Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 8043 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

submit spam to sophos? UTM not blocking enough

JasonIstre
I have added additional blacklists, turned on strict RDNS, but my users still are each still reporting 5-10 spam messages making it through everyday.  There has even been a virus or two slipping through every month.  Is there an easy way they can submit to Sophos without having to do a new email and attach the spam message?  I see recent Sophos articles like this...

Submit a Spam Sample
and
How to submit spam messages to Sophos with the Outlook Add-in

...which mention an outlook addon, but it appears that is regards to SEA or SEG or some other sophos email protection products.  I'm confused on the product lines, Is UTM email filtering a legacy/inferior Sophos product they are moving people away from?

Jason


This thread was automatically locked due to age.
  • 0
    We have the same problem, since a few weeks we receive a lot of spam and virus-emails directly to the users.
  • 0
    I'm confused on the product lines, Is UTM email filtering a legacy/inferior Sophos product they are moving people away from?

    Nope. [:)]

    UTM is a product line acquired as part of a merger with another vendor (Astaro) a few years back. It's a different layer of defense as part of Sophos' product line. Instead of at the client (once the email is inside the defenses), filter it at the wall.

    I think (don't quote me on this) that the spam filters used by the UTM were only recently switched over to Sophos' own so prior to then, submissions were made elsewhere(mcafee?).

    This may be a question for your Sophos' partner to answer. They can get an inside answer from Sophos or at the very least, get Sophos aware that UTM clients want this.
  • 0
    Hi Jason,

    Not exactly answer to your question/problem but consider implementing two layers of AV/AS defense, one on UTM and another on your internal mail server. Don't rely only on gateway SMTP protection, your internal mail flow is also vulnerable.

    Example from the field:

    DNS MX record -> UTM (Avira single scan, spam config very loose) -> EXCHANGE (Sophos Pure Message for Exchange, very restricted policies with user quarantine scheduled e-mail enabled).
  • 0 in reply to vilic
    The Spam filtering on the UTM is still using the Commtouch (now named Cyren) system (no changes to that in years) ... not sure what the "classic" Sophos Anti-Spam appliance uses.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    hi guys, 

    i´ve recognizing a similar problem. Mails went through the UTM, especially with .zip attachments and won´t blocked. If saving the mail attachment to the clients local disk, our sophos virus scanner detect the virus/malware file at once and cleans/quarantines it.
    Recent FW has been applied, but this happens one/two times a week since two-three month ago

    CU
  • 0
    we had a similar problem, a user has received a spam email (telekom-rechnung-spam) and has clicked on the link in the email which downloads a zip-file with a *.pdf.exe file inside.
    the utm hasn't blocked the download and also the sophos endpoint security control has not blocked the execution by the user.
  • 0 in reply to SIKN
    hi,

    okay, i can understand these "zero-day-exploits", which means a virus/malware wont be found on the day it was deployed to the internet. The anti-virus experts have to deploy a virus pattern first.
    And yes, some AV Engines detect the virus/malware earlier than others.
    But the local virus engine knows this virus and the UTM not. Even both use the same engine.  Thats the mess.

    CU
  • 0 in reply to SIKN
    user has received a spam email (telekom-rechnung-spam) 


    I am experiencieng the same: Spam mails known for....weeks are not blocked.
    And it's not just the Telekom Invoice-Spam, it is also a Vodafone Fake Mail which wants you to click an invoice.

    Any hints for this? do I need to extend the RBL list on my device? i am just using the defaults.

    ---

  • 0
    I have added zen.spamhaus.org in the RBL-list and the invoice-emails are still going trough the UTM.
    Also the zip files which are linked in the email is not getting scanned by sophos web protection.
  • 0
    hi,

    with the sophos utm you can't filter out this mails. Because this mail are send from stolen Accounts and the executable file in the zip-file is on the first spam wave in all malware databases unknown.

    unfortunately the utm can't filter out executable file in packed archives!!
    (some other products ; from other manufacturers ; can filter out file extensions or MIME-Typ in packed archives)

    the only way this worked with expression filter or brain.exe ..
Unfiltered HTML