This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A lot more spam over last 1-2 months

We have Mail Protection license on one of our UTM120s and we've been getting considerably more spam over the last 1-2 months. For the longest time it filtered out almost all the junk mail, but now I'm getting 20+ spams a day in my email box. Not sure whats going on, but it feels like the spam filters are no longer working as efficiently.

I am currently using the following RBLs in this order:

1. zen.spamhaus.org
2. bl.spamcop.net

I have the filter set to block "Confirmed Spam".

Not sure if this is the problem or if  should be looking elsewhere. As I said, it worked fine for months but the last month or two has been quite ugly. For the cost of the license it should be working better of late. I get more spams than legitimate emails now. I have not made any changes to the settings in the UTM120 in months so its not because of anything I might have changed.

Thanks,
Chris


This thread was automatically locked due to age.
Parents
  • since update to 9.2, we have also a lot more spam mails, but the really big spam is coming since 2 weeks.

    Last 30 days:
    RDNS/HELO checks 42%
    Antispam Engine 30%
    RBL 27%
    BATV 2%

    SMTP simple mode
    RBL: zen.spamhaus.org
    imap.bl.blocklist.de
    mail.bl.blocklist.de
    b.barracudacentral.org
    drone.abuse.ch
    bl.spamcop.net

    Reject at SMTP Time: OFF

    Reject invalid HELO / missing RDNS: ENABLED
    Do strict RDNS checks: DISABLED
    Use Greylisting: DISABLED
    Use BATV: ENABLED
    Perform SPF check: DISABLED

    Any idea?
Reply
  • since update to 9.2, we have also a lot more spam mails, but the really big spam is coming since 2 weeks.

    Last 30 days:
    RDNS/HELO checks 42%
    Antispam Engine 30%
    RBL 27%
    BATV 2%

    SMTP simple mode
    RBL: zen.spamhaus.org
    imap.bl.blocklist.de
    mail.bl.blocklist.de
    b.barracudacentral.org
    drone.abuse.ch
    bl.spamcop.net

    Reject at SMTP Time: OFF

    Reject invalid HELO / missing RDNS: ENABLED
    Do strict RDNS checks: DISABLED
    Use Greylisting: DISABLED
    Use BATV: ENABLED
    Perform SPF check: DISABLED

    Any idea?
Children
  • since update to 9.2, we have also a lot more spam mails, but the really big spam is coming since 2 weeks.

    Last 30 days:
    RDNS/HELO checks 42%
    Antispam Engine 30%
    RBL 27%
    BATV 2%

    SMTP simple mode
    RBL: zen.spamhaus.org
    imap.bl.blocklist.de
    mail.bl.blocklist.de
    b.barracudacentral.org
    drone.abuse.ch
    bl.spamcop.net

    Reject at SMTP Time: OFF

    Reject invalid HELO / missing RDNS: ENABLED
    Do strict RDNS checks: DISABLED
    Use Greylisting: DISABLED
    Use BATV: ENABLED
    Perform SPF check: DISABLED

    Any idea?


    yes turn on strict rdns, greylisting, and spf checking for starters.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • since update to 9.2, we have also a lot more spam mails, but the really big spam is coming since 2 weeks.

    Last 30 days:
    RDNS/HELO checks 42%
    Antispam Engine 30%
    RBL 27%
    BATV 2%

    SMTP simple mode
    RBL: zen.spamhaus.org
    imap.bl.blocklist.de
    mail.bl.blocklist.de
    b.barracudacentral.org
    drone.abuse.ch
    bl.spamcop.net

    Reject at SMTP Time: OFF

    Reject invalid HELO / missing RDNS: ENABLED
    Do strict RDNS checks: DISABLED
    Use Greylisting: DISABLED
    Use BATV: ENABLED
    Perform SPF check: DISABLED

    Any idea?


    RDNS/HELO checks "only" 42% ? Questions:
    - Are you running RDNS/HELO checks it in strict mode or not ? (should be yes)
    - Are additionally also using the default RBL´s ? (should be yes)
    - Are you receiving spam from technically well known, legitimate domains as for example Microsoft, Google, Ebay etc. ? If yes, use SPF too.
    - Do you run an external backup MX ? Did you maybe receive some of the spams via backup MX instead main MX ? Often Spamchecks via backup mx aren´t as effective as direct received mails. I ask, because you seem to have lot of "Antispam Engine" hits with 30%...this usually only works as "afterburner" after other methods and is from my experience usually a single percentage hit (
  • RDNS/HELO checks "only" 42% ? Questions:
    - Are you running RDNS/HELO checks it in strict mode or not ? (should be yes) I have now enabled Do strict RDNS checks
    - Are additionally also using the default RBL´s ? (should be yes) Look my first post, I have added the RBL's from you in the thread this morning. The recommended are also enabled
    - Are you receiving spam from technically well known, legitimate domains as for example Microsoft, Google, Ebay etc. ? If yes, use SPF too. Usually not, right now it's a lot from .ru and .ae-domains.
    - Do you run an external backup MX ? Did you maybe receive some of the spams via backup MX instead main MX ? Often Spamchecks via backup mx aren´t as effective as direct received mails. I ask, because you seem to have lot of "Antispam Engine" hits with 30%...this usually only works as "afterburner" after other methods and is from my experience usually a single percentage hit (We have the ip-plus-fallback service, I think this is a backup MX, but I'm now sure. [/QUOTE]
  • RDNS/HELO checks "only" 42% ? Questions:
    - Are you running RDNS/HELO checks it in strict mode or not ? (should be yes) I have now enabled Do strict RDNS checks
    - Are additionally also using the default RBL´s ? (should be yes) Look my first post, I have added the RBL's from you in the thread this morning. The recommended are also enabled
    - Are you receiving spam from technically well known, legitimate domains as for example Microsoft, Google, Ebay etc. ? If yes, use SPF too. Usually not, right now it's a lot from .ru and .ae-domains.
    - Do you run an external backup MX ? Did you maybe receive some of the spams via backup MX instead main MX ? Often Spamchecks via backup mx aren´t as effective as direct received mails. I ask, because you seem to have lot of "Antispam Engine" hits with 30%...this usually only works as "afterburner" after other methods and is from my experience usually a single percentage hit (We have the ip-plus-fallback service, I think this is a backup MX, but I'm now sure. 
    [/QUOTE]

    what are you using for dns servers in your UTM forwarding section?  If it is public dns you need to use your isp dns as public dns can greatly reduce your anti-spam performance.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow



  • what are you using for dns servers in your UTM forwarding section?  If it is public dns you need to use your isp dns as public dns can greatly reduce your anti-spam performance.[/QUOTE]

    I was using Google Public DNS, but now, I have chaged it to the ISP's DNS.
    Thank you and Sascha for the information. I will have a look to the Spam-level in the next days.