This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Recent Increase In SPAM

Hi All,

We have an ASG 220 and since about mid December, we have seen an increase in SPAM getting through the filter. Here are the things I've tried. The owners used to get maybe 1-2 every couple of days. Now they get between 15-20 daily

1) Country Blocking - This works OK, but most of our SPAM is coming from the US. And so does our legitimate email...

2) RBLs - I currently have "Recommended" checked with bl.spamcop.net and b.barracudacentral.org in the list. I've checked the IPs of mail getting through against a multi RBL lookup site and the IPs either aren't listed or are only listed in one of the servers, and never the same one consistently enough to add it to my RBL check list. I have also found several IPs that CommTouch identifies as high risk yet these messages get through with no problem

3) Advanced Anti-Spam Options - everything is checked except Strict RDNS checks.

4) Log Analysis - I've spent several hours analyzing the SMTP proxy logs for SPAMing networks, domains, etc. While I've found some and blocked them, the issue is the SPAMers use these IP networks and domain names once or twice and then switch to something else. 

5) Doing things like Regular Expressions is useless because they may send 4-5 emails that day using the same keywords, but then it stops and switches to something else. In other words, by the time I would have added them to the SPAM filter they've moved onto another campaign. One day it's Ellen Degeneres, the next day it's Weight Loss Spray, the next it's Term Life coverage.

6) Submitting SPAM to Sophos - I've added a button to the users' Outlook that sends an email to the is-spam address at sophos with the SPAM message as an attachment with the headers in tact. They have been doing this since Mid December.

7) Called support today - got nowhere. They logged in to look at my settings and all they could ell me is "your setup looks good, you're doing the right things by submitting messages to us but we have no answer for you on how to block these obvious SPAM messages."

To me it feels like the content scanning is utterly broken and useless. And me blocking IPs and regex expressions is a total waste of time because it will change within a day or so. If I go to the Mail Manager and only display messages that are SPAM there are no results. The only rejected messages are RBL or RDNS/HELO related. And the messages that are quarantined are only messages matching keywords we have manually added. Nothing from the Sophos pattern stuff.

Does anyone have any ideas to tighten this thing down?

Thanks!


This thread was automatically locked due to age.
Parents
  • I'm not seeing this.  Without examining representative examples (headers + message), it would be difficult for a consultant to make any suggestions.  Have you gotten any help with this?

    Often, complaints like this come from people that regret having opted-in to "non-spam" mailings - that's not a message that complaining higher-ups want to hear though. [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hello SouperGrover

    That's a strange issue. However - for example here my catch stats of the last 30days - with practical zero spams slipping through.

    59,5% RDNS/HELO checks
    39,1% RBL
    0,84% Address Verification
    0,46% Antispam Engine (Commtouch)
    0,09% Sender Blacklist
    0,03% BATV

    I even don't use Greylisting anymore since a long while, as lot of todays spams are resent anyway (or sent to backup MX), and I don't like the delays with new communication partners. Did you check, if spams maybe arrives via a external backup mx / mail spooler of yours, where most reputation based AS checks of UTM will fail (I have seen this few times in the past) ?

    AND: That RDNS works at it's best you should use strict mode for it - a huge number of drops are usually due invalid RDNS, which is only tested in strict mode. You may loose lot of RDNS checks effectiveness here by not checking this small checkbox.

    I also use two additional RBL's as afterburner, but to be honest the built in RBL's "black.rbl.ctipd.astaro.local" and "cbl.abuseat.org" catches nearly all, and leave for my additional RBL's "drone.abuse.ch" and "bl.spamcop.net" practically zero hits [;)]

    Additionally I personally have blacklisted a IP range of "adRom Holding AG" 82.98.114.0/23, which were sending tons of spams - in our region mainly using .cc domains. Their spams for some reason always slipped through lot of antispam filters, and I've never seen them blacklisted anywhere...sadly I never found out, how they achieved this...I didn't found any other working method to block their crap mails as by blocking their complete IP range [:@]

    The preferred methods may differ on type of spam you receive - but I found upper setting quite effective in most setups.

    /Sascha
Reply
  • Hello SouperGrover

    That's a strange issue. However - for example here my catch stats of the last 30days - with practical zero spams slipping through.

    59,5% RDNS/HELO checks
    39,1% RBL
    0,84% Address Verification
    0,46% Antispam Engine (Commtouch)
    0,09% Sender Blacklist
    0,03% BATV

    I even don't use Greylisting anymore since a long while, as lot of todays spams are resent anyway (or sent to backup MX), and I don't like the delays with new communication partners. Did you check, if spams maybe arrives via a external backup mx / mail spooler of yours, where most reputation based AS checks of UTM will fail (I have seen this few times in the past) ?

    AND: That RDNS works at it's best you should use strict mode for it - a huge number of drops are usually due invalid RDNS, which is only tested in strict mode. You may loose lot of RDNS checks effectiveness here by not checking this small checkbox.

    I also use two additional RBL's as afterburner, but to be honest the built in RBL's "black.rbl.ctipd.astaro.local" and "cbl.abuseat.org" catches nearly all, and leave for my additional RBL's "drone.abuse.ch" and "bl.spamcop.net" practically zero hits [;)]

    Additionally I personally have blacklisted a IP range of "adRom Holding AG" 82.98.114.0/23, which were sending tons of spams - in our region mainly using .cc domains. Their spams for some reason always slipped through lot of antispam filters, and I've never seen them blacklisted anywhere...sadly I never found out, how they achieved this...I didn't found any other working method to block their crap mails as by blocking their complete IP range [:@]

    The preferred methods may differ on type of spam you receive - but I found upper setting quite effective in most setups.

    /Sascha
Children
  • Bob - I'm absolutely positive that the boses have either "opted out" of one if not several messages. Plus, they use their email addresses to sign up for stuff. And they've had their addresses for over 15 years. I'm not sure why the sudden increase though. I can't pinpoint it to a particular message they opted out from or a particular list they signed up to.

    So yesterday I started feeling like I was getting nowhere with the ASG and was going o have to implement a second SPAM filter. I found Xeams (it's free). And while playing around with that, I discovered it has a SPAM Simulator tool that lets you paste in headers nad messages to see why a message was SPAM or why it was not. It uses a Bayesian scoring system so it is gives you a great idea on what happened. I decided to submit some of the messages that got through the ASG to this tool and out of the 10 I've tried so far it identified 7 of them as SPAM. And the reason was usually b/c it was a blacklisted domain or IP address. So, I'm feeling like if I ad in some of he RBLs that this software is using I will be doing better. I will do some further testing (I've have about 40 messages to try out) and let you know my results.

    BTW - EVERY message I have submitted has passed the SPF check saying the IP is allowed to send mail for he domain. Is it just me or is this check almost useless?

    Here is a sample message (header and body) that is getting through both

    Microsoft Mail Internet Headers Version 2.0
    
    Received: from postmaster.ourdomain.com ([1.2.3.4]) by ourexchangeserver.ourdomain.internal with Microsoft SMTPSVC();
     Mon, 24 Feb 2014 16:28:36 -0800
    Received: from [162.221.192.92] (port=28880 helo=ship.bramagruys.com)
    by postmaster.ourdomain.com with esmtp (Exim 4.76)
    (envelope-from )
    id 1WI5sv-0004cr-18
    for myboss@ourdomain.com; Mon, 24 Feb 2014 16:28:33 -0800
    From: "Anthony D." 
    Message-ID: 
    Subject: Mom in her spare time makes 75 dollars an hour (postions available)
    Date: Mon, 24 Feb 2014 18:57:09 -0500
    To: 
    Mime-Version: 1.0
    Content-Type: text/html; charset=us-ascii
    Content-Transfer-Encoding: 8bit
    Content-Disposition: inline
    Return-Path: bird.road@bramagruys.com
    X-OriginalArrivalTime: 25 Feb 2014 00:28:36.0638 (UTC) FILETIME=[85DD2BE0:01CF31C0]















    Regarding Your New Job Opportunity

    Monday, 24th - February



    Starting Salary: $75.00 an hour

    Status: PENDING



    Stay at home and work with the following companies






    ebay , amazon , Google,craigslist & *




    facebook




    This job has been reserved for you but will not be available long. We will need your response here to proceed.



    Your total 2014 salary could end up being over $89,000 (working from home).



    Claim it By Applying Here: ID# 6080009472861610946













    Have these come to a close. Its easy just go to this page now





    Put this to an end right/here today. or send a written note 704 Volunteer DriveChattanooga TN 37416-3860 







    IBM is committing to bring 500 jobs to a new, 100,000-square-foot, state-owned computer information technology center in Buffalo to train future and current industry workers and to create cutting-edge software for energy, health, defense and other industries, Gov. Andrew M. Cuomo announced today.

    Big Blue, as IBM sometimes is known, has also agreed to bolster a separate – though likely linked – endeavor by becoming the first corporate technology member of the recently announced New York Genomic Medicine Center, a $100 million new partnership between a genome research facility in Manhattan and the University at Buffalo’s center for computational research, according to Cuomo administration officials.

    At a news conference Monday, it was announced that IBM will be the anchor tenant in a new partnership development with SUNY College of Nanoscale Engineering in Albany.

    “It’s the right place to be, it’s the right direction, and IBM is the right partner,” Cuomo said.

    Some details of the announcement were provided to The Buffalo News on Sunday.

    The new facility to house IBM, and what the state hopes will be other private sector companies involved in the expansive field of information technology services, is expected to open in downtown Buffalo in early 2015. Officials said a precise location for the new site downtown has not yet been finalized.

    It is the latest in a series of economic development plans the Democratic governor has unveiled the past few years in Western New York, including the recent $1.5 billion RiverBend project.

    But unlike RiverBend, which so far involves two California energy companies, the endeavor Cuomo will tout today involves the world’s biggest technology services company, which operates in 170 countries and had a fourth-quarter net income in 2013 that totaled $6.2 billion.

    International Business Machines, founded 102 years ago in New York State and first known as the Computing Tabulating Recording Company, is headquartered in Armonk in Westchester County. Its history in the state has been one of an on-again, off-again cycle of boom and bust, especially in the Southern Tier near Binghamton as well as in the Mid-Hudson Valley, where layoffs are reportedly on the horizon in coming weeks.

    Officials said Sunday the IBM jobs for the Buffalo project are new for the company and are not part of a relocation effort from other areas.

    IBM is being lured to Buffalo, in part, with $55 million in state funding toward the project that officials said Sunday is coming out of Cuomo’s Buffalo Billion dollar commitment. The money, steered through the Albany-based College of Nanoscale Science and Engineering, which is part of the State University at New York system, will include $25 million to build what state officials called a “high-end software development center’’ downtown whose first tenant will be IBM.

    An additional $30 million will go for the purchase of various software, computers and servers. Using the model the state has employed before, notably at its nanoscale facility in Albany, taxpayers will not provide IBM with any direct subsidies for the purchase of the equipment; instead, the state will purchase and own the equipment that private companies can then tap into as part of their rental agreements.

    State officials said Sunday they expect the 500-job target to be hit in three to five years, and that IBM will put an emphasis on recruiting software engineer and researcher graduates from Buffalo-area colleges – a move that could help slow some of the “brain drain” of young people the region has experienced for years.

    The governor will announce that IBM will be the first anchor tenant of what he is calling the Buffalo Information Technologies Innovation and Commercialization Hub, a title similar to two other “innovation hub” ventures he has announced for projects at RiverBend and the Buffalo Niagara Medical Campus that involve partnerships among government, universities and the private sector.

    “From medical and clean energy innovation to now, cutting-edge software development, we are making strategic investments in emerging fields that will position the city of Buffalo and the entire Western New York region as a leader in the high-tech industry and a pioneer of new discoveries,” Cuomo said in a written statement.

    Ginni Rometty, IBM chairman, president and chief executive officer, said Cuomo’s push for the new facility will “create new opportunity for Buffalo developing the next generation of software in growth areas like mobile, cloud and analytics.”

    The state will own the downtown information technology facilities center to be used by IBM.

    The administration says the new deal with IBM is part of an effort involving the Western Regional Economic Development Council, the state’s own data center in Albany that is used by all state agencies, the nanoscale college in Albany and the University at Buffalo.

    Officials say its software developments in the information technology field could end up being used by an assortment of industries, including genomics and molecular research, as well as unspecified defense sector applications.

    Besides the IT jobs and software project, IBM is joining Cuomo’s program for a New York Genome Center that is expected to use UB’s large computing capacity to help with turning genome research underway at a Manhattan facility into practical health care advances that founders of the group say could show up quickly in hospitals and doctors’ offices.

    Cuomo has proposed to split $105 million between Buffalo and Manhattan. The money still has to be approved in the 2014 budget talks that are expected to get more serious attention when lawmakers return this week from a vacation, though there is little chance the money will not be included in the final fiscal plan.

    State officials envision a connection between the new software center to be constructed with IBM as the first major tenant and the genome program; they say software developed at the newly announced information technology hub could be used to help decipher the humane genome.

    IBM for years has been one of the key tenants at the ever-growing, 1.3 million-square-foot nanoscale campus in Albany, which has contributed to the reputation of the Capital Region as a high-technology address for research and manufacturing companies from around the world. The Albany nanoscale’s head, Dr. Alain Kaloyeros, who has increasingly become a trusted adviser to Cuomo, was part of the team to bring IBM to Buffalo.

    The two other “hubs” announced recently by Cuomo for Buffalo are the High Manufacturing Innovation Hub, which calls for a clean-energy facility on the former Republic Steel property on the Buffalo River that so far has attracted a LED lighting maker and solar panel manufacturer, and the Buffalo Medical Innovation and Commercialization Hub, which calls for $50 million in state money to build a biomedical facility with state-owned equipment on the grounds of the Buffalo Niagara Medical Campus that has attracted two initial tenants so far.

    Saying the economic development needs of Western New York have been largely ignored over the years by state officials, Cuomo in 2012 pledged to spend $1 billion in state money to help with job creation efforts in the region. The timeframe for when the money would be spent has been somewhat of a moving target, though in his new 2014 budget plan Cuomo proposed the state set aside the remaining uncommitted $680 million from the original $1 billion pledge. That does not mean that amount would be spent in the coming year, but rather would create a placeholder in the state’s bank account that could be tapped in future years without having to be a part of the annual budget process.