Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 6368 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Antispam not working

3NDL3R
Hi guys,

I have a problem with the "SMTP" function - specially the antispam options.
I have to two cascaded Astaro ASG120 Rev.4 running with Sophos 9.109-1.

In the DMZ I have a Synology DS-713+ hosting my Emails on a zarafa server.
Both - Zarafa as well as Astaro - are offering Antispam, DNSBL among others.

I now activated SMTP scanning on the UTM9 as well as on the Synology DS.
I also directly added pattern (email addresses, expression filters) to both.

Unfortunately I still get spams emails i.e. news@info.greatoffers.eu which I
blocked with "*@info.greatoffers.eu" as well as (!) "news@info.greatoffers.eu".

The domain as well as (because didn't worked with just the wildcard in the
first place) the email address itself where entered on Astaro AND Synology.

Even several expressions i.e. "cpx online active AG" (content in the email 
which is the "impressum" of the spam sending companies) were entered.

I don't know what is going on. Astaro's SMTP is listening in the line and shall
scan incoming SMTP traffic. And Synology shall do the same on its side.

However none of those two is recognizing spam I told them to block.
Can anyone tell me what's wrong (in this forum specially with the astaro)?


This thread was automatically locked due to age.
  • 0
    Hi, 3NDL3R,

    When you say "cascaded," I assume you mean that one 120 is at the edge, connected to the public Internet, and that the other 120 is inside the LAN isolating some subnet.

    Show the lines from the SMTP log file where one of those senders got through.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yes. I have one ASG120v4 which is connected to my FiOS Router. The second ASG120v4 is behind the 1st ASG. To the 2nd one the LAN is connected i.e. as following:

    LAN > ASG2 > ASG1 > FiOS Router > Internet

    My Synology DS-713+ is connected to the first DMZ interface of ASG1 with its the 1st LAN network (for internet). The 2nd LAN network of the Synology is connected to the DMZ of ASG2. So I can reach the Synology from my LAN through ASG2.

    It's crazy that you ask me to post some smtp log entries where spam senders went through. But I found none. They weren't logged at all. Found just one:

    2014:03:30-04:09:08 myip exim-in[20863]: 2014-03-30 04:09:08 SMTP connection from moutng.kundenserver.de [212.227.17.13]:49230 closed by QUIT
    2014:03:30-04:09:09 myip smtpd[4622]: QMGR[4622]: 1WUAnk-0005QV-0E moved to work queue
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: 1WUAnm-0005Qa-AF info@mydomain.eu R=1WUAnk-0005QV-0E P=INPUT S=12102
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="212.227.17.13" from="info@mydomain.eu" to="info@mydomain.us" subject="Sorgenfrei mit günstigen Sofortkrediten" queueid="1WUAnm-0005Qa-AF" size="12102"
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: 1WUAnk-0005QV-0E => work R=SCANNER T=SCANNER
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: 1WUAnk-0005QV-0E Completed
    2014


    Or this one 

    2014:03:30-10:52:36 myip exim-in[32587]: 2014-03-30 10:52:36 SMTP connection from moutng.kundenserver.de [212.227.17.24]:64357 closed by QUIT
    2014:03:30-10:52:37 myip smtpd[4622]: QMGR[4622]: 1WUH6B-0008Tb-2l moved to work queue
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: 1WUH6G-0008Tk-27 info@mydomain.eu R=1WUH6B-0008Tb-2l P=INPUT S=125348
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="212.227.17.24" from="info@mydomain.eu" to="info@mydomain.us" subject="4 Sterne All Inclusive Fuerteventure mit Flug nur 465 EUR" queueid="1WUH6G-0008Tk-27" size="125348"
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: 1WUH6B-0008Tb-2l => work R=SCANNER T=SCANNER
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: 1WUH6B-0008Tb-2l Completed


    But this are - if I don't get it wrong - just antivirus scannings. Not Antispam. The only entries I find where the Astaro is scanning a spam wasn't a spam:

    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 DNS list lookup defer (probably timeout) for 231.210.115.50.relays.visi.com: assumed not in list
    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="50.115.210.231" from="f86c8cafac047b8b8ab8d4b17307b5de65a808a50d06bd37f2c05ecba2484438@bounce.r.groupon.com" to="dirk@mydomain.us" size="-1" reason="rbl" extra="blacklist.spambag.org"
    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 H=mta64s1.r.groupon.com [50.115.210.231]:40434 F= rejected RCPT : 50.115.210.231 blacklisted at blacklist.spambag.org
    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 SMTP connection from mta64s1.r.groupon.com [50.115.210.231]:40434 closed by DROP in ACL
    2014:03:30-09:37:49 myip smtpd[4594]: MASTER[4594]: (Re-)loading configuration from Confd


    2014:03:30-05:19:37 myip exim-in[28646]: 2014-03-30 05:19:37 DNS list lookup defer (probably timeout) for 56.15.240.54.list.dsbl.org: assumed not in list
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 DNS list lookup defer (probably timeout) for 56.15.240.54.relays.visi.com: assumed not in list
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="54.240.15.56" from="20140330091915d3ff6b25870d43c0940d2713f754072e-C2PA3WK5II74YE@bounces.amazon.com" to="dirk@mydomain.us" size="-1" reason="rbl" extra="blacklist.spambag.org"
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 H=a15-56.smtp-out.amazonses.com [54.240.15.56]:50521 F= rejected RCPT : 54.240.15.56 blacklisted at blacklist.spambag.org
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 SMTP connection from a15-56.smtp-out.amazonses.com [54.240.15.56]:50521 closed by DROP in ACL


    I also found this one but cannot say with WHICH exception from my whitelists it matched:

    2014:03:30-09:05:50 myip exim-in[21023]: 2014-03-30 09:05:50 H=moutng.kundenserver.de [212.227.17.13]:60317 Warning: Exception matched: Skipping greylisting for this message
    2014:03:30-09:05:50 myip exim-in[21023]: 2014-03-30 09:05:50 H=moutng.kundenserver.de [212.227.17.13]:60317 Warning: Exception matched: Skipping antispam for this message
    2014:03:30-09:05:50 myip exim-in[21023]: 2014-03-30 09:05:50 [212.227.17.13] F= R= Verifying recipient address with callout
    2014:03:30-09:05:51 myip exim-in[21023]: 2014-03-30 09:05:51 1WUFQs-0005T5-2E info@mydomain.eu H=moutng.kundenserver.de [212.227.17.13]:60317 P=esmtps X=UNKNOWN:AES128-SHA:128 S=27679 id=635317887495659700.H1726944646@emailsocket.dc.lan
    2014:03:30-09:05:51 myip exim-in[21023]: 2014-03-30 09:05:51 SMTP connection from moutng.kundenserver.de [212.227.17.13]:60317 closed by QUIT


    Here is my antispam setting (if that helps):




    In this case it was "blacklisted". Okay I can fix that. But however ... I whitelisted groupon under exceptions with "*@en.groupon.com". By the way ... is there a way to use the exception "*@*.groupon.com"??? Or would that be "*@*groupon.com" for the case that there is no subdomain i.e. info@email.groupon.com??? According to the manual you can only use *@domain.com" - isn't it???
  • 0
    Yes, I've experimented with "*@*.domain.com" in the 'Sender blacklist' and can confirm that it's never worked in any previous version.

    Search the SMTP log file for info.greatoffers.eu.  We need to see the 20-to-40 lines related to one such email.  There will be lines related to other emails mixed in, but go ahead and include them.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Sorry ... I don't find ANY spam domain name in the smtp log. Only this:

    2014:03:30-01:13:07 myip exim-in[4643]: 2014-03-30 01:13:07 pid 4643: SIGHUP received: re-exec daemon
    2014:03:30-01:13:07 myip exim-in[4643]: 2014-03-30 01:13:07 exim 4.76 daemon started: pid=4643, no queue runs, listening for SMTP on port 25 (IPv4) port 587 (IPv4) and for SMTPS on port 465 (IPv4)
    2014:03:30-01:13:18 myip exim-in[4643]: 2014-03-30 01:13:18 SMTP connection from [212.227.17.13]:53532 (TCP/IP connection count = 1)
    2014:03:30-01:13:19 myip exim-in[1305]: 2014-03-30 01:13:19 H=moutng.kundenserver.de [212.227.17.13]:53532 Warning: Exception matched: Skipping greylisting for this message
    2014:03:30-01:13:19 myip exim-in[1305]: 2014-03-30 01:13:19 H=moutng.kundenserver.de [212.227.17.13]:53532 Warning: Exception matched: Skipping antispam for this message
    2014:03:30-01:13:19 myip exim-in[1305]: 2014-03-30 01:13:19 [212.227.17.13] F= R= Verifying recipient address with callout
    2014:03:30-01:13:20 myip exim-in[1305]: 2014-03-30 01:13:20 1WU83b-0000L3-0n DKIM: d=de.cc s=nl c=simple/simple a=rsa-sha256 i=@de.cc t=1396156397 x=1427692397 [verification succeeded]
    2014:03:30-01:13:20 myip exim-in[1305]: 2014-03-30 01:13:20 1WU83b-0000L3-0n info@mydomain.eu H=moutng.kundenserver.de [212.227.17.13]:53532 P=esmtps X=UNKNOWN:AES128-SHA:128 S=52973 id=635317603973292967.H1726944646@emailsocket.dc.lan
    2014:03:30-01:13:20 myip exim-in[1305]: 2014-03-30 01:13:20 SMTP connection from moutng.kundenserver.de [212.227.17.13]:53532 closed by QUIT


    That's it! But I got those damn spams. But for some reason the smtp proxy just let them through. That's what drives me crazy.

    I switched the proxy off and now manage the spams directly with the Synology Mail Server's Spamassassin. But I would be happy to have this damn Astaro SMTP Proxy up-n-running correctly.
  • 0
    You have configured many things in your proxy settings. Maybe it is a good idea to start over with a minimum set of configuration options a see if that works. You can try to tune things afterwards.

    Regards
    Manfred
  • 0
    If there's no record of the email address in the SMTP log file, refer to #2 in Rulz - I bet you recently introduced a DNAT into the mix.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    If there's no record of the email address in the SMTP log file, refer to #2 in Rulz - I bet you recently introduced a DNAT into the mix.

    Cheers - Bob


    That's funny. I had the DNAT for ports 25, 465 and 587. But I deactivated them when I enabled the SMTP proxy. So the proxy should not only scan for antivirus - what it does - but also for antispam. Driving me crazy!!! I attached a screenshot from my DNAT. The first three (25, 465 and 587) are deactivated when I enable the SMTP proxy:

  • 0
    I guess Bob's Rulz nailed it once again :-) .
  • 0
    Okay ... so Murphey's in my system? *nice*
  • 0
    If you check the times the spams got through, I bet you'll find a record in the Firewall log where the DNAT was applied, thus preventing the SMTP proxy from handling the mail.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML