This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Email protection bounceback storm

Hello everyone,

Opened a case with support, but wanted to hear your opinions on the matter as well:

We recently enabled and redirected all emails for a few of our domains via our UTM. We discovered a strange issue.

We have about 1300 users hosted on an Exchange 2010 server. The Exchange server uses the UTM as a smarthost for delivery. Now, in one particular case, a user (which is not the only one with this set up), has an inbox rule to forward all messages to an external address. What happened with the UTM, is that the external address did not exist so:

1) Exchange would try to forward original message to external address
2) UTM would accept it, but not generate a proper SMTP bounceback.
3) UTM sent it's own bounceback email
4) Message would be delivered back to Exchange and according to inbox rule, message would be attempted to be forwarded again to external recipient

So essentially, we ended up with an SMTP storm. We never had this issue with our fortimail unit. Obviously Exchange treats message delivery failed notifications differently and inbox rules do not apply to them, so why is the UTM sending it's own delivery notification failures?

 

Thank you,


This thread was automatically locked due to age.
Parents
  • x-ing, you said that the inbox rule forwarded to a non-existent address.  When you were using FortiMail, that mailbox must have been full of failed-delivery notifications.  Hmm...

    That does sound like an ex-employee that had set his account up to forward emails to his new address.  Either he's been gone for awhile and the Exchange admins didn't know to close his account or he got fired quickly at his new job.  If this is the case, a new item needs to be added to HR's separation checklist.

    So, an absent interface would seem to be a failed interface. [;)]

    That doesn't mean that Sophos shouldn't take care of the glitch that you discovered!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • x-ing, you said that the inbox rule forwarded to a non-existent address.  When you were using FortiMail, that mailbox must have been full of failed-delivery notifications.  Hmm...

    That does sound like an ex-employee that had set his account up to forward emails to his new address.  Either he's been gone for awhile and the Exchange admins didn't know to close his account or he got fired quickly at his new job.  If this is the case, a new item needs to be added to HR's separation checklist.

    So, an absent interface would seem to be a failed interface. [;)]

    That doesn't mean that Sophos shouldn't take care of the glitch that you discovered!

    Cheers - Bob


    Additionally, the mailbox is an external to our organization. Just to clarify. For the purposes of this discussion, let's say it was a gmail.com address [:)]
Reply
  • x-ing, you said that the inbox rule forwarded to a non-existent address.  When you were using FortiMail, that mailbox must have been full of failed-delivery notifications.  Hmm...

    That does sound like an ex-employee that had set his account up to forward emails to his new address.  Either he's been gone for awhile and the Exchange admins didn't know to close his account or he got fired quickly at his new job.  If this is the case, a new item needs to be added to HR's separation checklist.

    So, an absent interface would seem to be a failed interface. [;)]

    That doesn't mean that Sophos shouldn't take care of the glitch that you discovered!

    Cheers - Bob


    Additionally, the mailbox is an external to our organization. Just to clarify. For the purposes of this discussion, let's say it was a gmail.com address [:)]
Children
No Data