This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BATV kills Out Of Office (again)?

Hi Guys,

We have observed that when people with Exchange 2007+ use Out of Office, mails get bounced by BATV.

Scenario is as follows:

Sophos UTM 9.265-8 (Beta) and 9.208-8 are tested...

I send email to our Exchange, Our Exchange sends mail through Sophos UTM with BATV activated, mail gets into our customers mailbox (Different location, server and spamfilter), he has OOO activated and sends reply back, the log shows this and I never get that the message was bounced:

 

2014:10:21-10:19:34 fw01 exim-out[2637]: 2014-10-21 10:19:34 1XgUfF-0000gE-IX => viggodk@***.dk P= R=dnslookup T=remote_smtp H=mailfilter01.***.dk [***.***.***.***]:25 X=TLSv1.1[[:D]]HE-RSA-AES256-SHA:256 C="250 OK id=1XgUfF-0003Rt-39"
2014:10:21-10:19:34 fw01 exim-out[2637]: 2014-10-21 10:19:34 1XgUfF-0000gE-IX Completed
2014:10:21-10:19:38 fw01 exim-in[4917]: 2014-10-21 10:19:38 SMTP connection from [***.***.***.***]:28334 (TCP/IP connection count = 1)
2014:10:21-10:19:38 fw01 exim-in[2645]: 2014-10-21 10:19:38 H=mailfilter01.***.dk [***.***.***.***]:28334 Warning: ***.dk profile excludes greylisting: Skipping greylisting for this message
2014:10:21-10:19:38 fw01 exim-in[2645]: 2014-10-21 10:19:38 [***.***.***.***] F=<> R= Verifying recipient address in Active Directory
2014:10:21-10:19:38 fw01 exim-in[2645]: 2014-10-21 10:19:38 [***.***.***.***] F=<> R= Accepted: is a bounce
2014:10:21-10:19:38 fw01 exim-in[2645]: 2014-10-21 10:19:38 1XgUfK-0000gf-1R ctasd reports 'Unknown' RefID:str=0001.0A0B0208.5446171A.018C:SCFSTAT19486215,ss=1,re=-4.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
2014:10:21-10:19:38 fw01 exim-in[2645]: 2014-10-21 10:19:38 1XgUfK-0000gf-1R <> H=mailfilter01.***.dk [***.***.***.***]:28334 P=esmtps X=TLSv1.1[[:D]]HE-RSA-AES256-SHA:256 S=3402 id=43d9cbc0485f436597fbe06007b5ab72@MAIL02.***.DK
2014:10:21-10:19:38 fw01 exim-in[2645]: 2014-10-21 10:19:38 SMTP connection from mailfilter01.***.dk [***.***.***.***]:28334 closed by QUIT
 


 
I know that the Exchange server strips the BATV tags, because it creates an entirely new mail with OOO.
If I disable BATV the mail get's through...


This thread was automatically locked due to age.
Parents
  • All I can think of at present is an exception for BATV for this customer and any others you find by searching the SMTP log file.  I'm not too sure what to look for though.  When I see a pattern like the lines you posted above, the email comes through to me.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • All I can think of at present is an exception for BATV for this customer and any others you find by searching the SMTP log file.  I'm not too sure what to look for though.  When I see a pattern like the lines you posted above, the email comes through to me.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • All I can think of at present is an exception for BATV for this customer and any others you find by searching the SMTP log file.  I'm not too sure what to look for though.  When I see a pattern like the lines you posted above, the email comes through to me.

    Cheers - Bob


    I think you're right Bob, just found this explanation onExperts Exchange:

    BATV (Bounce Address Tag Validation) can also cause an NDR and Out of Office replies to not be recieved.

    BATV will drop an NDR or Out of Office reply if the mail from address is a NULL value.

    Note: Exchange settings prevent an NDR or a Out of Office reply from using the original recipients email address in the mail from field and will alter to a NULL value if it is destined for outside of the local network.

    The only fix's for this and to be able to get NDR's or Out of Office replies would be to either alter the default behavior of the Email Server or to turn off BATV.

    If BATV is turned off and you still do not get any NDR's or Out of office replies then it may be possible that an internal MX and A record does not exist on your internal DNS server for your own domain.

    The MTA does MX record routing, so when an NDR is generated by the local outbound MTA to the original sender the MX lookup returns the public IP address to route to. 


    It's JUST this issue I am facing, so the solution is to disable BATV or alter the mailserver config like stated above [:$]

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • a) In general you should create a exception on the UTM sourcing from your mailserver (or internal relaying clients) for outgoing mails skipping all antispam features EXCEPT OF BATV. Otherwise, if BATV is also skipped, it will not sign outgoing mails, and therefor bounces will be rejected due missing signature.

    b) And outgoing mails should be passed / relayed through UTM SMTP proxy to get signed at all...

    I never had issues with BATV all that years except of once (strange ISP) who did sender verification, which is prone to falses anyway and will lead with BATV to such issues too, if they do the verification on sender address instead envelope sender address (which contains the added PRVS signature)...

    If you follow a) and b), do you still have issues ?

    BTW: Concerning the "BATV will drop an NDR or Out of Office reply if the mail from address is a NULL value." - UTM (Astaro) had that issue in the beginning too, but if I remember right, that was workarounded somehow to make that work in the SMTP proxy. If it got not broken over the last years, it technically still should work...