This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Block entire Top Level Domains in Email Protection : Anti-spam ?

I am getting an enormous amount of spam in user quarantines from a seemingly made up TLD. I used to get .xyz and now I get .science.

Of my 10680 mails in quarrintine, 4455 are from a .science domain

I would love it if someone would tell me how to block these since that are all junk.

I tried 
*@*.science
 under Email Protection : Anti-spam : Sender blacklist but it does not work.

It looks like each SPAM campaign has a different IP, domain, and sub-domain so the TLD is the only common factor. These never get caught by rDNS or RBLs and I would like to see them gone.

Here are some sample headers: 

Received: from prescout.quinter.science ([66.248.193.188]:49960) by 7552-5.UTM-server.com with esmtp (Exim 4.82_1-5b7a7c0-XX) (envelope-from ) id 1YzYdc-0005Qn-0p for mic@mydomain.com; Mon, 01 Jun 2015 18:56:56 -0400
Received: from 0035201d.prescout.quinter.science ([127.0.0.1]:4011 helo=prescout.quinter.science) by prescout.quinter.science with ESMTP id 00GP3520VA1D; for ; Mon, 1 Jun 2015 15:56:55 -0700
X-CTCH-RefID: str=0001.0A020203.556CE338.00C9,ss=3,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
Date: Mon, 1 Jun 2015 15:56:55 -0700
To: 
Message-ID: 

Received: from 2rqun09wm.lovechristian.science ([198.52.177.235]:50587) by 7552-5.UTM-server.com with esmtp (Exim 4.82_1-5b7a7c0-XX) (envelope-from ) id 1YzYS4-0004vz-0R for connie@mydomain.com; Mon, 01 Jun 2015 18:45:00 -0400
Received: from 00de1d46.2rqun09wm.lovechristian.science (amavisd, port 6523) by 2rqun09wm.lovechristian.science with ESMTP id 00PPATYDE1DVNNNY46; for ; Mon, 1 Jun 2015 15:44:56 -0700
X-CTCH-RefID: str=0001.0A020202.556CE038.0081,ss=3,sh,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
Message-ID: 
Envelope-to: connie@mydomain.com
Date: Mon, 1 Jun 2015 15:44:56 -0700
From: "ONLINE-DATING" 
Subject: ARE YOU-SINGLE?- CONSIDER THIS..
To: 
Content-Language: en-us


Will a REGEX work?

If so, can someone please post one?

Thanks.


This thread was automatically locked due to age.
Parents
  • REGEX and *@*.science won't work, but you may be able to block Alpnames name servers which is where all that garbage comes from.  I haven't tried this, so please let us know if it works...

    (What was I thinking?  - No way this could work!)  Make Static DNS definitions for ns1, ns2, ns3 and ns4.alpnames.com with IPs inside your subnet but that don't exist in your LAN.  Flush the DNS cache.  On the 'Anti-Spam' tab, select 'Do strict RDNS checks'.  I'm curious what this will cause in the SMTP and DNS logs. 

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks Bob!

    So if I understand correctly, .science spammer scum can currently pass rDNS checks but by creating local static names for their DNS servers that go nowhere, you essentially make it impossible for said spammer scum to pass  'Strict RDNS checks'. This has the advantage that when said spammer scum abandon .science for the next .crap they will still be kept out unless they change their DNS servers.

    I am willing to try this but a few more questions first:

    1. Can you provide a litte detail on why REGEX and *@*.science won't work?

    2. By 
    IPs inside your subnet but that don't exist in your LAN
     I want to clarify that you mean just use 4 unused IPs from my LAN that do not connect to an actual host so traffic goes nowhere.

    3. Until now I thought the general consensus was that 'Do strict RDNS checks' was going to cause too many legitimate senders to get their emails denied. Are you now of the opinion that it is OK to use 'Do strict RDNS checks'? If so have you been using it?

    Thanks,
    HTG

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

Reply
  • Thanks Bob!

    So if I understand correctly, .science spammer scum can currently pass rDNS checks but by creating local static names for their DNS servers that go nowhere, you essentially make it impossible for said spammer scum to pass  'Strict RDNS checks'. This has the advantage that when said spammer scum abandon .science for the next .crap they will still be kept out unless they change their DNS servers.

    I am willing to try this but a few more questions first:

    1. Can you provide a litte detail on why REGEX and *@*.science won't work?

    2. By 
    IPs inside your subnet but that don't exist in your LAN
     I want to clarify that you mean just use 4 unused IPs from my LAN that do not connect to an actual host so traffic goes nowhere.

    3. Until now I thought the general consensus was that 'Do strict RDNS checks' was going to cause too many legitimate senders to get their emails denied. Are you now of the opinion that it is OK to use 'Do strict RDNS checks'? If so have you been using it?

    Thanks,
    HTG

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

Children
No Data