file (with the email addresses blacked out) of the inbound Out of Office emails that are being marked as spam. From the log I can see that they are being marked as Spam but not too sure why. The only exceptions I have configured are for ebay emails which kept getting marked as spam and now our internal mail Server. I have nothing configured in the Expression filter or anywhere else. I also have the Reject invalid HELO/missing RDNS (not strict) and the Greylisting,BATV and SPF advanced anti-spam features ticked. It pretty much is a default install with 2 exceptions.

I actually meant the SMTP log file in the 'Logging & Reporting' section.  The log in the Mail Manager is very useful for a quick overview, but the details are in the logfile.  At least we know that it's not 'Expression Blocking' that's causing them to be quarantined.

Cheers - Bob

Hi Bob,

Sorry, my bad. Here is the Out of Office extracts from the actual SMTP log. I've change the logs so that my domain is now @mydomain.com and the remote domains are now @remotedomain.com:-

<>mydomain.local> [InternalId=5349439] Qu"
2012:08:22-16:02:12 SophosUTM exim-out[12062]: 2012-08-22 16:02:12 1T4CRe-00038W-EU Completed
2012:08:22-16:02:17 SophosUTM exim-in[4785]: 2012-08-22 16:02:17 SMTP connection from [213.123.20.131]:19192 (TCP/IP connection count = 1)
2012:08:22-16:02:18 SophosUTM exim-in[12073]: 2012-08-22 16:02:18 [213.123.20.131] F=<>remotedomain.co.uk> R=<>mydomain.com> Verifying recipient address with callout
2012:08:22-16:02:19 SophosUTM exim-in[12073]: 2012-08-22 16:02:19 1T4CRm-00038j-2c ctasd reports 'Bulk' RefID:str=0001.0A090208.5034F47B.003E,ss=1,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=256
2012:08:22-16:02:19 SophosUTM exim-in[12073]: 2012-08-22 16:02:19 1T4CRm-00038j-2c Greylisting: 213.123.20.131 is a known retry host
2012:08:22-16:02:19 SophosUTM exim-in[12073]: 2012-08-22 16:02:19 1T4CRm-00038j-2c remotedomain.co.uk">Matt@remotedomain.co.uk H=c2bthomr13.btconnect.com (mail.btconnect.com) [213.123.20.131]:19192 P=esmtp S=3490 id=AFC4D3988E40C04FAC43AEF41C7477E7178743@afpsbs.remotedomain.local
2012:08:22-16:02:20 SophosUTM smtpd[4697]: QMGR[4697]: 1T4CRm-00038j-2c moved to work queue
2012:08:22-16:02:21 SophosUTM smtpd[12060]: SCANNER[12060]: 1T4CRp-00038W-5Q remotedomain.co.uk">matt@remotedomain.co.uk R=1T4CRm-00038j-2c P=INPUT S=1319
2012:08:22-16:02:21 SophosUTM smtpd[12060]: SCANNER[12060]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="213.123.20.131" from="matt@remotedomain.co.uk" to="rogerw@mydomain.com" subject="Out of Office AutoReply: test5" queueid="1T4CRp-00038W-5Q" size="1319" reason="as" extra=""
2012:08:22-16:02:21 SophosUTM smtpd[12060]: SCANNER[12060]: 1T4CRm-00038j-2c => work R=SCANNER T=SCANNER
2012:08:22-16:02:21 SophosUTM smtpd[12060]: SCANNER[12060]: 1T4CRm-00038j-2c Completed
2012:08:22-16:02:51 SophosUTM smtpd[12060]: SCANNER[12060]: Nothing to do, exiting.

2012:08:22-16:03:50 SophosUTM smtpd[12195]: SCANNER[12195]: 1T4CTG-0003Ah-90 remotedomain.co.uk">matt@remotedomain.co.uk R=1T4CTA-0003AW-3C P=INPUT S=1318
2012:08:22-16:03:50 SophosUTM smtpd[12195]: SCANNER[12195]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="213.123.20.131" from="matt@remotedomain.co.uk" to="support@mydomain.com" subject="Out of Office AutoReply: test" queueid="1T4CTG-0003Ah-90" size="1318" reason="as" extra=""
2012:08:22-16:03:50 SophosUTM smtpd[12195]: SCANNER[12195]: 1T4CTA-0003AW-3C => work R=SCANNER T=SCANNER
2012:08:22-16:03:50 SophosUTM smtpd[12195]: SCANNER[12195]: 1T4CTA-0003AW-3C Completed
2012:08:22-16:03:50 SophosUTM exim-out[12197]

2012:08:22-21:57:16 SophosUTM smtpd[27461]: SCANNER[27461]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="84.93.230.235" from="scott.bamford@remotedomain.co.uk" to="backup@mydomain.com" subject="Out of Office AutoReply: Backup Report [Successful] > Triangle > New Backup Set > Job 2012-08-22 (21:00) (no files backed up)" queueid="1T4HzI-00078v-2A" size="5946" reason="as" extra=""
2012:08:22-21:57:16 SophosUTM smtpd[27461]: SCANNER[27461]: 1T4HzG-00079z-0x => work R=SCANNER T=SCANNER
2012:08:22-21:57:16 SophosUTM smtpd[27461]: SCANNER[27461]: 1T4HzG-00079z-0x Completed
2012:08:22-21:57:16 SophosUTM exim-in[27509]:

Hi stroppyjoe, the reason="as" in the logs indicates it is the anti-spam engine that is flagging them, so the best next step would be to bring up the quarantine view in the mail manager again, select the messages that truly are not spam, then select the "Release and report as false positive" action. this should help prevent these blocks in the future.

Sorry, my bad.

Not! [;)]

The line with ctasd reports 'Bulk' is what I was looking for -CommTouch Anti-Spam daemon.  AlanT's post means that always causes reason="as" in the log file and "Quarantined: Spam" in theMail Manager SMTP Log; some thing I suspected but hadn't had confirmed until today.  Thanks, Alan!

Cheers - Bob

hello,

i have the same problem, since utm v9 the out of office messages beeing quarantined from outbound. 

any ideas?

:22:47 [194.208.243.66] F= R= Verifying recipient address in Active Directory
/var/log/smtp/2012/11/smtp-2012-11-02.log.gz:2012:11:02-10:22:48 asg-1 exim-in[5093]: 2012-11-02 10:22:48 1TUDSh-0001K9-1D remoteuser@remote.atH=mail.remote.at [123.123.123.123]:22603 P=esmtp S=2466 id=1CF0443BD1F15F469122E964DABFFFA0408CE3@hers-nt4.remote.com
/var/log/smtp/2012/11/smtp-2012-11-02.log.gz:2012:11:02-10:23:00 asg-1 smtpd[5139]: SCANNER[5139]: 1TUDSu-0001Kt-7M remoteuser@remote.at R=1TUDSh-0001K9-1D P=INPUT S=1299
/var/log/smtp/2012/11/smtp-2012-11-02.log.gz:2012:11:02-10:23:00 asg-1 smtpd[5139]: SCANNER[5139]: id="1001" severity="info" sys="SecureMail" sub="smtp" name="email quarantined" srcip="123.123.123.123" from="remoteuser@remote.at" to="internaluser@internal.com" subject="Abwesenheitsnotiz: Test" queueid="1TUDSu-0001Kt-7M" size="1299" reason="as" extra=""

Hi Sebastian, check my note above for how you can submit them for re-classification. 

 ..the best next step would be to bring up the quarantine view in the mail manager again, select the messages that truly are not spam, then select the "Release and report as false positive" action. this should help prevent these blocks in the future.

Hi Sebastian, check my note above for how you can submit them for re-classification.

AlanT that trick does nothing, tested and the same problem for me too

AlanT that trick does nothing, tested and the same problem for me too

Yep, I did this too for 2 weeks. Just for nothin. I gave up and let create a ticket through our SOPHOS partner.