UTM100 w. Basic Guard / AntiSpam

It's a little bit frustrating...though I deactivated all checks for incoming emails by adding the IronPort (195.69.x.x) to the exception list, NDRs are still rejected. As you can see, the exception seems to work.

2014:07:25-11:24:15 SophosUTM exim-in[4708]: 2014-07-25 11:24:15 SMTP connection from [195.69.x.x]:35768 (TCP/IP connection count = 1)
2014:07:25-11:24:15 SophosUTM exim-in[28160]: 2014-07-25 11:24:15 H=mail.server.de  [195.69.x.x]:35768 Warning: Exception matched: Skipping AV for this message
2014:07:25-11:24:15 SophosUTM exim-in[28160]: 2014-07-25 11:24:15 H=mail.server.de [195.69.x.x]:35768 Warning: Exception matched: Skipping antispam for this message
2014:07:25-11:24:15 SophosUTM exim-in[28160]: 2014-07-25 11:24:15 H=mail.server.de  [195.69.x.x]:35768 Warning: F=<> R= Missing BATV signature
2014:07:25-11:24:15 SophosUTM exim-in[28160]: 2014-07-25 11:24:15 [195.69.x.x] F=<> R= Accepted: is a bounce
2014:07:25-11:24:15 SophosUTM exim-in[28160]: 2014-07-25 11:24:15 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="195.69.x.x" from="" to="my@email.de" subject="" queueid="" size="13243" reason="batv" extra=""
2014:07:25-11:24:15 SophosUTM exim-in[28160]: 2014-07-25 11:24:15 H=mail.server.de  [195.69.x.x]:35768 rejected DATA
2014:07:25-11:24:15 SophosUTM exim-in[28160]: 2014-07-25 11:24:15 SMTP connection from mail.server.de [195.69.x.x]:35768 closed by DROP in ACL

The log says that it skipped anti-spam, but not BATV checking.  Are you sure you excepted that?

Cheers - Bob

I added every single check to the exception list. The problem is, that there's no BATV check I could add. So it's OK, that there's no entry in the log regarding the BATV check. I posted this log to show, that my excpetion list works in general, but that there's no chance to disable the BATV check.

I've done a quick test in my virtual lab environment putting another UTM in front of the first as the smart host, and received the same BATV errors like you. It looks like that BATV doesn't work correctly in Smart Hosts configurations.

Lab setup was:
[FONT="Courier New"]Exchange -> UTM (10.0.0.234) BATV enabled -> Test UTM (10.0.0.240) BATV disabled[/FONT]

Log from Back-End UTM (error same as yours):

2014:07:28-13:05:36 utm exim-in[24291]: 2014-07-28 13:05:36 H=(test) [10.0.0.240]:44013 Warning: F=<> R= Missing BATV signature
2014:07:28-13:05:36 utm exim-in[24291]: 2014-07-28 13:05:36 [10.0.0.240] F=<> R= Verifying recipient address with callout
2014:07:28-13:05:36 utm exim-in[24291]: 2014-07-28 13:05:36 [10.0.0.240] F=<> R= Accepted: is a bounce
2014:07:28-13:05:36 utm exim-in[24291]: 2014-07-28 13:05:36 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="10.0.0.240" from="" to="vilic@mydomain.com" subject="" queueid="" size="13894" reason="batv" extra=""
2014:07:28-13:05:36 utm exim-in[24291]: 2014-07-28 13:05:36 H=(test) [10.0.0.240]:44013 rejected DATA
2014:07:28-13:05:36 utm exim-in[24291]: 2014-07-28 13:05:36 SMTP connection from (test) [10.0.0.240]:44013 closed by DROP in ACL

Log from Front-End UTM (everything OK, message delivered to Back-End, but look at the last few lines):

2014:07:28-13:05:32 test exim-in[4711]: 2014-07-28 13:05:32 SMTP connection from [195.178.x.y]:38028 (TCP/IP connection count = 1)
2014:07:28-13:05:33 test exim-in[7420]: 2014-07-28 13:05:33 H=mail.anotherdomain.com [195.178.x.y]:38028 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
2014:07:28-13:05:33 test exim-in[7420]: 2014-07-28 13:05:33 [195.178.x.y] F=<> R= Verifying recipient address with callout
2014:07:28-13:05:33 test exim-in[7420]: 2014-07-28 13:05:33 [195.178.x.y] F=<> R= Accepted: is a bounce
2014:07:28-13:05:33 test exim-in[7420]: 2014-07-28 13:05:33 1XBikH-0001vg-1k ctasd reports 'Unknown' RefID:str=0001.0A0C0201.53D62E7E.017D,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=256
2014:07:28-13:05:33 test exim-in[7420]: 2014-07-28 13:05:33 1XBikH-0001vg-1k <> H=mail.mail.anotherdomain.com [195.178.x.y]:38028 P=esmtps X=UNKNOWN:AES256-SHA:256 S=12847 id=59304beb-48a3-48d1-86b7-488c3be6f3dd@anotherdomain.com
2014:07:28-13:05:33 test exim-in[7420]: 2014-07-28 13:05:33 SMTP connection from mail.antoherdomain.com [195.178.x.y]:38028 closed by QUIT
2014:07:28-13:05:35 test smtpd[4693]: QMGR[4693]: 1XBikH-0001vg-1k moved to work queue
2014:07:28-13:05:35 test smtpd[7370]: SCANNER[7370]: 1XBikJ-0001us-Rz  work R=SCANNER T=SCANNER
2014:07:28-13:05:35 test smtpd[7370]: SCANNER[7370]: 1XBikH-0001vg-1k Completed
2014:07:28-13:05:36 test exim-out[7423]: 2014-07-28 13:05:36 1XBikJ-0001us-Rz ** vilic@mydomain.com  P=<> R=static_route_hostlist T=static_smtp: SMTP error from remote mail server after pipelined DATA: host 10.0.0.234 [10.0.0.234]: 550 Administrative prohibition
2014:07:28-13:05:36 test exim-out[7423]: 2014-07-28 13:05:36 1XBikJ-0001us-Rz vilic@mydomain.com : error ignored
2014:07:28-13:05:36 test exim-out[7423]: 2014-07-28 13:05:36 1XBikJ-0001us-Rz Completed
2014:07:28-13:06:00 test exim-out[7455]: 2014-07-28 13:06:00 Start queue run: pid=7455

Hi vilic,

thanks for your help. Would be interesting, if it is the smart host, which changes outbounding emails in a way, that the batv check fails for the bounced message, or if it is another antispam/antivirus check in front of the UTM (in your case the UTM 10.0.0.240, in my case the IronPort), which changes incoming emails. I think it's the second version, though I can't test it, because we don't have a virtual lab for this.

How to add a skip BATV-checking to an SMTP Exception

Make an Exception named test.
  # cc get_objects_filtered '$_->{data}->{name} eq "test"'

We learn that the object is REF_SmtExcTest

  # cc change_object REF_SmtExcTest skiplist 'batv'

To see that we have made the addition:
  # cc get_object REF_SmtExcTest

Did that do the trick for you?

Cheers - Bob

Entirely untested (consequences unknown) but interested in exploring the ideas:

Further specificity in finding the correct object (filtering by class, type and name):

cc get_objects_filtered '$_->{class} eq "smtp" && $_->{type} eq "exception" && $_->{data}->{name} eq "test"'

Does it work to disable BATV in a/the SMTP profile?

Find profiles with batv enabled?  

cc get_objects_filtered '$_->{class} eq "smtp" && $_->{type} eq "profile" && $_->{data}->{batv} eq 1'

On my system the only profile is:
REF_SMTPGlobalProfile

Disable batv in profile?

cc change_object REF_SMTPGlobalProfile batv 0

Thanks for your posts. Just to be sure (as I'm a beginner in administrating the UTM): I have to log in to our UTM via ssh and than execute your commands starting with "cc"?

PS: I'm on holiday until 15th of August, so I'll read and answer to your posts a little bit later :-)

cc (alias for confd-client.plx) commands are run as root.

Note the warning from the command line:

NOTE: Any modifications done by root will void your support.
      Please use WebAdmin for any configuration changes.

Sometimes the command line is the only way to fix problems - support can advise/specify and guide.

Consider exhausting your other available support options and make sure you have a recovery plan first.

Here I am back from holiday. I have asked my local dealer to ask Sophos, if I can do this without losing support. As far as I receive an answer, I'll let you know. So far many thanks for your help.

Sorry guys for my late answer. I just got the answer from my local dealer that I can test these things. Maybe it's because I'm not familiar with the UTM, but most of the above-mentioned commands didn't work. So I tried teched's answer to find profiles with batv enabled and to disable batv for these profiles/this profile. No I'll have a look on the stats for the next couple of days. I'll let you know how things will end up.

Last edit (I hope): Everything seems to be fine. After a couple of days there's still no entry in the logs because of the batv check and I've seen at least one NDR in our mailbox. So again thanks for your patience and your help :-)