Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 6374 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Antispam not working

3NDL3R
Hi guys,

I have a problem with the "SMTP" function - specially the antispam options.
I have to two cascaded Astaro ASG120 Rev.4 running with Sophos 9.109-1.

In the DMZ I have a Synology DS-713+ hosting my Emails on a zarafa server.
Both - Zarafa as well as Astaro - are offering Antispam, DNSBL among others.

I now activated SMTP scanning on the UTM9 as well as on the Synology DS.
I also directly added pattern (email addresses, expression filters) to both.

Unfortunately I still get spams emails i.e. news@info.greatoffers.eu which I
blocked with "*@info.greatoffers.eu" as well as (!) "news@info.greatoffers.eu".

The domain as well as (because didn't worked with just the wildcard in the
first place) the email address itself where entered on Astaro AND Synology.

Even several expressions i.e. "cpx online active AG" (content in the email 
which is the "impressum" of the spam sending companies) were entered.

I don't know what is going on. Astaro's SMTP is listening in the line and shall
scan incoming SMTP traffic. And Synology shall do the same on its side.

However none of those two is recognizing spam I told them to block.
Can anyone tell me what's wrong (in this forum specially with the astaro)?


This thread was automatically locked due to age.
Parents
  • 0
    Yes. I have one ASG120v4 which is connected to my FiOS Router. The second ASG120v4 is behind the 1st ASG. To the 2nd one the LAN is connected i.e. as following:

    LAN > ASG2 > ASG1 > FiOS Router > Internet

    My Synology DS-713+ is connected to the first DMZ interface of ASG1 with its the 1st LAN network (for internet). The 2nd LAN network of the Synology is connected to the DMZ of ASG2. So I can reach the Synology from my LAN through ASG2.

    It's crazy that you ask me to post some smtp log entries where spam senders went through. But I found none. They weren't logged at all. Found just one:

    2014:03:30-04:09:08 myip exim-in[20863]: 2014-03-30 04:09:08 SMTP connection from moutng.kundenserver.de [212.227.17.13]:49230 closed by QUIT
    2014:03:30-04:09:09 myip smtpd[4622]: QMGR[4622]: 1WUAnk-0005QV-0E moved to work queue
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: 1WUAnm-0005Qa-AF info@mydomain.eu R=1WUAnk-0005QV-0E P=INPUT S=12102
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="212.227.17.13" from="info@mydomain.eu" to="info@mydomain.us" subject="Sorgenfrei mit günstigen Sofortkrediten" queueid="1WUAnm-0005Qa-AF" size="12102"
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: 1WUAnk-0005QV-0E => work R=SCANNER T=SCANNER
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: 1WUAnk-0005QV-0E Completed
    2014


    Or this one 

    2014:03:30-10:52:36 myip exim-in[32587]: 2014-03-30 10:52:36 SMTP connection from moutng.kundenserver.de [212.227.17.24]:64357 closed by QUIT
    2014:03:30-10:52:37 myip smtpd[4622]: QMGR[4622]: 1WUH6B-0008Tb-2l moved to work queue
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: 1WUH6G-0008Tk-27 info@mydomain.eu R=1WUH6B-0008Tb-2l P=INPUT S=125348
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="212.227.17.24" from="info@mydomain.eu" to="info@mydomain.us" subject="4 Sterne All Inclusive Fuerteventure mit Flug nur 465 EUR" queueid="1WUH6G-0008Tk-27" size="125348"
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: 1WUH6B-0008Tb-2l => work R=SCANNER T=SCANNER
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: 1WUH6B-0008Tb-2l Completed


    But this are - if I don't get it wrong - just antivirus scannings. Not Antispam. The only entries I find where the Astaro is scanning a spam wasn't a spam:

    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 DNS list lookup defer (probably timeout) for 231.210.115.50.relays.visi.com: assumed not in list
    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="50.115.210.231" from="f86c8cafac047b8b8ab8d4b17307b5de65a808a50d06bd37f2c05ecba2484438@bounce.r.groupon.com" to="dirk@mydomain.us" size="-1" reason="rbl" extra="blacklist.spambag.org"
    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 H=mta64s1.r.groupon.com [50.115.210.231]:40434 F= rejected RCPT : 50.115.210.231 blacklisted at blacklist.spambag.org
    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 SMTP connection from mta64s1.r.groupon.com [50.115.210.231]:40434 closed by DROP in ACL
    2014:03:30-09:37:49 myip smtpd[4594]: MASTER[4594]: (Re-)loading configuration from Confd


    2014:03:30-05:19:37 myip exim-in[28646]: 2014-03-30 05:19:37 DNS list lookup defer (probably timeout) for 56.15.240.54.list.dsbl.org: assumed not in list
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 DNS list lookup defer (probably timeout) for 56.15.240.54.relays.visi.com: assumed not in list
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="54.240.15.56" from="20140330091915d3ff6b25870d43c0940d2713f754072e-C2PA3WK5II74YE@bounces.amazon.com" to="dirk@mydomain.us" size="-1" reason="rbl" extra="blacklist.spambag.org"
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 H=a15-56.smtp-out.amazonses.com [54.240.15.56]:50521 F= rejected RCPT : 54.240.15.56 blacklisted at blacklist.spambag.org
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 SMTP connection from a15-56.smtp-out.amazonses.com [54.240.15.56]:50521 closed by DROP in ACL


    I also found this one but cannot say with WHICH exception from my whitelists it matched:

    2014:03:30-09:05:50 myip exim-in[21023]: 2014-03-30 09:05:50 H=moutng.kundenserver.de [212.227.17.13]:60317 Warning: Exception matched: Skipping greylisting for this message
    2014:03:30-09:05:50 myip exim-in[21023]: 2014-03-30 09:05:50 H=moutng.kundenserver.de [212.227.17.13]:60317 Warning: Exception matched: Skipping antispam for this message
    2014:03:30-09:05:50 myip exim-in[21023]: 2014-03-30 09:05:50 [212.227.17.13] F= R= Verifying recipient address with callout
    2014:03:30-09:05:51 myip exim-in[21023]: 2014-03-30 09:05:51 1WUFQs-0005T5-2E info@mydomain.eu H=moutng.kundenserver.de [212.227.17.13]:60317 P=esmtps X=UNKNOWN:AES128-SHA:128 S=27679 id=635317887495659700.H1726944646@emailsocket.dc.lan
    2014:03:30-09:05:51 myip exim-in[21023]: 2014-03-30 09:05:51 SMTP connection from moutng.kundenserver.de [212.227.17.13]:60317 closed by QUIT


    Here is my antispam setting (if that helps):




    In this case it was "blacklisted". Okay I can fix that. But however ... I whitelisted groupon under exceptions with "*@en.groupon.com". By the way ... is there a way to use the exception "*@*.groupon.com"??? Or would that be "*@*groupon.com" for the case that there is no subdomain i.e. info@email.groupon.com??? According to the manual you can only use *@domain.com" - isn't it???
Reply
  • 0
    Yes. I have one ASG120v4 which is connected to my FiOS Router. The second ASG120v4 is behind the 1st ASG. To the 2nd one the LAN is connected i.e. as following:

    LAN > ASG2 > ASG1 > FiOS Router > Internet

    My Synology DS-713+ is connected to the first DMZ interface of ASG1 with its the 1st LAN network (for internet). The 2nd LAN network of the Synology is connected to the DMZ of ASG2. So I can reach the Synology from my LAN through ASG2.

    It's crazy that you ask me to post some smtp log entries where spam senders went through. But I found none. They weren't logged at all. Found just one:

    2014:03:30-04:09:08 myip exim-in[20863]: 2014-03-30 04:09:08 SMTP connection from moutng.kundenserver.de [212.227.17.13]:49230 closed by QUIT
    2014:03:30-04:09:09 myip smtpd[4622]: QMGR[4622]: 1WUAnk-0005QV-0E moved to work queue
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: 1WUAnm-0005Qa-AF info@mydomain.eu R=1WUAnk-0005QV-0E P=INPUT S=12102
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="212.227.17.13" from="info@mydomain.eu" to="info@mydomain.us" subject="Sorgenfrei mit günstigen Sofortkrediten" queueid="1WUAnm-0005Qa-AF" size="12102"
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: 1WUAnk-0005QV-0E => work R=SCANNER T=SCANNER
    2014:03:30-04:09:10 myip smtpd[20868]: SCANNER[20868]: 1WUAnk-0005QV-0E Completed
    2014


    Or this one 

    2014:03:30-10:52:36 myip exim-in[32587]: 2014-03-30 10:52:36 SMTP connection from moutng.kundenserver.de [212.227.17.24]:64357 closed by QUIT
    2014:03:30-10:52:37 myip smtpd[4622]: QMGR[4622]: 1WUH6B-0008Tb-2l moved to work queue
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: 1WUH6G-0008Tk-27 info@mydomain.eu R=1WUH6B-0008Tb-2l P=INPUT S=125348
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="212.227.17.24" from="info@mydomain.eu" to="info@mydomain.us" subject="4 Sterne All Inclusive Fuerteventure mit Flug nur 465 EUR" queueid="1WUH6G-0008Tk-27" size="125348"
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: 1WUH6B-0008Tb-2l => work R=SCANNER T=SCANNER
    2014:03:30-10:52:40 myip smtpd[32596]: SCANNER[32596]: 1WUH6B-0008Tb-2l Completed


    But this are - if I don't get it wrong - just antivirus scannings. Not Antispam. The only entries I find where the Astaro is scanning a spam wasn't a spam:

    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 DNS list lookup defer (probably timeout) for 231.210.115.50.relays.visi.com: assumed not in list
    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="50.115.210.231" from="f86c8cafac047b8b8ab8d4b17307b5de65a808a50d06bd37f2c05ecba2484438@bounce.r.groupon.com" to="dirk@mydomain.us" size="-1" reason="rbl" extra="blacklist.spambag.org"
    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 H=mta64s1.r.groupon.com [50.115.210.231]:40434 F= rejected RCPT : 50.115.210.231 blacklisted at blacklist.spambag.org
    2014:03:30-09:37:12 myip exim-in[24509]: 2014-03-30 09:37:12 SMTP connection from mta64s1.r.groupon.com [50.115.210.231]:40434 closed by DROP in ACL
    2014:03:30-09:37:49 myip smtpd[4594]: MASTER[4594]: (Re-)loading configuration from Confd


    2014:03:30-05:19:37 myip exim-in[28646]: 2014-03-30 05:19:37 DNS list lookup defer (probably timeout) for 56.15.240.54.list.dsbl.org: assumed not in list
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 DNS list lookup defer (probably timeout) for 56.15.240.54.relays.visi.com: assumed not in list
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="54.240.15.56" from="20140330091915d3ff6b25870d43c0940d2713f754072e-C2PA3WK5II74YE@bounces.amazon.com" to="dirk@mydomain.us" size="-1" reason="rbl" extra="blacklist.spambag.org"
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 H=a15-56.smtp-out.amazonses.com [54.240.15.56]:50521 F= rejected RCPT : 54.240.15.56 blacklisted at blacklist.spambag.org
    2014:03:30-05:19:52 myip exim-in[28646]: 2014-03-30 05:19:52 SMTP connection from a15-56.smtp-out.amazonses.com [54.240.15.56]:50521 closed by DROP in ACL


    I also found this one but cannot say with WHICH exception from my whitelists it matched:

    2014:03:30-09:05:50 myip exim-in[21023]: 2014-03-30 09:05:50 H=moutng.kundenserver.de [212.227.17.13]:60317 Warning: Exception matched: Skipping greylisting for this message
    2014:03:30-09:05:50 myip exim-in[21023]: 2014-03-30 09:05:50 H=moutng.kundenserver.de [212.227.17.13]:60317 Warning: Exception matched: Skipping antispam for this message
    2014:03:30-09:05:50 myip exim-in[21023]: 2014-03-30 09:05:50 [212.227.17.13] F= R= Verifying recipient address with callout
    2014:03:30-09:05:51 myip exim-in[21023]: 2014-03-30 09:05:51 1WUFQs-0005T5-2E info@mydomain.eu H=moutng.kundenserver.de [212.227.17.13]:60317 P=esmtps X=UNKNOWN:AES128-SHA:128 S=27679 id=635317887495659700.H1726944646@emailsocket.dc.lan
    2014:03:30-09:05:51 myip exim-in[21023]: 2014-03-30 09:05:51 SMTP connection from moutng.kundenserver.de [212.227.17.13]:60317 closed by QUIT


    Here is my antispam setting (if that helps):




    In this case it was "blacklisted". Okay I can fix that. But however ... I whitelisted groupon under exceptions with "*@en.groupon.com". By the way ... is there a way to use the exception "*@*.groupon.com"??? Or would that be "*@*groupon.com" for the case that there is no subdomain i.e. info@email.groupon.com??? According to the manual you can only use *@domain.com" - isn't it???
Children
No Data
Unfiltered HTML