Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 43 replies
  • Subscribers 1 subscriber
  • Views 24096 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A lot more spam over last 1-2 months

UDPride
We have Mail Protection license on one of our UTM120s and we've been getting considerably more spam over the last 1-2 months. For the longest time it filtered out almost all the junk mail, but now I'm getting 20+ spams a day in my email box. Not sure whats going on, but it feels like the spam filters are no longer working as efficiently.

I am currently using the following RBLs in this order:

1. zen.spamhaus.org
2. bl.spamcop.net

I have the filter set to block "Confirmed Spam".

Not sure if this is the problem or if  should be looking elsewhere. As I said, it worked fine for months but the last month or two has been quite ugly. For the cost of the license it should be working better of late. I get more spams than legitimate emails now. I have not made any changes to the settings in the UTM120 in months so its not because of anything I might have changed.

Thanks,
Chris


This thread was automatically locked due to age.
  • 0
    What about the RDNS and Strict function? - In our company we generally disable theese functions, because many sender do not have their mailservers rdns configured correctly (Not our customers of course [:D]), and rejects many messages, we keep telling our customers that this is not related to them, but that does not solve the issue, so to keep them happy, we shut it off, I know it's "bad", but what do you folks do?

    Just keeping it enabled, and let it be the problem of the sender, to contact their IT guy??

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0
    I also keep it disabled for all my clients...I just don't have time explaining to clients that the problem is not on their side, and persuading other IT guys to correct their DNS settings.
    Sometimes lost e-mail could mean lost money.
  • 0
    I'm not seeing any problems with non-strict rDNS anywhere.  I don't recommend strict (FCrDNS) except where there's an active, involved administrator on the UTM.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I'm confused about DNS servers.  I'm using OpenDNS as my forwarders with 1 entry for 208.67.220.220 and 1 entry for 208.67.222.222.  I have request routing for my internal domain something.loc to my AD servers.  Is this bad?  Is it bad for SPAM?  I see mentioned here that you shouldn't use public DNS, but rather ISP???

    We are getting large amounts of SPAM through.  Most of the people here have had the same email address for 10-20 years.  Does that make a difference?

    I disabled strict a couple weeks ago and I've had many people come to me saying that are getting 30-40 spam emails a day when they use to only get 10.  I just re-enabled strict.

    I had all options check except greylisting.  I just checked greylisting.  We do not use a backup MX.  I'm using the recommended RBLs, plus...

    zen.spamhaus.org
    bl.spamcop.net
    b.barracudacentral.org
    dnsbl.sorbs.net
  • 0
    Jason, I don't see any improvement in DNS response using the ISP's DNS.  So many of them hijack DNS and that can cause problems with the SMTP Proxy.  So, I recommend OpenDNS and Google.  According to DNS Benchmark, the fastest name server here is resolver2-fs.opendns.com. resolver1.opendns.com (208.67.222.222) is one millisecond slower.  8.8.8.8 is 17 milliseconds slower than the fastest OpenDNS server.  OpenDNS doesn't support DNSSEC, so that's the reason I prefer Google now even though it's not as fast in my neck of the woods.

    I disabled strict a couple weeks ago and I've had many people come to me saying that are getting 30-40 spam emails a day when they use to only get 10. I just re-enabled strict.

    Has that changed anything?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    As of this weekend and today SPAM has greatly reduced for us.  Most people here are reporting 0-2 for the past few days.  The strict definitely helps, but I had it enabled before and was still getting 10 a day.  I enabled greylisting when I turned strict back on, so I think greylisting is stopping a lot of it.

    I just hope I don't constantly get people calling me about "I haven't got my friends email yet", "why don't some emails come across instantly", "our emails broken, someone sent me an email and it took 4 hours for me to get it", "i have a guy on the phone who just sent me an email but it's not coming across", "our email system is really slow".

    But so far so good.  I wish I could get a break down of how many emails each RBL entry blocked so I could see how effective each RBL is.
  • 0
    You can get a lot of information in Mail Manager on the SMTP tab - click on 'RBL' to see just the items blocked by them.  I bet most will be from black.rbl.ctipd.astaro.local (cached, known spammers) followed by ctipd.org, cbl.abuseat.org and your additional RBLs.

    Alan Toews is a grep guru.  Adapting a command he gave me, at the command line, try:

    grep -oP 'extra=".*?"' /var/log/smtp.log|sort -n|uniq -c|sort -n


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I hate to leave the DNS topic, but how does everyone feel about a two tier approach to spam filtering?  While the UTM is certainly effective, how about turning on an anti-spam filter on the server side (if it is available)?
  • 0
    We've been using SpamBayes with Outlook for years.  It takes several weeks to train it, but it catches every spam the UTM's Anti-Spam lets through.  If there's a Bayesian spam filter for your server, then that's all I would use.  No point in another approach like CommTouch or checking RBLs again.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Majority of my clients use Sophos also at endpoints, so I use PureMessage for Exchange server which is part of Endpoint Protection subscriptions.

    In that case I configure single AV scan engine with Avira, and relaxed Anti-Spam filtering on UTM.
Unfiltered HTML