This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Updated from Astaro to Sophos UTM 9; Antispam performance is dismal

I upgraded from Astaro 8 to Sophos UTM 9, I'm using pretty much the same mail protection settings, but my spam messages per day went from 3 total to a few hundred. I'm drowning in annoying spam mail. I don't see a setting anywhere to change the "Spam Confidence Level", the only settings I see are to Quarantine Spam, and Blackhole "Confirmed Spam"; however this new version seems to be blocking a whole lot less than it used to.

Any advice?


This thread was automatically locked due to age.
  • I upgraded from Astaro 8 to Sophos UTM 9, I'm using pretty much the same mail protection settings


    Can you confirm what the changes were on your settings? Also Do you have a spam email that was not classified as spam on version 9 but it would be on version 8?
  • Here are some pics of my antispam settings, there's not really much to configure. Working on the headers for the spam messages themselves.

    I mean, its blocking 75% of spam mail, but immediately following my switchover, its letting through a ton more than before.
  • turning off recipient verification completely  is not recommended as it will possibl lead to higher spam traffic volume and dictionary attacks
    Have you tried "With callout " option ?
  • You might take a look in the SMTP log at the lines relative to a spam that got through.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I just get tons and tons of this crap that used to get filtered out. like 99% of email coming into my server goes to a single address, my personal one. I've had it for years, and this didn't start until the second I changed versions. I don't think that recipient verification is going to have a whole lot of difference, because the one email address its all going to actually exists; unless I'm misunderstanding the point of recipient verification.

    HEADER:

    Received: from firewall.coretechconsulting.com (192.168.2.1) by
     exchange.core.ad (192.168.2.11) with Microsoft SMTP Server (TLS) id
     14.1.218.12; Fri, 7 Dec 2012 16:14:54 -0500
    Received: from [216.104.35.90] (port=32342 helo=jyi90.biboschena.in) by
     firewall.coretechconsulting.com with esmtp (Exim 4.76) (envelope-from
     ) id 1Th5O0-0003PW-2a for gjk@me.com; Fri,
     07 Dec 2012 16:23:09 -0500
    To: 
    MIME-Version: 1.0
    Subject: Get a quickcash advance today
    Date: Fri, 7 Dec 2012 16:22:21 -0500
    Message-ID: 
    From: Fastway Loans 
    Content-Type: text/plain; charset="us-ascii"
    Content-Transfer-Encoding: 8bit
    Content-Disposition: inline
    Return-Path: cashonitsway@biboschena.in
    X-MS-Exchange-Organization-AuthSource: exchange.core.ad
    X-MS-Exchange-Organization-AuthAs: Anonymous


    CONTENT:

    Status: Pending Your Action
    $1000 cash loan for you.

    Apply online (instant approvals):
    blahblahspamurl





    Manage delivery: gjk@me.com:
    http://blahblahblahspamurl   
    or postal:  P.O B.ox 3.109 #48.5.48  Houston  TX 7725.3-3109

    > Hurry up and wait.
    That?s what first responders were left to do after being deployed by FEMA to assist in the storm-ravaged areas in the initial days after superstorm Sandy, FoxNews.com has learned. A FEMA worker who spoke to FoxNews.com described a chaotic scene at New Jersey's Fort Dix, where emergency workers arrived as the storm bore down on the Atlantic Coast. The worker said officials at the staging area were unprepared and told the incoming responders there was nothing for them to do for nearly four days.
    ?They told us to hurry, hurry, hurry," the worker, who works at the agency's headquarters in Washington and volunteered to deploy for the storm recovery effort. "We rushed to Fort Dix, only to find out that our liaison didn?t even know we were coming.?
    ?The regional coordinator even said to us, ?I don?t know why you were rushed here because we don?t need you,'? said the worker, who spoke out of frustration with the lack of planning and coordination following the devastating storm.
    'I worked in Katrina and Katrina was run better than Sandy.'
    - Anonymous FEMA first responder
    After arriving in New Jersey, the worker and others waited for three full days and parts of another, even as reports dominated the television of the devastation and suffering wrought by the storm, which struck land on Oct. 29. When they asked for assignments, they couldn't believe the response, according to the worker.
    ?They told us to go to the Walmart nearby or to check out the area but told us to stay out of the areas affected by the storm,? the worker said. "If our boss back at headquarters had not been alerted and didn?t make a push to get us assignments, the people running the show on the ground level would have just kept us sitting in the barracks.?
    In a Nov. 3 email obtained by FoxNews.com, an administrator back in Washington urged the regional team to get his people into the field after learning they were idled..
    "My people are being told to go sightseeing," the e-mail reads. "They may have a mission in 2-4 days .... I am asking them to reach out to contacts there that may be able to use their expertise ... We will continue to seek these opportunities as otherwise these personnel resources will be wasted ... Please advise way ahead ..."
    Told of the worker's complaints, a FEMA official acknowledged that there were delays in getting responders out into the field but said the time was mostly spent firming up training and accommodations.
    ?I?m not going to say we couldn?t have done better,? Michael Byrne, a FEMA federal coordinating officer, told FoxNews.com. ?I can understand the emotional commitment. They want to jump right in and start with the effort. I feel the same way.




    HEADER:

    Received: from firewall.coretechconsulting.com (192.168.2.1) by
     exchange.core.ad (192.168.2.11) with Microsoft SMTP Server (TLS) id
     14.1.218.12; Fri, 7 Dec 2012 16:07:26 -0500
    Received: from [188.42.13.209] (port=56866 helo=smtp1.seiuonenationvote.net)
    by firewall.coretechconsulting.com with esmtp (Exim 4.76) (envelope-from
     ) id 1Th5Gv-0003Ky-1p for
     gjk@me.com; Fri, 07 Dec 2012 16:15:49 -0500
    Date: Fri, 7 Dec 2012 22:01:55 +0100
    To: 
    Message-ID: 
    MIME-Version: 1.0
    Subject: You Read This Right: Half Off All Ford Cars
    From: Holiday-Ford 
    Content-Type: text/html; charset="us-ascii"
    Content-Transfer-Encoding: quoted-printable
    Content-Disposition: inline
    Return-Path: dollie_smith@seiuonenationvote.net
    X-MS-Exchange-Organization-AuthSource: exchange.core.ad
    X-MS-Exchange-Organization-AuthAs: Anonymous


    CONTENT:


    December Christmas Auto Sale 
    (Car sales have been lower for 2012 which means dealership sales quotas STILL have not been met.)

    The GOOD NEWS? Automobile dealerships in your area are lowering prices on all new sedans, trucks, and sports cars to make up for these lost sales. There couldn't be a better time to purchase a new car then from today (12/7) - Christmas day. 
    Begin browsing today before inventory starts to lower 

    Check out our New Cars Here 




























    We send these emails based on the preferences you set for your account. To unsubscribe from this email, change your communication preferences here. Please note that it may take up to 10 days to process your request.
  • if you have only one MX record why are you using the SMTP in profile mode?
  • Please show the SMTP log lines relative to these two emails.  Also, tell us what setting you have on the 'SMTP' 'AntiSpam' tab for 'Reject at SMTP time'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • The options for Reject at SMTP time are a little basic, its just "off", "spam", and "confirmed spam". There's not really much room to define what "spam" and "confirmed spam" means; like  no option for spam scoring that one can tweak from the UI. I most obviously have it set to the strictest setting of "Confirmed Spam".

    I have it set to "Profile Mode" because that's the way I want it.

    I might just relay mail though a linux sendmail box. I've had a lot more luck filtering spam out that way. I'm tired of weeding through all this stuff to find my legitimate mail.
  • 2012:12:07-16:23:00 firewall exim-out[13123]: 2012-12-07 16:23:00 Start queue run: pid=13123
    2012:12:07-16:23:00 firewall exim-out[13123]: 2012-12-07 16:23:00 End queue run: pid=13123
    2012:12:07-16:23:09 firewall exim-in[13114]: 2012-12-07 16:23:09 1Th5O0-0003PW-2a spam acl condition: cannot parse spamd output
    2012:12:07-16:23:09 firewall exim-in[13114]: 2012-12-07 16:23:09 1Th5O0-0003PW-2a H=(jyi90.biboschena.in) [216.104.35.90]:32342 Warning: ACL "warn" statement skipped: condition test deferred
    2012:12:07-16:23:09 firewall exim-in[13114]: 2012-12-07 16:23:09 1Th5O0-0003PW-2a Greylisting: 216.104.35.90 is a known retry host
    2012:12:07-16:23:09 firewall exim-in[13114]: 2012-12-07 16:23:09 1Th5O0-0003PW-2a cashonitsway@biboschena.in H=(jyi90.biboschena.in) [216.104.35.90]:32342 P=esmtp S=3644 id=3077632164664191233.3549b799c76a5a863b97b922e2c385a8.331312680@jyi90.biboschena.in
    2012:12:07-16:23:09 firewall exim-in[13114]: 2012-12-07 16:23:09 SMTP connection from (jyi90.biboschena.in) [216.104.35.90]:32342 closed by QUIT
    2012:12:07-16:23:11 firewall smtpd[4628]: QMGR[4628]: 1Th5O0-0003PW-2a moved to work queue
    2012:12:07-16:23:20 firewall smtpd[13129]: SCANNER[13129]: 1Th5OC-0003Pl-DD cashonitsway@biboschena.in R=1Th5O0-0003PW-2a P=INPUT S=3027
    2012:12:07-16:23:20 firewall smtpd[13129]: SCANNER[13129]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="216.104.35.90" from="cashonitsway@biboschena.in" to="me@domain.com" subject="Get a quickcash advance today" queueid="1Th5OC-0003Pl-DD" size="3027"
    2012:12:07-16:23:20 firewall smtpd[13129]: SCANNER[13129]: 1Th5O0-0003PW-2a => work R=SCANNER T=SCANNER
    2012:12:07-16:23:20 firewall smtpd[13129]: SCANNER[13129]: 1Th5O0-0003PW-2a Completed
    2012:12:07-16:23:29 firewall exim-out[13131]: 2012-12-07 16:23:29 1Th5OC-0003Pl-DD => me@domain.com
    P= R=static_route_hostlist T=static_smtp H=192.168.***.*** [192.168.***.***]:25 X=TLSv1:AES128-SHA:128 C="250 2.6.0  [Inte"
    2012:12:07-16:23:29 firewall exim-out[13131]: 2012-12-07 16:23:29 1Th5OC-0003Pl-DD Completed
  • Check IP Reputation | Commtouch reports that IP as "High Risk," but "cannot parse spamd output" means there's something broken in your installation.  I suggest that you re-install from ISO, restore and UP2Date to 9.004.

    Any luck?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA