Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 6502 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Spam coming through even being blacklisted

3NDL3R
I am running a UTM1120 v5 (2GB) at home filtering my SMTP emails which are received by my Zarafa server on my Synology DS-713+ (expanded to 4GB).

My UTM120 is running on up-to-date version 9.309-3. I am using the following RBLs:

zen.spamhaus.org
cbl.abuseat.org
bl.spamcop.net
spam.dnsbl.sorbs.net
http.dnsbl.sorbs.net
socks.dnsbl.sorbs.net
misc.dnsbl.sorbs.net
smtp.dnsbl.sorbs.net
web.dnsbl.sorbs.net
block.dnsbl.sorbs.net
zombie.dnsbl.sorbs.net

Now I got (again) an email from "shoppingdistrict@dankeja.de" which is still blacklisted for a longer time in my sender addresses using the following string

*@dankeja.de

Under "Relaying" I entered my "upstream host/network" which is my 1&1 email server where my domain is hosted and which forwards emails:

moutng.kundenserver.de

This email came from another 1&1 server which shows up as "mout.kundenserver.de (212.227.126.187)". Does that now mean that I also have to add this one to my "upstream host/netzwork" list? Or is the astaro spamfilter malfunctioning???


This thread was automatically locked due to age.
  • 0
    I bet that checking all of those blacklists doesn't do much for you - have you measured that?  When I have, I've found that the recommended RBLs, black.RBL.ctipd.astaro.local and cbl.abuseat.org, account for 95+% and that bl.spamcop.net picks up the rest.  That may be different in Deutschland than in the USA.

    Yes, you will want to add all of those listed at Postmaster MailSecurity (1&1, Postmaster Mailsecurity).  It looks like two DNS Group definitions will suffice.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Also wondering that I not only added "mountng.kundenserver.de" along with "mout.kundenserver.de" (because I also got emails from this one. And the last one also has no fixed/static IP address. It's more a concentrator which comes in with changing IPs) but now also (seems to be) directly receiving emails which (seems to be) not to come through the 1&1 mail server but are directly send to my dyndns connected mail server:

    Received: from mydomain.dyndns.org (unknown [10.0.0.1])
    (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
    (No client certificate requested)
    by mydomain.eu (Postfix) with ESMTPS id 8832ABCD0
    for ; Mon, 16 Mar 2015 20:18:56 -0400 (EDT)
    Received: from egssmtp01.att.com ([144.160.112.12]:55469)
    by mydomain.dyndns.org with esmtps (TLSv1[[[:D]]]HE-RSA-AES256-SHA:256)
    (Exim 4.82_1-5b7a7c0-XX)
    (envelope-from )
    id 1YXTgF-0006mY-1h
    for DIRK@MYDOMAIN.US; Mon, 16 Mar 2015 07:59:35 -0400
    Received: from uspedd06.edc.cingular.net (uspedd06.edc.cingular.net [135.214.228.40])
    by egssmtp01.att.com ( egs 8.14.5 TLS/8.14.5) with ESMTP id t2GBxVQ8005227
    for ; Mon, 16 Mar 2015 06:59:32 -0500
    DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple;
    d=amcustomercare.att-mail.com; s=egs03; t=1426507172;
    bh=eYP7LjoldURk8CfjEQUrWezN7471BsLKQorwr5uryxA=;
    h=Message-ID[[[:D]]]ate:From:To:Subject:Mime-Version:Content-Type:
     Content-Transfer-Encoding;
    b=WW7zCVfq88YZgznIs0tt/BvWppKg+09lhlBinUC1+2SkavQIYIjlKHSLf+53pOK+g
     4ouStZsUVJnJE1Yq0XZvo2CojR9GoDEnUCmq/WFAhVN51sJYnGlkou4YaCVymr60jZ
     QWLXrnYaQVdVbAsiS0tVjYhPINnzVXd306qGxiSASVvIhR7ndn9anCtmfMB6qee3yM
     MI4Vphq5Lgde9wCO/s61miNKnHEfPWAdzdi0o8R6+6wd+xvk3z1h2hy06D3KNKae1Q
     lCVFgkiOxbIC2I6Kt7+E3/o6DVBCxoUV9SSFwI00Lw6YXWtatQXaba/YKgW/iGkQSC
     yz+W2V6r9N1Lg==
    Message-ID: 
    Date: Mon, 16 Mar 2015 06:59:31 -0500 (CDT)
    From: AT&T Customer Care 
    To: DIRK@MYDOMAIN.US
    Subject: Your AT&T wireless bill is ready to view
    Mime-Version: 1.0
    Content-Type: text/html
    Content-Transfer-Encoding: 7bit
    AT&T: OLAMBRN-391887447
    X-MailScanner-ID: 8832ABCD0.A9AAB
    X-MailScanner: Found to be clean
    X-MailScanner-SpamScore: sssss
    X-MailScanner-From: icare7@amcustomercare.att-mail.com
    X-Spam-Status: No


    My dirk@mydomain.us emails (mydomain.us is also hosted by 1&1) forwards to dirk@mydomain.eu (I own the .us AND .eu domain!). But this (normally) would only take effect if I would disable the custom dns at 1&1 (which is currently pointing for the .us and the .eu domain to mydomain.dyndns.org). So currently 1&1 has as MX1 with priority 10 the setting to forward incoming emails to mydomain.dyndns.org. So .us and .eu emails are both hitting the astaro, being processed and then send to my internal email server (which is a zarafa on a Synology DS-713+). Other emails I receive are processed through "mout.kundenserver.de or mountng.kundenserver.de and look like this:

    Received: from mout.kundenserver.de ([212.227.126.130]:55470)
    by mydomain.dyndns.org with esmtps (TLSv1.2[[[:D]]]HE-RSA-AES256-GCM-SHA384:256)
    (Exim 4.82_1-5b7a7c0-XX)
    (envelope-from )
    id 1YStnD-0003kY-1a
    for dirk@mydomain.eu; Tue, 03 Mar 2015 15:51:52 -0500
    Received: from plesk1.first-vserver.de ([213.185.88.57]) by mx.kundenserver.de
     (mxeue006) with ESMTPS (Nemesis) id 0Luv6D-1XTnny1Mu1-0105EM for
     ; Tue, 03 Mar 2015 20:39:51 +0100
    X-Antivirus-Status: Clean
    Message-ID: 
    Date: Tue, 03 Mar 2015 20:39:51 +0100
    From: "Christian.Langer" 
    MIME-Version: 1.0
    To: dirk@mydomain.eu
    Subject: Re: Deine Adresse?
    References: 
    In-Reply-To: 
    Content-Type: multipart/alternative;
     boundary="------------050707020201060507010101"
    X-Antivirus: avast! (VPS 150303-0, 03.03.2015), Outbound message
    X-Antivirus-Status: Clean
    X-UI-Out-Filterresults: notjunk:1;


    Has anyone an idea WHY I receive emails sometimes through 1&1 and sometimes directly? I also need to know whether I also need to add "mydomain.dyndns.org" to the "upload Hosts/networks"? Or do I have to do sth different so that the spam filters works properly (again)? By the way ... there seems to be no difference when/why I receive emails directly (mydomain.dnyndns.org) or indirectly (mountng.kundenserver.de/mout.kundenserver.de). It's not as simple as that direct emails come to dirk@mydomain.us and indirect ones through dirk@mydomain.eu. ;-)
  • 0
    Has anyone an idea WHY I receive emails sometimes through 1&1 and sometimes directly?

    I guess that you have an MX with a higher priority that points at mx.kundenserver.de.
    add "mydomain.dyndns.org" to the "upload Hosts/networks"?

    Not if that's the FQDN to reach your UTM on an interface with a default gateway.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML