This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Recent Increase In SPAM

Hi All,

We have an ASG 220 and since about mid December, we have seen an increase in SPAM getting through the filter. Here are the things I've tried. The owners used to get maybe 1-2 every couple of days. Now they get between 15-20 daily

1) Country Blocking - This works OK, but most of our SPAM is coming from the US. And so does our legitimate email...

2) RBLs - I currently have "Recommended" checked with bl.spamcop.net and b.barracudacentral.org in the list. I've checked the IPs of mail getting through against a multi RBL lookup site and the IPs either aren't listed or are only listed in one of the servers, and never the same one consistently enough to add it to my RBL check list. I have also found several IPs that CommTouch identifies as high risk yet these messages get through with no problem

3) Advanced Anti-Spam Options - everything is checked except Strict RDNS checks.

4) Log Analysis - I've spent several hours analyzing the SMTP proxy logs for SPAMing networks, domains, etc. While I've found some and blocked them, the issue is the SPAMers use these IP networks and domain names once or twice and then switch to something else. 

5) Doing things like Regular Expressions is useless because they may send 4-5 emails that day using the same keywords, but then it stops and switches to something else. In other words, by the time I would have added them to the SPAM filter they've moved onto another campaign. One day it's Ellen Degeneres, the next day it's Weight Loss Spray, the next it's Term Life coverage.

6) Submitting SPAM to Sophos - I've added a button to the users' Outlook that sends an email to the is-spam address at sophos with the SPAM message as an attachment with the headers in tact. They have been doing this since Mid December.

7) Called support today - got nowhere. They logged in to look at my settings and all they could ell me is "your setup looks good, you're doing the right things by submitting messages to us but we have no answer for you on how to block these obvious SPAM messages."

To me it feels like the content scanning is utterly broken and useless. And me blocking IPs and regex expressions is a total waste of time because it will change within a day or so. If I go to the Mail Manager and only display messages that are SPAM there are no results. The only rejected messages are RBL or RDNS/HELO related. And the messages that are quarantined are only messages matching keywords we have manually added. Nothing from the Sophos pattern stuff.

Does anyone have any ideas to tighten this thing down?

Thanks!


This thread was automatically locked due to age.
Parents
  • Yes, there's no way now.  I suspect that CommTouch includes URLs in the message in the "signature" calculated by ctasd that's compared to known-spam signatures at CommTouch.  I suspect that this approach means that it takes a bit longer for such info to get into the known-spam signature database.

    It would be cool if the UTM also has a Web Protection subscription if the content were examined for any URLs and they were tested against the SmartFilterXL or the Sophos data base.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • The SPAM getting through hasn't gone back down to almost nothing like the Boss says it used to be, but it's gotten a lot better. I enabled the Strict RDNS check and tweaked my RBLs a bit. This seems to have reduced the stuff getting through from 10-15 a day to 1-2. Only time will tell, though.

    Thanks for your help guys
  • I'm happy to read this [:)]
  • What RBLs did you end up using?  

    I'm using zen.spamhaus.org, and b.barracudacentral.org.  We have been getting 20-40 spam per mailbox per day.  I'm going to enable strict RDNS now.
  • What RBLs did you end up using?  

    I'm using zen.spamhaus.org, and b.barracudacentral.org.  We have been getting 20-40 spam per mailbox per day.  I'm going to enable strict RDNS now.


    I ended up using those two as well as bl.spamcop.net and dul.dnsbl.sorbs.net but I don't think that one is for SMTP. It looks like it's more for checking URLs in email content.

    I also enabled strict RDNS and this seemed to help quite a bit for me. I notice it stopping a lot of stuff. Also, everyday I look at the SPAM countries in the Executive report and block those that are sending a lot of SPAM. Unfortunately, most of our SPAM comes from the US, so...

    Good luck!
  • I had problems with country blocking due to hosting providers and some product/manufactures having downloads and support from other countries. But i was blocking a pretty wide range.

    What countries did you end up blocking?
  • I had problems with country blocking due to hosting providers and some product/manufactures having downloads and support from other countries. But i was blocking a pretty wide range.

    What countries did you end up blocking?


    Yeah I ran into that issue, too. We were getting a bunch of SPAM from Germany, so I blocked that off. But guess who hosts their stuff in Germany (I'll give you a hint - you're connected to it right now) [:D]. The fix for that is on the Country blocking, you can choose to block all, incoming or outgoing. So, you can still download stuff from Germany, but not accept any traffic from them.

    Most notably, I blocked Brazil, Russia, Taiwan, and a host of others. Just watch the Executive report and you'll see the countries to block
Reply
  • I had problems with country blocking due to hosting providers and some product/manufactures having downloads and support from other countries. But i was blocking a pretty wide range.

    What countries did you end up blocking?


    Yeah I ran into that issue, too. We were getting a bunch of SPAM from Germany, so I blocked that off. But guess who hosts their stuff in Germany (I'll give you a hint - you're connected to it right now) [:D]. The fix for that is on the Country blocking, you can choose to block all, incoming or outgoing. So, you can still download stuff from Germany, but not accept any traffic from them.

    Most notably, I blocked Brazil, Russia, Taiwan, and a host of others. Just watch the Executive report and you'll see the countries to block
Children
No Data