Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 8314 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

spam from random Hotmail addresses

bill12780
Hello everyone, 
I have a problem I can 't seem to figure out.

I have a user that got two email today like this one below 

From: Futrell Torina 

Date: October 14, 2013 at 2:17:46 PM EDT

To: Brian ***XX From: Futrell Torina 

Date: October 14, 2013 at 2:17:46 PM EDT

To: Brian ***XX 

Subject: Re[:P]ool Cover Technician (East Side)

Feeling bad to e-mail ya out of nowhere however truly Im thinking about

meeting. In case you are experience bored to death let me know. 

You can 24 7 find me on my profile. There is not any charge to become 

listed on thus yep, would like to talk with you! I have tons of images of us

on the to suit your needs, I think you will always be impressed! xoxo 


below this were two nasty selfie pictures.


The email was sent to a common email for our company similar to info@example.com that this user monitors.

the other one is almost exactly the same but with a different hotmail account and a different link "http://tongueo.org "

How do I stop this from happening again?? I can't block all of hotmail!!

and the smtp logs shows they came from two separate servers..

the links all go to the same place eventually, but it goes to a facebook account first, then jumps to "bahoo.be"...Which is some live girls video chat site.

I have added some expressions to the "expressions filter list" but that's all I can think of...

any ideas would be greatly appreciated!
thanks
bill12780


This thread was automatically locked due to age.
  • 0
    You should take a look into you SMTP settings in your UTM. 
    I think the settings are a bit to weak for filtering many SPAM inbound to your mailserver.

    My UTM has only Greylisting and BATV marked for scanning and this is for my network working properly. When I tighten the filters even more, like HELO and Missing RDNS, I even would miss inbound mails. This is caused by not yet good set-up mailing-servers from within webstores. 

    And of course you could set up a blacklist for only these few hotmail accounts. 

    Good luck..
  • 0
    Bill, please show the lines from the SMTP log file related to the email above.  Also, the header from the above email.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello BAlfson, 
    Thanks for your response on this. I hope you can help. He got two more this morning...

    here is the header for the email we get...

    Received: from mail.poolcovers.com (10.0.0.29) by Exchange.poolcovers.local
    (10.0.0.89) with Microsoft SMTP Server (TLS) id 8.3.298.1; Tue, 15 Oct 2013
    00:54:44 -0600
    Received: from col0-omc3-s14.col0.hotmail.com ([65.55.34.152]:59113)      by
    mail.poolcovers.com with esmtp (Exim 4.76)     (envelope-from
    )   id 1VVyUd-0004YJ-13        for servicein@poolcovers.com; Tue,
    15 Oct 2013 00:52:35 -0600
    Received: from COL130-W41 ([65.55.34.136]) by col0-omc3-s14.col0.hotmail.com
    with Microsoft SMTPSVC(6.0.3790.4675);         Mon, 14 Oct 2013 23:47:33 -0700
    X-CTCH-RefID: str=0001.0A020204.525CE633.00AA,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
    X-TMN: [ItgYBvuGpZWVOziWubS/DdVmkOr4RGuc]
    X-Originating-Email: [e7eurc@hotmail.com]
    Message-ID: 
    Return-Path: e7eurc@hotmail.com
    Content-Type: multipart/mixed;
                boundary="_41ab26c7-0d50-47b2-9962-f966c7aa7243_"
    From: Sharita Gallegos 
    To: 
    Subject: Re[:P]ool Cover Technician (East Side)
    Date: Tue, 15 Oct 2013 07:47:30 +0100
    Importance: Normal
    MIME-Version: 1.0
    X-OriginalArrivalTime: 15 Oct 2013 06:47:33.0559 (UTC) FILETIME=[6D2F3C70:01CEC972]


    I am a little confused about the log entry you requested. If you mean the smtp log from the "mail Manger" its just says that the smtp transport completed successfully to our server.

    Is there another log some place I don't know about. I must tell you I am still pretty new to this sophos world.[:S]

    Each email has a different email account and a different chick name. The body of the email is almost exactly the same each time. But just a bit different. 

    any help, advise you can give would be great...[:)]

    thanks
    bill
  • 0
    Hello Bill,

    Well the best thing to do is to take a look at 
    Message-ID: 
     in the header you posted.

    The ...@phx.gbl is your main problem. 

    Take a look at My Hotmail is spamming people [:(] [Archive] - JREF Forum for a little more info about these ..@phx.gbl spam-mailings.

    So you could blacklist the *@phx.gbl domain for a fast stop for these spammails. You can do this in the Blacklisted address patterns section in Email Protection ->SMTP ->Anti Spam

    We know how difficult it is to set things up for the first time in Sophos UTM. [:D]
  • 0 in reply to HMaster
    thank you for the help on this. [:D]

    I have blacklisted that domain as you suggested. Later tonight I will read through the link you provided.

    The UTM is a difficult thing to catch on to. But I really believe it does a great job. I am very happy with our purchase. 

    Not to mention its everything in one spot. Since I am a one man dog and pony, self taught, non-certified IT Manager Show and Review! Anything I can do to make my life easier I jump all over!!

    Thanks again for the help! I am sure I will be back!! hahaha!
    bill12780[:)]
  • 0 in reply to bill12780
    Hello HMaster!

    Well I added that to *@phx.gbl into my "Senders Blacklist" and we got two more email today. 

    Any other thoughts?? 

    Please let me know...

    thanks
    bill12780
  • 0
    For the record... Did you applied both [Apply] buttons to save the BlackList???
    As seen in the pics below..

    If so, we have a challenge to find the best workaround.
  • 0
    Bill, I meant the lines from the SMTP log file in 'Logging & Reporting'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to HMaster
    Yes, I did apply in both places..

    Thats a lesson you only have to learn once! hahahaha!

    I have not gotten one of these emails today....yet. 

    and I can't find any where in the smpt log were any were blocked.

    I am still not sure I totally understand how this unit works. So I am not even sure if the blacklist was working if it would show up in the smpt log.

    Will it??? 

    I think we just have to wait and see if more come along. I would however love to see in a log someplace that it was actually blocking them and not that they had just moved on.

    Is there any way to tell other than were I am looking in the Mail Manager? I know there are a TON of other logs!

    thanks again for your help!!!
    bill12780
  • 0
    I can't find any where in the smpt log were any were blocked.

    Right, that's why I wanted to see the lines showing what happened.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML