This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Recent Increase In SPAM

Hi All,

We have an ASG 220 and since about mid December, we have seen an increase in SPAM getting through the filter. Here are the things I've tried. The owners used to get maybe 1-2 every couple of days. Now they get between 15-20 daily

1) Country Blocking - This works OK, but most of our SPAM is coming from the US. And so does our legitimate email...

2) RBLs - I currently have "Recommended" checked with bl.spamcop.net and b.barracudacentral.org in the list. I've checked the IPs of mail getting through against a multi RBL lookup site and the IPs either aren't listed or are only listed in one of the servers, and never the same one consistently enough to add it to my RBL check list. I have also found several IPs that CommTouch identifies as high risk yet these messages get through with no problem

3) Advanced Anti-Spam Options - everything is checked except Strict RDNS checks.

4) Log Analysis - I've spent several hours analyzing the SMTP proxy logs for SPAMing networks, domains, etc. While I've found some and blocked them, the issue is the SPAMers use these IP networks and domain names once or twice and then switch to something else. 

5) Doing things like Regular Expressions is useless because they may send 4-5 emails that day using the same keywords, but then it stops and switches to something else. In other words, by the time I would have added them to the SPAM filter they've moved onto another campaign. One day it's Ellen Degeneres, the next day it's Weight Loss Spray, the next it's Term Life coverage.

6) Submitting SPAM to Sophos - I've added a button to the users' Outlook that sends an email to the is-spam address at sophos with the SPAM message as an attachment with the headers in tact. They have been doing this since Mid December.

7) Called support today - got nowhere. They logged in to look at my settings and all they could ell me is "your setup looks good, you're doing the right things by submitting messages to us but we have no answer for you on how to block these obvious SPAM messages."

To me it feels like the content scanning is utterly broken and useless. And me blocking IPs and regex expressions is a total waste of time because it will change within a day or so. If I go to the Mail Manager and only display messages that are SPAM there are no results. The only rejected messages are RBL or RDNS/HELO related. And the messages that are quarantined are only messages matching keywords we have manually added. Nothing from the Sophos pattern stuff.

Does anyone have any ideas to tighten this thing down?

Thanks!


This thread was automatically locked due to age.
Parents
  • SG, you can make a suggestion at the Features site.

    Sascha, that you've been using strict for two years is good enough for me to try changing the setting on ours immediately.  If everything seems copacetic after a week, I'll have all my Email Protection clients switch.  Thanks!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • SG, you can make a suggestion at the Features site.

    Sascha, that you've been using strict for two years is good enough for me to try changing the setting on ours immediately.  If everything seems copacetic after a week, I'll have all my Email Protection clients switch.  Thanks!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data