Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 4954 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.105-9] Callout does not work as expected

gsxfan
I can't tell exactly when this odd behaviour started, but I am pretty sure that callout was ok with 9.605.
Since early V7 I have a separate mail server configured as the target for the static host list and the ASG used this mail server for callouts, too. This mail server knows all our valid mail addresses and gives a "421 - recipient not in route list" back to the ASG, if the receiver is not on the list. In this case the mail, obviously for a non-existant mail address, was denied at SMTP time.

Now with 9.105-9 this mail server still delivers the 421 message back to the UTM in case the receiver is not on the list. But mails for non-existant receivers are not denied anymore, they will be accepted by UTM and are stored in the SMTP spool. The UTM tries to deliver such mails again and again, every 2 or 3 minutes and for days. 

WTF??? What is the reason for changing this behaviour and how can I change the config to get back the old (And correct) way? 
I want the UTM to deny mails for non-existant receivers and not to store them in the SMTP spool. 

PS: Switching to AD mode is not an option.


This thread was automatically locked due to age.
  • 0
    Hi ,

    People are talking about that since 9.1 was introduced , I am not sure the exact Ver , but it is not related to 9.105-9.
    Look in the forum and you will find that some already talked about that.
    There is no good or bad news about that , only that it acts like that.
    I accept that it is not a normal behavior and should be checked .
    I will try to ask the support to check on that tomorrow .
    If I will have news I will inform here.

    All my best.
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0 in reply to gilipeled
    Thanks for answering, Gilipeled.
    I've seen some threads about callout, but IMHO they had different focuses. In general, callout is nearly useless since 9.1x if the UTM accepts mails for non-existant recipients instead of rejecting them.
    Now I have a SMTP spool folder full of useless mails. If I know the sender I can bounce the mails. Unnecessary manual work. Most of them are spam mails from non-existant sender addresses which populate the folder and they need to be deleted.

    I am awaiting your response...
  • 0 in reply to gsxfan
    Hi,

    your backend mailserver must reply with a 5xx error not an 4xx error.

    When you answer with an 4xx error, this means there is a temporary error and it might be fixed. (it is a soft bounce).

    You must answer the question about the mailbox with an 5xx error, than astaro an every other mailserver knows the mailbox is not available.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Are you sure this is an UTM problem?
  • 0 in reply to Ol Deda
    If you are using Exchange Server, make sure you disable tarpitting on the Exchange Server(s).

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Actually, I just realized that our Exchange server has been receiving emails for non-existant addresses and then returning them.  It also does AV and AS for another domain hosted externally (bluehost.com), and recipient verification works with it.  I see now from Message Tracking in Exchange, that it also was occuring during the month prior to the upgrade 8.310->9.102.

    I telnetted to the Exchange server on port 25, and saw that it responded with 250 2.1.5 to any address for our domain, but responded with 550 5.7.1 to my personal gmail address.

    Clearly, there's an error in the Exchange configuration that needs to be found.

    I've changed to verification in AD, and that's working just fine now.  Thanks, Bruce, for the reminder to check tarpitting.  I was sure I set that when I re-installed 4-1/2 years ago, but ...

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    With exchange 2007/2010 you need the spam filter. You have to install it when you do not use a Transport Exchange Server. 

    It is german, I do not found the english Version.
    Exchange 2010: Empfängerfilter und andere Antispamfunktionen « Rolands Erinnermich 

    After that you are able to use/configure ReceipientFilter.

    Sven

    Astaro user since 2001 - Astaro/Sophos Partner since 2008

  • 0
    Above Recipient filtering with Echange 2007, I followed the instructions for 2003, and now emails don't get delivered to Exchange.  However, ...

    When using "In Active Directory," the Proxy immediately rejects the mail.  The "Delivery status notification (Failure)" message came directly from Google.

    When using "With callout," the SMTP Proxy receives the entire email, attempts to deliver it to Exchange, is rejected and the Proxy then sends a return email to the sender.  The "Mail delivery failed" message came from the UTM and was delivered back to my Gmail account.

    This seems like a bug to me as the proxy immediately sends a callout to Exchange, but doesn't wait for the response before continuing.  Is anyone else seeing this?

    ... or is there a timeout issue because Exchange is at the other end of a VPN tunnel?  Pinging it gives me "rtt min/avg/max/mdev = 61.312/64.347/72.076/3.994 ms."  I couldn't fing a place to adjust the timeout in cc, but it makes sense that the mail should be accepted if the mailserver doesn't answer the callout.

    Cheers - Bob
    PS Strangely enough, when I telnet to our SMTP Proxy from a customer's UTM, I get "550 Address unknown" in what seem to be identical response-times using each verification mode.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I seem to have had the same issue. I use GFI spam filter/directory harvesting on the exchange server. If the filter was configured to reject non-existent address's in AD during smtp transmission the proxy would generate an NDR. If I configured GFI to reject after the full email was received the Proxy would show the email as delivered.
  • 0 in reply to maygyver
    Hi,
    your backend mailserver must reply with a 5xx error not an 4xx error.
    When you answer with an 4xx error, this means there is a temporary error and it might be fixed. (it is a soft bounce).
    You must answer the question about the mailbox with an 5xx error, than astaro an every other mailserver knows the mailbox is not available.

    This answer hits the nail on the head. Of course the response "421 - recipient not in route list" is syntactically wrong, a leading 550 would be correct. I did not realize this error before Sven's answer pushed me on the the right way. Thank you!
    This error is a confirmed bug in the mailservers software and exists since I've updated it right at the same time when UTM was updated to 9.1xx. 

    Sorry for this way too fast shoot from the hip, my apologies. I've just reverted the mailservers version to the version before and now everything works as expected.
Unfiltered HTML