This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Recent Increase In SPAM

Hi All,

We have an ASG 220 and since about mid December, we have seen an increase in SPAM getting through the filter. Here are the things I've tried. The owners used to get maybe 1-2 every couple of days. Now they get between 15-20 daily

1) Country Blocking - This works OK, but most of our SPAM is coming from the US. And so does our legitimate email...

2) RBLs - I currently have "Recommended" checked with bl.spamcop.net and b.barracudacentral.org in the list. I've checked the IPs of mail getting through against a multi RBL lookup site and the IPs either aren't listed or are only listed in one of the servers, and never the same one consistently enough to add it to my RBL check list. I have also found several IPs that CommTouch identifies as high risk yet these messages get through with no problem

3) Advanced Anti-Spam Options - everything is checked except Strict RDNS checks.

4) Log Analysis - I've spent several hours analyzing the SMTP proxy logs for SPAMing networks, domains, etc. While I've found some and blocked them, the issue is the SPAMers use these IP networks and domain names once or twice and then switch to something else. 

5) Doing things like Regular Expressions is useless because they may send 4-5 emails that day using the same keywords, but then it stops and switches to something else. In other words, by the time I would have added them to the SPAM filter they've moved onto another campaign. One day it's Ellen Degeneres, the next day it's Weight Loss Spray, the next it's Term Life coverage.

6) Submitting SPAM to Sophos - I've added a button to the users' Outlook that sends an email to the is-spam address at sophos with the SPAM message as an attachment with the headers in tact. They have been doing this since Mid December.

7) Called support today - got nowhere. They logged in to look at my settings and all they could ell me is "your setup looks good, you're doing the right things by submitting messages to us but we have no answer for you on how to block these obvious SPAM messages."

To me it feels like the content scanning is utterly broken and useless. And me blocking IPs and regex expressions is a total waste of time because it will change within a day or so. If I go to the Mail Manager and only display messages that are SPAM there are no results. The only rejected messages are RBL or RDNS/HELO related. And the messages that are quarantined are only messages matching keywords we have manually added. Nothing from the Sophos pattern stuff.

Does anyone have any ideas to tighten this thing down?

Thanks!


This thread was automatically locked due to age.
Parents
  • Thanks for this thread. 

    I installed a SG230 last night and ditched out Mailguard service and noticed a lot more SPAM getting through overnight that was normally blocked by Mailguard. I've enabled STRICT RDNS and the extra RBL's that you guys have listed.

    We'll see how it goes [;)]
  • Thanks for this thread. 

    I installed a SG230 last night and ditched out Mailguard service and noticed a lot more SPAM getting through overnight that was normally blocked by Mailguard. I've enabled STRICT RDNS and the extra RBL's that you guys have listed.

    We'll see how it goes [;)]




    What's the verdict after making these changes on your box?
  • What's the verdict after making these changes on your box?


    To be honest - not as good as Mailguard but not too far off it. Mailguard is a dedicated 3rd party mail filtering service. That's all they do. And they do it damned well. 

    I'm only seeing a slight increase of SPAM getting through to the end users - The main SPAM messages that I am seeing is people who've actually signed up to various 'legit' mailing lists and opt-ins when purchasing crap or signing up to even more crap online with their work accounts. The troubling ones that are getting through are the tricky embedded 'click here' links in the body of the message and in attached PDF files.

    Every few weeks I send out my usual reminders and keep people aware of new kinds of threats and told them how to unsubcribe (without pointing fingers) from mailing lists, special offers and all that crap, and that work email accounts are not to be used to book holiday cruises or shop online etc. 

    Sophos Endpoint is on every device in the Organisation, plus Shadowprotect is running continuous incrementals, so I 'should' be sweet in case the worst happens *touch wood*. 

    I actually jumped onto the support forum right now to specifically find out what people are doing about tightening their SPAM filters around the CyptoLocker and variants of those 'Click Here' messages and saw your response [;)]
Reply
  • What's the verdict after making these changes on your box?


    To be honest - not as good as Mailguard but not too far off it. Mailguard is a dedicated 3rd party mail filtering service. That's all they do. And they do it damned well. 

    I'm only seeing a slight increase of SPAM getting through to the end users - The main SPAM messages that I am seeing is people who've actually signed up to various 'legit' mailing lists and opt-ins when purchasing crap or signing up to even more crap online with their work accounts. The troubling ones that are getting through are the tricky embedded 'click here' links in the body of the message and in attached PDF files.

    Every few weeks I send out my usual reminders and keep people aware of new kinds of threats and told them how to unsubcribe (without pointing fingers) from mailing lists, special offers and all that crap, and that work email accounts are not to be used to book holiday cruises or shop online etc. 

    Sophos Endpoint is on every device in the Organisation, plus Shadowprotect is running continuous incrementals, so I 'should' be sweet in case the worst happens *touch wood*. 

    I actually jumped onto the support forum right now to specifically find out what people are doing about tightening their SPAM filters around the CyptoLocker and variants of those 'Click Here' messages and saw your response [;)]
Children
  • Hello!

    Just wanted to say: Thank you! Enabling Strict RDNS works brilliant so far!

    We were hit by a annoying SPAM Wave in the last 12 Hours and our UTM Settings so far didn't help very much. Our CEO did already complain about those Mails, because he don't want to meet any "Women from our Neighbourhood"! [:D] In this SPAM Wave, the Sender and Receiver are always the same... We had "Reject invalid HELO or missing RDNS" already activated, but those Mails still did come through... Strict RDNS was still off, because we had heard that it can cause quite some trouble... After some digging in the Forum and finding this Thread i decided to activate the Feature anyhow to get rid of those Mails, because clearly the Sender IP doesn't match the Sender at ALL... And it works like a charm! Awesome! I will Monitor the Log for False Positives... But right now i don't care as long as this helps against that flippin Spam Wave [H]