Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 1 subscriber
  • Views 14701 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM100 w. Basic Guard / AntiSpam

GuardianFan
Hi all,

I just installed the UTM100 with Basic Guard Subscription and almost everything works fine. But there's still one problem left: When we send mails to a non existent mail adress, the non-delivery report is blocked by the antispam module of the UTM (reason: BATV), because there's no "From"-mail adress. Here's the log:
2014:07:21-11:20:16 SophosUTM exim-in[4660]: 2014-07-21 11:20:16 SMTP connection from [IronPort/Smarthost]:43305 (TCP/IP connection count = 1)
2014:07:21-11:20:16 SophosUTM exim-in[25009]: 2014-07-21 11:20:16 H=MailServiceProvider (H=MailServiceProvider) [IronPort/Smarthost]:43305 Warning: F=<> R= Missing BATV signature
2014:07:21-11:20:16 SophosUTM exim-in[25009]: 2014-07-21 11:20:16 [IronPort/Smarthost] F=<> R= Verifying recipient address with callout
2014:07:21-11:20:16 SophosUTM exim-in[25009]: 2014-07-21 11:20:16 [IronPort/Smarthost] F=<> R= Accepted: is a bounce
2014:07:21-11:20:16 SophosUTM exim-in[25009]: 2014-07-21 11:20:16 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="IronPort/Smarthost" from="" to="my@mailadress.de" subject="" queueid="" size="13225" reason="batv" extra=""

Is there any chance to disable the BATV-check (though it's not shown on the webinterface as we use the basic guard subscription) or to create a reasonable exception?

Best regards
Thilo


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Hi Bob,

    see my first post for the log file of the SMTP Proxy. I didn't delete the entry right behind the sender email adress, it is just empty (F=<>). All the other "personal" informations have been anonymized.
    Or is there another log file you want to see? If so, please tell me where I can find it.
  • 0
    That email was rejected because it was a fake bounce.  Are you saying that all emails from the outside are bounced?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    All the other mails are forwarded to our mail server, so it's just a problem with the non-delivery reports. And I am sure, that it's a ndr, because I sent an email to a non existent email adress two times right before these events occurred.

    Best regards
    Thilo
  • 0
    Just another question, under Advanced tab do you have the option to set BATV secret ?
  • 0 in reply to vilic
    Yes. It's also set to "UNSET". Can I change this value to deactivate the BATV check?
  • 0
    Actually, it should activate BATV signing so bouncing mails will have BATV signature.

    Try it, and post back results.
  • 0
    Though I set this option to "SET", it didn't change anything. Or do I have to fill in another value?
  • 0
    I have just tested it in my lab environment, BATV was on, secret was set on UNSET (after consulting with UTM help - in that case secret is autogenerated, every day you learn something new..[:)])

    I've sent message to unknown receipient, bounced back ok, here is (a little modified - marked red) log: 

    2014:07:24-14:00:14 utm exim-in[22950]: 2014-07-24 14:00:14 SMTP connection from mail.xyz.rs [195.178.x.y]:43329 closed by QUIT

    2014:07:24-14:00:16 utm smtpd[4898]: QMGR[4898]: 1XAHh0-0005yA-1I moved to work queue

    2014:07:24-14:00:16 utm smtpd[22829]: SCANNER[22829]: 1XAHh2-0005wD-Ud 195.178.x.y" from="" to="prvs=0282f24d05=vilic@xyz.com" subject="Undeliverable: asdfo" queueid="1XAHh2-0005wD-Ud" size="8782"


    I see that you have Cisco Ironport in front of the UTM ?
  • 0 in reply to vilic
    You're right with IronPort. But I already asked the provider and he told me, that these ndr don't have an email adress, when they arrive at the IronPort. 

    After having a look on your log I am a little bit confused: Though there's no sender email adress specified this mail isdelivered. Why does it no work on my UTM?
  • 0
    My UTM is on the edge, you are using smart host for delivery, that is the only difference.

    I can only assume that BATV hash is lost somewhere in UTM/Ironport communication.
Unfiltered HTML