Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3659 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

One Line URL P0rn Spam

rrosson
Running 9.203-3 with the following RBL's enabled:

  • drone.abuse.ch
  • bl.spamcop.net
  • zen.spamhaus.org
  • b.barracudacentral.org
  • dul.dnsbl.sorbs.net

I recently rescued mail (failed server) services for my parents and their domains and it appears that my step-fathers email address is on some SPAM list that sends one line URL p0rn links. Analysis of over a 100 messages of this type over a couple of days show no common denominator to filter on. (i.e. The reason for the additional RBL's). Sources, ( i.e. Counties. IP's, etc ) are all over the place. the only thing that is common is that the e-mail is one line containing a URI and the subject contains a p0rnographic description.

Any ideas on how to block this at the UTM?

TIA


This thread was automatically locked due to age.
  • 0
    bumping, 78 views an no one has seen this kid of SPAM make it pass the SPAM filter. I can provide samples outside of the forum if interested.
  • 0
    POP3 or SMTP?  Is this mail to a domain you control?  Where is the server?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    POP3 or SMTP?  Is this mail to a domain you control?  Where is the server?

    Cheers - Bob


    Bob, Thanks for taking an interest in my little SPAM problem that is making it pass the UTM.

    This is SMTP and I control the domain(s) and own the mail server from the hardware and software. [:)]. The mail server sits behind the Sophos UTM and is using Mail Protection.
  • 0
    Please post the SMTP log lines related to one of the emails that got through.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Below is are the sanitized SMTP logs from the UTM (myuser@mydomain.com used to hide my users email address. My IP's have been replaced with ***.***.XX.XX)

    2014:07:16-14:09:31 myutm exim-in[5682]: 2014-07-16 14:09:31 SMTP connection from [46.238.101.110]:56799 (TCP/IP connection count = 1)
    2014:07:16-14:09:32 myutm exim-in[19469]: 2014-07-16 14:09:32 H=hosting.jaf-rozkroj.pl (talk2me-kursy.pl) [46.238.101.110]:56799 Warning: shootingstarstraining.com profile excludes greylisting: Skipping greylisting for this message
    2014:07:16-14:09:33 myutm exim-in[19469]: 2014-07-16 14:09:33 [46.238.101.110] F= R= Verifying recipient address with callout
    2014:07:16-14:09:34 myutm exim-in[19469]: 2014-07-16 14:09:34 1X7VW9-000541-2w ctasd reports 'Unknown' RefID:str=0001.0A020206.53C6DBFE.004C,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
    2014:07:16-14:09:34 myutm exim-in[19469]: 2014-07-16 14:09:34 1X7VW9-000541-2w carolina_gilbert@talk2me-kursy.pl H=hosting.jaf-rozkroj.pl (talk2me-kursy.pl) [46.238.101.110]:56799 P=esmtp S=807 id=c20e40b-35fbb-42@talk2me-kursy.pl
    2014:07:16-14:09:35 myutm smtpd[5205]: QMGR[5205]: 1X7VW9-000541-2w moved to work queue
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VWC-00053H-C8 carolina_gilbert@talk2me-kursy.pl R=1X7VW9-000541-2w P=INPUT S=116
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VWC-00053H-C8 [DLP] Matching DLP expressions
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="46.238.101.110" from="carolina_gilbert@talk2me-kursy.pl" to="myuser@mydomain.com" subject="Wow [[:)]], Big boobs hentai jerked by old man" queueid="1X7VWC-00053H-C8" size="116"
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VW9-000541-2w => work R=SCANNER T=SCANNER
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VW9-000541-2w Completed
    2014:07:16-14:09:36 myutm exim-out[19483]: 2014-07-16 14:09:36 1X7VWC-00053H-C8 => myuser@mydomain.com P= R=static_route_hostlist T=static_smtp H=***.***.XX.XX [***.***.XX.XX]:25 X=TLSv1[:D]HE-RSA-AES256-SHA:256 C="250 2.0.0 Ok: queued as 1BD727CE79B"
    2014:07:16-14:09:36 myutm exim-out[19483]: 2014-07-16 14:09:36 1X7VWC-00053H-C8 Completed


    Below is the raw message from the mail server

    Return-Path: 
    Delivered-To: myuser@mydomain.com
    Received: from mail.mydomain.com (myutm.mydomain.com [***.***.XX.X])
            by mail.mydomain.com (Postfix) with ESMTPS id 1BD727CE79B
            for ; Wed, 16 Jul 2014 14:09:37 -0600 (MDT)
    Received: from hosting.jaf-rozkroj.pl ([46.238.101.110]:56799 helo=talk2me-kursy.pl)
            by mail.mydomain.com with esmtp (Exim 4.76)
            (envelope-from )
            id 1X7VW9-000541-2w
            for myuser@mydomain.com; Wed, 16 Jul 2014 14:09:34 -0600
    Date: Wed, 16 Jul 2014 22:09:29 +0200
    From: "Carolina Gilbert" 
    Reply-To:"Carolina Gilbert" 
    Message-ID: 
    To: myuser@mydomain.com
    Subject:  Wow [[:)]], Big boobs hentai jerked by old man
    X-Priority: 3 (Normal)
    MIME-Version: 1.0
    Content-Type: text/html; charset="iso-8859-1"
    Content-Transfer-Encoding: 8bit





    Please let me know if you need any more information. There is no pattern found with the originating IP or mail server of these type of spams.

    Thanx Again Bob.

    -Ron
  • 0
    ctasd reports 'Unknown'

    Ron, I think that means there's not much to do other than send the offending emails to Commtouch (now Cyren).  It used to be possible to do that with:
    Reporting e-mail that is spam to Commtouch:
    1.Obtain the message as it was originally received.
    2.Send the message as an attachment to reportfn@blockspam.biz with the following subject line: 
    [FN Report][Astaro][Date]

    Note: Only the Date tag should be modified. Example: [FN Report][Astaro][mm/dd/yyyy] 

    I'd be interested to know if that still works.  If not, then the address for the "classic" Sophos anti-spam is is-spam@labs.sophos.com.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Problem on srv solved. No more spam [:)]
Unfiltered HTML