Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 43 replies
  • Subscribers 1 subscriber
  • Views 24074 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A lot more spam over last 1-2 months

UDPride
We have Mail Protection license on one of our UTM120s and we've been getting considerably more spam over the last 1-2 months. For the longest time it filtered out almost all the junk mail, but now I'm getting 20+ spams a day in my email box. Not sure whats going on, but it feels like the spam filters are no longer working as efficiently.

I am currently using the following RBLs in this order:

1. zen.spamhaus.org
2. bl.spamcop.net

I have the filter set to block "Confirmed Spam".

Not sure if this is the problem or if  should be looking elsewhere. As I said, it worked fine for months but the last month or two has been quite ugly. For the cost of the license it should be working better of late. I get more spams than legitimate emails now. I have not made any changes to the settings in the UTM120 in months so its not because of anything I might have changed.

Thanks,
Chris


This thread was automatically locked due to age.
  • 0
    Strict RDNS did not help much if at all either. Got about same number of spams yesterday. I dont need to reboot the UTM do I once I set these?

    I should mention that my basic setting of "Reject at SMTP Time" is set to "Confirmed Spam" and not "Spam".
  • 0
    no as i said turn on all of them...greylisting..batv..strict rdns..etc.  Oh one thing.  If you are using public dns your spam filters effectiveness takes a hit..

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    I did not want to turn all of them on at once because then I would have no idea which setting was providing the bulk of the blocking, and/or providing the bulk of the false positives.

    Yes we use DNS provided by our T-1 ISP.

    Strict RDNS did not help much. Still too much spam getting through.

    Will turn on greylisting next.
  • 0 in reply to UDPride
    Welp, turning on Reject Invalid HELO/missing RDNS didnt do much. So I just turned on Do Strict RDNS checks.  We'll see what happens.


    I know this is a stupid question, but do you accidently, have a NAT-rule that forwards port 25, enabled to your mail server?

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0 in reply to twister5800
    Could you please post your "Blocked Mails" statistics from the last 30 days (found in the reporting part of the UTM) ? Mine for example looks something like that here:

    66.51% RDNS/HELO checks
    30.54% RBL
    1.71% Antispam Engine
    0.62% Address Verification
    0.62% SPF

    So you see, that RDNS/HELO and RBL´s are the most effective spam catchers...the other methods are kind of "afterburner" to catch some stuff if passed first two methods. "Antispam Engine" is Commtouch/Cyren, which mostly fishes out newsletters and only low amount of remaining "real" spam.

    I use RDNS in strict mode and have besides of the "recommended RBLs" also following RBL´s in place:
    imap.bl.blocklist.de
    mail.bl.blocklist.de
    b.barracudacentral.org
    drone.abuse.ch
    bl.spamcop.net


    But please post:
    a) Your "Blocked Mails" statistics from last 30 (or 7) days
    b) Some examples of passed spam mails out of the SMTP log starting with the according "new connection from..." line until mail progressing was done (sent to your backend mailserver). 

    Maybe there´s some hint what is going wrong in your place...
  • 0
    Last 30 Days
    76.65% RDNS/HELO checks
    14.44% RBL
    7.76% Antispam Engine
    1.08% Address Verification
    0.97% SPF
    0.11% BATV

    I will say that recently, there has been an explosion of "Advance-fee fraud (Nigerian 419)" getting through.   It get's zapped by the SpamBayes add-in, but this category is difficult for CommTouch to handle.  It's not disproportionate though, as at the same time, there's been an explosion in the amount of spam that gets quarantined; 170 for me personally over the last week vs. 21 in the first week of July.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to UDPride
    I did not want to turn all of them on at once because then I would have no idea which setting was providing the bulk of the blocking, and/or providing the bulk of the false positives.

    Yes we use DNS provided by our T-1 ISP.

    Strict RDNS did not help much. Still too much spam getting through.

    Will turn on greylisting next.


    your thinking is wrong here.  turn them ALL on at once....spam blocking works when ALL layers are active.  The utm keeps reports easily for you to see which is what..but ALL of them together work to best solve the issue.  Make sure you do not have a forwarding nat rule for the mail server..if you do take it out of the firewall and the nat...then everything will go through the smtp proxy instead of around it.  Also how do you have the proxy configured?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    To answer everyone's questions:

    1. Not using an inbound NAT for SMTP in my firewall NAT rules. We only have an outbound NAT for an unrelated mail server that only sends out email.

    2. SMTP proxy is set to "simple mode".

    3. I just added the additional RBLs from the post above.

    4. Last 24hrs:

     SMTP last 24 hours [ 258 messages delivered. 952 messages blocked (78%) ]

    Malware quarantined/rejected: 0
    SPF rejects: 1
    Spam quarantined/rejected: 179
    RBL rejects: 122
    Blacklist rejects: 0
    BATV rejects: 0
    Address Verification rejects: 10
    RDNS/HELO rejects: 640

    5. Just turned on greylisting and BATV check so all options are now turned on. We may start getting legit drops however from certain mailservers we allow mail from that are not based on DNS. Ill monitor.
  • 0 in reply to UDPride
    To answer everyone's questions:

    1. Not using an inbound NAT for SMTP in my firewall NAT rules. We only have an outbound NAT for an unrelated mail server that only sends out email.

    2. SMTP proxy is set to "simple mode".

    3. I just added the additional RBLs from the post above.

    4. Last 24hrs:

     SMTP last 24 hours [ 258 messages delivered. 952 messages blocked (78%) ]

    Malware quarantined/rejected: 0
    SPF rejects: 1
    Spam quarantined/rejected: 179
    RBL rejects: 122
    Blacklist rejects: 0
    BATV rejects: 0
    Address Verification rejects: 10
    RDNS/HELO rejects: 640

    5. Just turned on greylisting and BATV check so all options are now turned on. We may start getting legit drops however from certain mailservers we allow mail from that are not based on DNS. Ill monitor.


    any servers that get rejected that are known legit you can exempt from the spam filtering..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    I now have everything turned on and it seems to be finally making a dent in the spam. I have had to add a cpl exception send addresses to the SMTP filtering, including the address for the quarantine reports.

    Is there a way to generate a new quarantine report and send it to the admins. I tooled through the entire quarantine tab as well as the reporting and logging dropdown and didnt see a place where you could run a new report in real-time and send it. All I found was the place to schedule things daily, weekly, or monthly in the executive reports area.
Unfiltered HTML