Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 4173 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Upstream SMTP relay host makes spam filter less effective

isomtech
I have recently had to change my email infrastructure so that all incoming email is passed through a relay at a different site, and then forwarded to me on a port other than 25. I have set up DNAT to reroute the odd port back to 25 so that the email relay / spam filter will process incoming email. Since this time, I have received a significantly increased amount of SPAM making it past the filters. Some messages are being stopped, so I don't believe that this is a configuration issue with the non-standard port. My best assumption is that this phenomenon is caused by UTM not rejecting email based on the sender's IP address, since it is now all coming from one IP. Is there a way to make UTM parse the headers and reject based on the IP address prior to my upstream relay?

If there isn't a way to do this presently, this would be a really good feature request for those of us with unfortunate email infrastructures such as this.

Any insight would be greatly appreciated. Thanks!


This thread was automatically locked due to age.
  • 0
    1. Would it be possible for your office receive and scan the email prior to sending it to the SMTP relay?  If so, that would resolve your "need to receive from the original source IP address for SPAM scanning purposes" issue.

    2. Could your email be scanned for SPAM at the upstream relay host?

    3. Sophos has a "cloud" UTM that could scan your email before it goes to the upstream host.
  • 0 in reply to eganders_01
    1. Would it be possible for your office receive and scan the email prior to sending it to the SMTP relay?  If so, that would resolve your "need to receive from the original source IP address for SPAM scanning purposes" issue.

    Unfortunately, no. That's the whole reason I have the upstream relay. Where my UTM is located is on a residential internet circuit, and they recently began blocking port 25 incoming. Now if someone would have had the foresight to include a way to specify an incoming port number in an MX record instead of just assuming everyone will receive email on port 25, then my problem would be solved.

    2. Could your email be scanned for SPAM at the upstream relay host?

    That is a possibility I had thought of, however it would require a second UTM or an altogether different spam filter solution. I rather like having it all integrated at my network's border. Otherwise, the UTM isn't very unified.

    3. Sophos has a "cloud" UTM that could scan your email before it goes to the upstream host.

    That would also work, however I doubt that would be covered under my free for home use license.

    I have resolved to getting business class internet service to my house so that I can drop the upstream relay and once again receive email on port 25. I had been operating this way for the last 8 years until my ISP recently started blocking port 25 inbound and out. Thankfully, the price is only $5 more a month for business class, so it was an easy decision. Plus I have the added benefit of not having my service interrupted constantly as the ISP plays around with the settings on my cable modem.

    I was more curious to see if it was possible, as it would make the spam filter more effective in abnormal situations such as this. I looked back in my SMTP logs, and there are absolutely no RBL rejections and no RDNS/HELO rejections. So essentially, if you operate with an upstream relay the spam filter becomes severely handicapped. However, I wouldn't think it hard to parse the headers and make the spam filter decisions based on the first header line before the upstream relay, especially since I know the exact IP of the relay. If there is not already a configuration option that will allow this, I think there should be.
  • 0
    At the top of the 'Relaying' tab - do you have the 'Upstream host list' configured?  If it's still not checking RBLs or rDNS, then greylisting might help.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I do have the upstream host list configured, and I have checked the box to allow only from the upstream hosts. Unfortunately, greylisting suffers from the same dilemma since my upstream relay has already accepted the mail and is waiting to send it to me. Greylisting at the upstream relay might help a bit, but that goes back to the whole "not unified" unified threat management. I am doing some basic RBL's at the upstream relay, but they're not as effective as the default RBL list on the UTM.
  • 0
    I was afraid of that.  It's been about four years since I re-visited this issue, and, now that I think about it, my experience was the same.  In fact, the only time the Proxy looks at the header is for portions examined by the Expression filter.  The RBL and rDNS checks are done initially, at "SMTP time," before any of the header and content is sent.

    Have RBL checks check message source was rejected by AngeloC as "not technically possible."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hmm... 
    It may not be feasible to do rDNS and RBL lookups on all headers.

    However, I know for a fact that BogoFilter does include all addresses in the headers in it's bayesian filter checks (against a local database). 

    iirc, SpamCop may do lookups against all the headers, but at a much higher performance cost.

    Perhaps Sophos should consider using SpamCop (again?).

    Barracuda can do some header checks as well, but I don't know the details.


    Barry
Unfiltered HTML