Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1962 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Block all EMail TO a specified internal address

ChrisA_01
Hi guys, bit of an oddball request this but here goes.

I have a mailserver that accepts emails to "anything"@mydomain.co.uk and routes it into a single mailbox, when I register for certain online services I use an email address specific to the service I'm signing up for, i.e. "sophos@mydomain.co.uk" for this forum, that way if that email address leaks into spammers hands I can just block that address. I have just such a situation and have tried (and failed) to block the email.

I've tried using the expression filter but it's not what it's for and because the recipient address isn't contained within the EMail body it doesn't work. The default RBL picks up 99% of it but the occasional one makes it through. I can block this on my mailserver but I like a challange and I'd like to keep all anti-spam in one place.

Can anyone think of a way to achieve this?

Cheers


This thread was automatically locked due to age.
  • 0
    Hi, Chris, and welcome to the User BB!

    Please show the address you want to block, the entry in the expression filter and the line from the SMTP log where the email was not blocked by the expression filter.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob, thanks for taking a look at this.

    Ok, so I'm substituting my real domain for mydomain and my work's email domain to workdomain.co.uk due to internet paranioa.

    the address is chemistdirect@mydomain.co.uk and the entry in the expression filter is the same. I've also got chemistdirect in there too as a separate expression. The entry from the SMTP proxy log is as follows

    2013:05:07-20:32:32 CAUTM smtpd[4600]: QMGR[4600]: 1UZnck-0006zW-2e moved to work queue
    2013:05:07-20:32:40 CAUTM smtpd[26893]: SCANNER[26893]: 1UZncu-0006zl-CY chris@workdomain.co.uk R=1UZnck-0006zW-2e P=INPUT S=856
    2013:05:07-20:32:40 CAUTM smtpd[26893]: SCANNER[26893]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="207.46.163.26" from="chris@workdomain.co.uk" to="chemistdirect@mydomain.co.uk" subject="test email" queueid="1UZncu-0006zl-CY" size="856"
    2013:05:07-20:32:40 CAUTM smtpd[26893]: SCANNER[26893]: 1UZnck-0006zW-2e => work R=SCANNER T=SCANNER
    2013:05:07-20:32:40 CAUTM smtpd[26893]: SCANNER[26893]: 1UZnck-0006zW-2e Completed
    2013:05:07-20:32:41 CAUTM exim-out[26898]: 2013-05-07 20:32:41 1UZncu-0006zl-CY => chemistdirect@mydomain.co.uk P= R=static_route_hostlist T=static_smtp H=192.168.0.201 [192.168.0.201]:25 X=TLSv1:AES128-SHA:128 C="250 2.6.0  [Inte"
    2013:05:07-20:32:41 CAUTM exim-out[26898]: 2013-05-07 20:32:41 1UZncu-0006zl-CY Completed
    2013:05:07-20:33:00 CAUTM exim-out[26923]: 2013-05-07 20:33:00 Start queue run: pid=26923
    2013:05:07-20:33:00 CAUTM exim-out[26923]: 2013-05-07 20:33:00 End queue run: pid=26923
    2013:05:07-20:33:09 CAUTM smtpd[26893]: SCANNER[26893]: Nothing to do, exiting.

    If I include the blocked email address in the email body the UTM rejects it as expected.

    Thanks
  • 0
    internet paranioa

    Only healthy - we wouldn't be here if they weren't out to get us!  Actually, I also would have obfuscated the IP addresses. [:D]

    Funny, I think that worked in V4 and V5, but I haven't tried it in years.  In the header of the email you received, is the email address all in lower case?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
      Actually, I also would have obfuscated the IP addresses. [:D]



    Lol, so would I were it not one of Microsoft's from Office 365.

    I checked the headers and it is in lower case. Not to worry.

    Really appreciate your time
  • 0 in reply to ChrisA_01
    In a complete another environment I had a similar problem. The mail header was "missconfigured", there was no space between "To:" and my mail address.
    Depending on the filter module versions, the mails were catched or not...
Unfiltered HTML