This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Trying to use Whitelisting only and quarantine all others

I'm trying to create a whitelist only type of filtering where I add domains or e-mail addresses of those I want to accept and everyone else gets quarantined.

I only want to do this for myself and not affect others in the domain.

Currently I have tried using a combination of Sender Whitelist and Sender Blacklist (where I've put in the blacklist some of the first-level domains like @*.com @*.org, etc).  And then I put domains I want to receive in the Whitelist (like @Microsoft.com).

When I send a test message from @Microsoft.com, it still marks it as blacklisted based on the @*.com rule first.  I was hoping it would do whitelist check, then blacklist check.

Anyone have suggestions on how to accomplish this?

In addition, the user portal mail quarantine tab has the "Release and Report as False Positive" option is a mystery...is it supposed to add the e-mail address to the Sender Whitelist if you select that option?   I don't see the e-mail added on the list when I use this feature.  All future e-mails still get quarantined from that user (because the blacklist entry overrides the whitelist entry).


This thread was automatically locked due to age.
  • Hi, TMM, and welcome to the User BB!

    I think the sequence is: Exceptions, Blacklist, Whitelist.  Just use an Exception instead of the Whitelist.

    Whitelisting is different from "Release and Report as False Positive."  With this option, an email is sent to Sophos/CommTouch so they can adjust their signature database.  If you look in the SMTP log file, you will see, for each email received, a line with ctasd reports followed by the signature calculated for the email.  The UTM sent that signature to CommTouch where it was compared to know spams.  A very close match results in a "confirmed spam" and a less-close match in a "spam" rating.

    In fact, Blacklisting an address causes the message to be Blackholed, not quarantined.  The only way to quarantine everything for you would be to use something like .* in the 'Expression filter', and then make an Exception for the Expression filter for everyone else.

    With that knowledge, you may want to adjust your plan.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA