Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3990 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RBL exceptions for major ISP's

eganders_01
Not all that frequently, but still too often for end users, e-mails from senders with accounts at major ISP's end up RBL bounced, due to one of that major ISP's outbound mail server's ending up on a blacklist.

After looking through listings of bounced e-mails on a number of Sophos UTM's, I'm considering creating a standardized exception list of "Major ISP" domains, whose e-mails should never be bounced because they're on a blacklist, to avoid this recurrent problem.  The rest of my standard e-mail hurdles would remain in place, including RBL blocks for every other sender.

This would certainly cut down on the number of times I would have to explain to someone important to us, why e-mail from their good customer is all of the sudden being refused by their own UTM.  Due to the dominance of large ISP's I expect that this change would cover the majority of these types of incidents.

What do any of you think of this idea?


This thread was automatically locked due to age.
  • 0
    I guess I don't understand your idea.  Would you whitelist 1and1.net, for example?  I can't see why that would help.

    Or, would you whitelist all IPs managed by 1and1?  You might as well just skip the use of RBLs altogether.

    Why not just create an Exception for RBL checks for DNS hosts for their best customers, and show them how to add to that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi,
    Perhaps another option (for Astaro to add?) would be to not block email from RBL hosts, but just increase the spam score.
    IIRC, that is what MailScanner does, for example.

    Barry
  • 0
    @Barry:  We don't score the spam.  We use the CommTouch database.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to BarryG
    Why not just create an Exception for RBL checks for DNS hosts for their best customers, and show them how to add to that?

    Hi Bob. I do, when they're willing - or we do it for them.  I got a call a few weeks ago from a "first name on the door" at a decent sized firm.  Turns out he hadn't been receiving e-mails from an important client about a matter he didn't want to discuss on his firm email.  He finally called after getting no response.  Bet you can guess who the "first name on the door" called next?  Turns out that the e-mails were bounced because the att.net ip's were blacklisted.  So I started investigating, and found that there were definitely more; there, and at other accounts too.

    So I'm only thinking about big major email ISP's for this list.  Not 1and1, but more like bob@gmail, bob@aol, bob@yahoo, bob@att, bob@comcast, etc. Emails from those accounts clearly shouldn't be dropped because someone triggered a blacklisting. I'm not referring to business listings with their own domain, even when they're hosted by a major ISP.  This problem does not represent a large segment of the total emails to most of my business end users - excluding those with retail operations.  Clearly under 1% for b to b, though somewhat more when retail customers are emailing.  But in terms of what we receive feedback on for messages not delivered - this is definitely the largest segment.

    Perhaps another option (for Astaro to add?) would be to not block email from RBL hosts, but just increase the spam score.  IIRC, that is what MailScanner does, for example.


    @Barry:  We don't score the spam.  We use the CommTouch database.


    Hi Scott.  Commtouch is great, but I totally agree with Barry nonetheless.  Obviously the nirvana goal would be to pass every piece of wanted mail, and stop every piece of unwanted mail.  I can see where a more granular technology, such as a scoring methodology combined with boolean options or similar, could definitely help refine the deliver / don't deliver process, but that's a different discussion.
  • 0
    Were the ATT.net IPs that were blacklisted ATT's SMTP servers, or were they ATT client IPs (e.g. DSL IPs)?

    Some RBLs block most 'residential' IPs, so you should double-check which RBLs you're using.

    Barry
  • 0
    Ahhh, I see now.  I agree with Barry's last comment - I wonder if the issue isn't people trying to send improperly from their IP instead of going through AT&T, Gmail, etc.?  AT&T doesn't even have an SPF record though.

    Hmmm.  I guess the "first name on the door" is already aware that his client is not in contact with the "real world" and that's why he spends so much money with the firm.  After all, the client had to see the bounces - RBL doesn't cause a blackhole action.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Were the ATT.net IPs that were blacklisted ATT's SMTP servers, or were they ATT client IPs (e.g. DSL IPs)?


    I wonder if the issue isn't people trying to send improperly from their IP instead of going through AT&T, Gmail, etc.?  AT&T doesn't even have an SPF record though.


    They were att.net SMTP servers.  Random residential IP's should / would have a different domain name or be blocked in the RDNS check that continues to run.  I should point out that after I looked through the logs of many Sophos installs, I found several of these types of bounces from multiple different major ISP's as I mentioned earlier.

    I guess the "first name on the door" is already aware that his client is not in contact with the "real world" and that's why he spends so much money with the firm.

    As long as the money is the right shade of green . . .

    After all, the client had to see the bounces
    Yes, as they are returned to the client from the "first name on the door's" firm. Definitely not the kind of thing our "first name on the door" wants to send back in response.
Unfiltered HTML