Difference between spam and confirmed spam

Based on my searches, sophos default built-in DNSBL for finding spam sources is Commtouch (now Cyren). if the source is listed there, email will be classified as Confirmed. Am I right here ?

Based on my searches, sophos default built-in DNSBL for finding spam sources is Commtouch (now Cyren). if the source is listed there, email will be classified as Confirmed. Am I right here ?

if it is listed at commtouch or any additional dnsbls you add it is confirmed.  otherwise if it looks spammy it is marked spam.

if it is listed at commtouch or any additional dnsbls you add it is confirmed.  otherwise if it looks spammy it is marked spam.

Thanks William
and two more Q's to come :

1- where is the exact address of Commtouch RBL (something like dnsbl.cyren.com or ?)
2- when having multiple RBL's, are they all searched for spam list or just the first one ?

Thanks

1)  Understanding Commtouch/Cyren

Commtouch detects spam messages using their distribution and spreading, not by searching for text patterns like classic anti-spam application. For each scanned message, a hash is generated. The local Ctasd daemon sends this information to the nearest central datacenter server (there are 5 all over the world), receives an answer (spam or not) and responds back to Axigen.

Ctasd automatically stores message patterns classifications received in responses from the Commtouch Datacenter to a local cache in order to optimize the spam and malware detection. Ctasd will analyze the message patterns against this local cache as the first step in detection and filtering.

If a match is found based on previous queries, a similar classification is assigned without sending a new query to a Commtouch Datacenter.

If no match is found, ctasd will then prepare and send a query to a Commtouch Datacenter.

The local cache is updated regularly each time a response is received from the Datacenter and older or expired classifications are deleted. In addition to the local cache, ctasd maintains a persistent cache, which is automatically reloaded when ctasd is stopped and restarted. This helps improve overall response time. 

2)  They are all searched, unless there is a match (spammer according to one of the RBLs), then processing will stop.

1)  Understanding Commtouch/Cyren

Commtouch detects spam messages using their distribution and spreading, not by searching for text patterns like classic anti-spam application. For each scanned message, a hash is generated. The local Ctasd daemon sends this information to the nearest central datacenter server (there are 5 all over the world), receives an answer (spam or not) and responds back to Axigen.

Ctasd automatically stores message patterns classifications received in responses from the Commtouch Datacenter to a local cache in order to optimize the spam and malware detection. Ctasd will analyze the message patterns against this local cache as the first step in detection and filtering.

If a match is found based on previous queries, a similar classification is assigned without sending a new query to a Commtouch Datacenter.

If no match is found, ctasd will then prepare and send a query to a Commtouch Datacenter.

The local cache is updated regularly each time a response is received from the Datacenter and older or expired classifications are deleted. In addition to the local cache, ctasd maintains a persistent cache, which is automatically reloaded when ctasd is stopped and restarted. This helps improve overall response time. 

2)  They are all searched, unless there is a match (spammer according to one of the RBLs), then processing will stop.

thanks so much
and how I can find the IP/DNS name of those Datacenters and servers cause they should be opened in some firewalls in the middle, and the ports these query use (is it standard dns query)

thanks so much
and how I can find the IP/DNS name of those Datacenters and servers cause they should be opened in some firewalls in the middle, and the ports these query use (is it standard dns query)

no need that is done automatically.

no need that is done automatically.

No, I mean a firewall in upper layers. I use the device just as anti spam but its internet connection is provided through another firewall and I should the responsible guys which ports and destinations should be opened from sophos to internet (they do not allow any any accept rules)

if you have that restrictive of an upstream i would suggest moving your spam filtering to a cloud solution.