Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 43 replies
  • Subscribers 1 subscriber
  • Views 24083 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A lot more spam over last 1-2 months

UDPride
We have Mail Protection license on one of our UTM120s and we've been getting considerably more spam over the last 1-2 months. For the longest time it filtered out almost all the junk mail, but now I'm getting 20+ spams a day in my email box. Not sure whats going on, but it feels like the spam filters are no longer working as efficiently.

I am currently using the following RBLs in this order:

1. zen.spamhaus.org
2. bl.spamcop.net

I have the filter set to block "Confirmed Spam".

Not sure if this is the problem or if  should be looking elsewhere. As I said, it worked fine for months but the last month or two has been quite ugly. For the cost of the license it should be working better of late. I get more spams than legitimate emails now. I have not made any changes to the settings in the UTM120 in months so its not because of anything I might have changed.

Thanks,
Chris


This thread was automatically locked due to age.
  • 0
    Quarantine Reports are what is sent to end users that have items in quarantine.  Or, are you looking for a way to show managers that more spam is being blocked?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    since update to 9.2, we have also a lot more spam mails, but the really big spam is coming since 2 weeks.

    Last 30 days:
    RDNS/HELO checks 42%
    Antispam Engine 30%
    RBL 27%
    BATV 2%

    SMTP simple mode
    RBL: zen.spamhaus.org
    imap.bl.blocklist.de
    mail.bl.blocklist.de
    b.barracudacentral.org
    drone.abuse.ch
    bl.spamcop.net

    Reject at SMTP Time: OFF

    Reject invalid HELO / missing RDNS: ENABLED
    Do strict RDNS checks: DISABLED
    Use Greylisting: DISABLED
    Use BATV: ENABLED
    Perform SPF check: DISABLED

    Any idea?
  • 0 in reply to SIKN
    since update to 9.2, we have also a lot more spam mails, but the really big spam is coming since 2 weeks.

    Last 30 days:
    RDNS/HELO checks 42%
    Antispam Engine 30%
    RBL 27%
    BATV 2%

    SMTP simple mode
    RBL: zen.spamhaus.org
    imap.bl.blocklist.de
    mail.bl.blocklist.de
    b.barracudacentral.org
    drone.abuse.ch
    bl.spamcop.net

    Reject at SMTP Time: OFF

    Reject invalid HELO / missing RDNS: ENABLED
    Do strict RDNS checks: DISABLED
    Use Greylisting: DISABLED
    Use BATV: ENABLED
    Perform SPF check: DISABLED

    Any idea?


    yes turn on strict rdns, greylisting, and spf checking for starters.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to SIKN
    since update to 9.2, we have also a lot more spam mails, but the really big spam is coming since 2 weeks.

    Last 30 days:
    RDNS/HELO checks 42%
    Antispam Engine 30%
    RBL 27%
    BATV 2%

    SMTP simple mode
    RBL: zen.spamhaus.org
    imap.bl.blocklist.de
    mail.bl.blocklist.de
    b.barracudacentral.org
    drone.abuse.ch
    bl.spamcop.net

    Reject at SMTP Time: OFF

    Reject invalid HELO / missing RDNS: ENABLED
    Do strict RDNS checks: DISABLED
    Use Greylisting: DISABLED
    Use BATV: ENABLED
    Perform SPF check: DISABLED

    Any idea?


    RDNS/HELO checks "only" 42% ? Questions:
    - Are you running RDNS/HELO checks it in strict mode or not ? (should be yes)
    - Are additionally also using the default RBL´s ? (should be yes)
    - Are you receiving spam from technically well known, legitimate domains as for example Microsoft, Google, Ebay etc. ? If yes, use SPF too.
    - Do you run an external backup MX ? Did you maybe receive some of the spams via backup MX instead main MX ? Often Spamchecks via backup mx aren´t as effective as direct received mails. I ask, because you seem to have lot of "Antispam Engine" hits with 30%...this usually only works as "afterburner" after other methods and is from my experience usually a single percentage hit (
  • 0 in reply to Sascha Paris
    RDNS/HELO checks "only" 42% ? Questions:
    - Are you running RDNS/HELO checks it in strict mode or not ? (should be yes) I have now enabled Do strict RDNS checks
    - Are additionally also using the default RBL´s ? (should be yes) Look my first post, I have added the RBL's from you in the thread this morning. The recommended are also enabled
    - Are you receiving spam from technically well known, legitimate domains as for example Microsoft, Google, Ebay etc. ? If yes, use SPF too. Usually not, right now it's a lot from .ru and .ae-domains.
    - Do you run an external backup MX ? Did you maybe receive some of the spams via backup MX instead main MX ? Often Spamchecks via backup mx aren´t as effective as direct received mails. I ask, because you seem to have lot of "Antispam Engine" hits with 30%...this usually only works as "afterburner" after other methods and is from my experience usually a single percentage hit (We have the ip-plus-fallback service, I think this is a backup MX, but I'm now sure. [/QUOTE]
  • 0 in reply to SIKN
    RDNS/HELO checks "only" 42% ? Questions:
    - Are you running RDNS/HELO checks it in strict mode or not ? (should be yes) I have now enabled Do strict RDNS checks
    - Are additionally also using the default RBL´s ? (should be yes) Look my first post, I have added the RBL's from you in the thread this morning. The recommended are also enabled
    - Are you receiving spam from technically well known, legitimate domains as for example Microsoft, Google, Ebay etc. ? If yes, use SPF too. Usually not, right now it's a lot from .ru and .ae-domains.
    - Do you run an external backup MX ? Did you maybe receive some of the spams via backup MX instead main MX ? Often Spamchecks via backup mx aren´t as effective as direct received mails. I ask, because you seem to have lot of "Antispam Engine" hits with 30%...this usually only works as "afterburner" after other methods and is from my experience usually a single percentage hit (We have the ip-plus-fallback service, I think this is a backup MX, but I'm now sure. 
    [/QUOTE]

    what are you using for dns servers in your UTM forwarding section?  If it is public dns you need to use your isp dns as public dns can greatly reduce your anti-spam performance.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren


    what are you using for dns servers in your UTM forwarding section?  If it is public dns you need to use your isp dns as public dns can greatly reduce your anti-spam performance.[/QUOTE]

    I was using Google Public DNS, but now, I have chaged it to the ISP's DNS.
    Thank you and Sascha for the information. I will have a look to the Spam-level in the next days.
  • 0
    good catch william with the public DNS server. I forgot that one [:$]) Same with some rbl as i guess it was spamhaus, which allows only a limited amount of rbl requests per day for non paying users ( 100k requests/day or so?)  Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
  • 0 in reply to BAlfson
    Quarantine Reports are what is sent to end users that have items in quarantine.  Or, are you looking for a way to show managers that more spam is being blocked?

    Cheers - Bob


    Right. We used to get quarantine reports for user admins but we are not getting them now. I think they were using them to see what was being blocked and if they needed to release a false positive. But the quarantine reports are not being delivered now.

    Not sure if this is because there is nothing in quarantine or with turning on more strict spam filtering in SMTP, we somehow shut off/blocked the feature from being delivered.

    I know when I log into my User Portal, I have nothing in quarantine displaying. The boss is just freaking out that since they are not getting quarantine reports, they are missing possible good emails getting blocked.

    I forget where the quarantine report delivery is even set up in the GUI. Nothing in reporting/logging. I looked in Management, but not sure if quarantine reports just default delivery to all admins.

    By the way, spam has pretty much been stopped 100%. Thanks for everyones suggestions.
  • 0
    It sounds like there's a misconfiguration, so you're now rejecting all suspected spam instead of just "confirmed spam".  A glance at the SMTP log file would tell you if my guess is accurate.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML