Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1176 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Email scanning works

Azwan
Hi Guys,

Appreciate if someone can share some information regarding Sophos UTM email scanning works since customer keep on complain legitimate email has been quarantine and they have to constant login to check and marked as false positive.

They ask me how does the engine scanning method and how to check reason email was marked as spam which is the reason I created this thread and by the way their are hosting company which handle multiple domain for email scanning using Sophos UTM.. 

Hopefully anyone can share information on how it works for better understanding [:S]


This thread was automatically locked due to age.
  • 0
    Have you configured the Quarantine Report?  Have you looked at the 'SMTP Log' tab in Mail Manager?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    Yes...however compare to sophos ES & Puremessage quarantine email was marked with information such as keyword or content which easy to investigate. Thanks
  • 0
    In Sophos too you can easily investigate why the email is quarantined!
  • 0
    In the Quarantine Report, the Reason for quarantining an email is listed.  

    Unlike old technologies (e.g., SpamAssassin), the UTM uses "signatures" to identify spam.  There's no need to have complex lists of phrases and keywords in the 'Expressions' list.

    Only if an email gets past checks for RBL, RDNS/HELO, SPF and valid-recipient will the UTM accept the headers and content of an email.  Once it has the DATA, it calculates a signature that looks like "RefID:str=0001.0A020205.51FE52BE.00E4,ss=4,re=0.000,recu=0.000,reip=0.000,cl=4,cld=1,fgs=8" and sends that to CommTouch/Sophos.

    If that is a close match to known spams, then the UTM receives a message that the email is a "confirmed spam" - I usually configure the UTM to then reject the email.  If the signature seems similar to known spams, then the message returned is "spam" - I usually configure the UTM to then quarantine the email.

    It sounds like they just need to delete everything in their 'Expressions' list.  In that way, they will know that the problem was either a virus or the anti-spam-signature of the email.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML