Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 6515 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Spam from own mail adresses

M.Rottler
Hey guys,

we're using a UTM 220 with MX Record. Since a few days I keep seeing mails from our own domain in the SMTP Log, it looks like this:



The IP is unknown to me and they change. I took a look in the header of some of the mails.

Microsoft Mail Internet Headers Version 2.0
Received: from UTM.****-germany.de ([140.***.1.***]) by ****-germany.de with Microsoft SMTPSVC(6.0.3790.4675);
	 Fri, 7 Feb 2014 19:55:49 +0100
Received: from [190.22.54.83] (port=12334)
	by UTM.****-germany.de with esmtp (Exim 4.76)
	(envelope-from )
	id 1WBqaN-0002rq-3B
	for newsletter.profi@****-germany.de; Fri, 07 Feb 2014 19:55:41 +0100
X-CTCH-RefID: str=0001.0A090203.52F52C2D.0074,ss=3,re=0.000,recu=0.000,reip=0.000,pt=F_26154406,cl=4,cld=1,fgs=0
Message-ID: 
Date: Sat, 01 Feb 2014 11:55:10 -0400
From: 
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.9) Gecko/20100915 Thunderbird/3.1.4
MIME-Version: 1.0
To: 
Subject: Aktuelle Stellenausschreibung
Content-Type: multipart/alternative;
 boundary="------------090700090707010901030209"
Return-Path: newsletter.profi@****-germany.de
X-OriginalArrivalTime: 07 Feb 2014 18:55:49.0824 (UTC) FILETIME=[37B16400:01CF2436]

--------------090700090707010901030209
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable

--------------090700090707010901030209
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: quoted-printable


Some mails are getting blocked by the UTM with 
Rejected: RDNS/HELO (RDNS missing)
 or 
Rejected: RBL (black.rbl.ctipd.astaro.local)
 and others are delivered to the mailbox.

There is no authenticated relaying configured and the only server under host based relay is our mailserver...

Do you have an explanation for me and what I can do against it?

All the best!

Max


This thread was automatically locked due to age.
  • 0
    Received: from [190.22.54.83] (port=12334)
    That's whee I'd start looking.
  • 0 in reply to JonEtkins
    As I said... the IPs and ports are changing...


    Nslookup of this address:
    Name:    190-22-54-83.baf.movistar.cl
    Address:  190.22.54.83

    Because of changing IPs and ports this is no help for me, sorry!

    the new sophos board sucks... :-( please give us the old one back.

  • 0
    Ah, sorry, I misunderstood when you said that they were coming from your domain - I thought you mean they were coming from internal machines on your LAN.

    I presume that newsletter.profi is an alias of schubert (or vice versa), since the UTM shows the mail going to and from schubert but the headers show to and from newsletter.profi

    If ****-germany.de is your mail domain, then this is not technically relaying, which is accepting email addressed to a different domain and passing it on.

    Do you have any mobile users who need to be able to send mail through your SMTP server while they're outside your network?  If not, then you might look at ways to configure either the UTM or your SMTP server to reject email "from" your domain that originates from outside your network.
  • 0 in reply to JonEtkins
    The UTM is atm configured like this: 


        global SMTP configuration (global)

            SMTP proxy status switch (status) = 1

            SMTP proxy configuration mode (mode) = simple

            global SMTP profile (global_profile) = SMTP proxy profile object "containing ****-germany.de"

        global SMTP routing settings (routing)

            domains and routing target (domain_settings)

                domain list (domains)

                    ****-germany.de

                routing method (route_target_type) = hostlist

                routing static host list (route_list)

                    host object "Mailserver" 

                routing DNS hostname (route_target) = empty value

            recipient verification method (rcpt_verify) = callout

        anti-virus configuration (av)

            SMTP time malware rejection switch (global_av_reject) = 1

            anti-virus scanning (av_scanning)

                anti-virus action (cff_av) = quarantine

                number of anti-virus engines (cff_av_engines) = double

                quarantine unscannable content switch (unscannable) = off

            MIME type filter (mime_type_filter)

                quarantine audio content switch (mime_audio) = 1

                quarantine video content switch (mime_video) = 1

                quarantine executable content switch (mime_executable) = 1

                quarantine type list (mime_blacklist) = empty list

                content type whitelist (mime_whitelist) = empty list

            file extension block list (cff_file_extensions)

                exe

                msi

                com

                bat

                vbx

                hta

                inf

                js

                jse

                wsh

                vbs

                vbe

                lnk

                chm

                pif

                reg

                scr

                cmd

                swf

            anti-virus check footer (av_check_footer)

                SMTP anti-virus check footer switch (av_footer_status) = 0

                SMTP anti-virus check footer text (av_footer) =

    

                This email was Virus checked by UTM 9. http://www.astaro.com

    

        anti-spam configuration (as)

            SMTP time spam rejection switch (global_as_reject) = spamplus

            realtime blackhole lists (rbl_settings)

                recommended RBL switch (rbl) = 1

                extra RBL zone list (rbl_extra) = empty list

            spam filter (as_settings)

                spam action (spam) = quarantine

                confirmed spam action (spamplus) = quarantine

                SMTP spam marker (cff_as_marker) = *SPAM*

            sender blacklist (sender_blacklist) = empty list

            spam filter expression list (spam_expressions) = empty list

            advanced anti-spam features (as_advanced)

                reject invalid HELO switch (rdns_reject) = 1

                strict RDNS check switch (rdns_reject_strict) = 0

                greylisting switch (greylisting) = 0

                BATV switch (batv) = 1

                SPF checking switch (spf) = 1

        SMTP filter exception object table (smtp-exception)

        relay configuration (relaying)

            upstream host settings (upstream)

                SMTP upstream host/network list (upstream_hosts) = empty list

                SMTP accept from upstream only switch (upstream_hosts_only) = 0

            authenticated relay settings (auth_relay)

                SMTP authenticated relaying switch (auth_status) = 0

                SMTP relay allowed user list (auth_aaa) = empty list

            SMTP relay host/network list (relays)

                host object "Mailserver" 

            SMTP host/network blocklist (host_blacklist) = empty list

            SMTP scan outgoing switch (scan_outgoing_emails) = 1

        advanced SMTP proxy configuration (advanced)

            parent proxy settings (parent_proxy)

                SMTP parent proxy switch (parent_proxy_status) = 0

                SMTP parent proxy host (parent_proxy_host) = empty value

                SMTP parent proxy port (parent_proxy_port) = 8080

                SMTP parent proxy authentication switch (parent_proxy_auth_status) = 0

                SMTP parent proxy username (parent_proxy_auth_user) = empty value

                SMTP parent proxy password (parent_proxy_auth_pass) = empty value

            transparent mode settings (transparent_mode)

                SMTP proxy transparent mode switch (transparent) = 0

                SMTP transparent proxy host/net exception list (transparent_skip) = empty list

                SMTP transparent proxy exceptions switch (transparent_skip_auto_pf) = 1

            TLS settings (tls)

                SMTP proxy TLS certificate (tls_cert) = X509 certificate with private key object "***.****-germany.de Zertifikat"

                list of SMTP hosts/nets requiring TLS (tls_require) = empty list

                list of sender domains requiring TLS (tls_require_sender_domains) = empty list

                SMTP TLS host/net skiplist (tls_avoid) = empty list

            DomainKeys Identified Mail (DKIM) settings (dkim)

                DKIM private RSA key (dkim_private_key) = empty value

                DKIM selector string (dkim_selector) = empty value

                DKIM domain list (dkim_domains) = empty list

            confidentiality footer (confidentiality_footer)

                confidentiality footer switch (confidential_footer_status) = 0

                confidentiality footer text (confidential_footer) = empty value

            advanced settings (advanced)

                SMTP proxy hostname (hostname) = ***.*****-germany.de

                SMTP proxy postmaster address (postmaster) = m.rottler@*****-germany.de

                SMTP proxy BATV secret (batv_secret) = UNSET

                SMTP proxy maximum message size (max_message_size) = 50

                maximum number of concurrent SMTP connections (smtp_accept_max) = 20

                maximum number of concurrent SMTP connections per host (smtp_accept_per_host_max) = 10

                maximum messages per SMTP connection (smtp_accept_per_connection_max) = 1000

                maximum number of SMTP recipients per mail (recipients_max) = 100

                SMTP proxy footer mode (footers_mode) = inline-upgrade-message

            smarthost settings (smarthost)

                SMTP smarthost switch (smarthost_status) = 0

                SMTP smarthost (smarthost_hostname) = empty value

                SMTP smarthost port (smarthost_port) = 25

                SMTP smarthost authentication switch (smarthost_auth) = 0

                SMTP smarthost username (smarthost_user) = empty value

                SMTP smarthost password (smarthost_pass) = empty value


    I don't see any point where I can improve the safety...?

    the new sophos board sucks... :-( please give us the old one back.

  • 0
    If newsletter.profi@****-germany.de should only ever originate from inside your LAN, then you could add it to the sender blacklist.

    You didn't answer my question re remote users - if you have no remote users that need to send email in via your SMTP server, then you could add *@*****-germany.de to the sender blacklist.
  • 0
    Configuring SPF would solve your problem, Max.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    @ Jetkins: We have some remote users, but they're connected via Exchange Web/Mobile Access.

    @BAlfson: Thanks for that, I already tried to realize it but our **** hoster (1und1) doesn't support SPF records...

    the new sophos board sucks... :-( please give us the old one back.

  • 0
    If your remote users don't send via SMTP, then just blacklist any incoming email that claims to be from an address in your domain.
  • 0
    Max, I bet they do.  send an email from your domain to my username here @ the domain in my signature below.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML