This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Block entire Top Level Domains in Email Protection : Anti-spam ?

I am getting an enormous amount of spam in user quarantines from a seemingly made up TLD. I used to get .xyz and now I get .science.

Of my 10680 mails in quarrintine, 4455 are from a .science domain

I would love it if someone would tell me how to block these since that are all junk.

I tried 
*@*.science
 under Email Protection : Anti-spam : Sender blacklist but it does not work.

It looks like each SPAM campaign has a different IP, domain, and sub-domain so the TLD is the only common factor. These never get caught by rDNS or RBLs and I would like to see them gone.

Here are some sample headers: 

Received: from prescout.quinter.science ([66.248.193.188]:49960) by 7552-5.UTM-server.com with esmtp (Exim 4.82_1-5b7a7c0-XX) (envelope-from ) id 1YzYdc-0005Qn-0p for mic@mydomain.com; Mon, 01 Jun 2015 18:56:56 -0400
Received: from 0035201d.prescout.quinter.science ([127.0.0.1]:4011 helo=prescout.quinter.science) by prescout.quinter.science with ESMTP id 00GP3520VA1D; for ; Mon, 1 Jun 2015 15:56:55 -0700
X-CTCH-RefID: str=0001.0A020203.556CE338.00C9,ss=3,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
Date: Mon, 1 Jun 2015 15:56:55 -0700
To: 
Message-ID: 

Received: from 2rqun09wm.lovechristian.science ([198.52.177.235]:50587) by 7552-5.UTM-server.com with esmtp (Exim 4.82_1-5b7a7c0-XX) (envelope-from ) id 1YzYS4-0004vz-0R for connie@mydomain.com; Mon, 01 Jun 2015 18:45:00 -0400
Received: from 00de1d46.2rqun09wm.lovechristian.science (amavisd, port 6523) by 2rqun09wm.lovechristian.science with ESMTP id 00PPATYDE1DVNNNY46; for ; Mon, 1 Jun 2015 15:44:56 -0700
X-CTCH-RefID: str=0001.0A020202.556CE038.0081,ss=3,sh,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
Message-ID: 
Envelope-to: connie@mydomain.com
Date: Mon, 1 Jun 2015 15:44:56 -0700
From: "ONLINE-DATING" 
Subject: ARE YOU-SINGLE?- CONSIDER THIS..
To: 
Content-Language: en-us


Will a REGEX work?

If so, can someone please post one?

Thanks.


This thread was automatically locked due to age.
Parents
  • 1. They just don't work.
    2. Yes, I think that will cause the UTM's lookup to fail and that it will not try to ask for name resolution from another DNS server.
    3. Based on BrucekConvergent's comment last year that he'd been using it, I started switching folks over to that beginning with ours.  You may need to add one or two domains to an Exception for rDNS, but probably not.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks Bob. I will post the results.

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

Reply Children
  • Bob,

    Here are screen shots. Please let me know if this is what you envisioned.

    Just thinking out loud here but this could become a powerful tool in in the endless fight with spammers. Could I just make one network definition and add ns2, ns3, ns4 as additional host names instead of making 4 network definitions? 

    This would also allow the list to grow by targeting the DNS of other spammer scum without ending up with a bunch a network definitions.

    I have your suggestions online, and will review the log in a few hours.

    Might even post some log if you got 'em!

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

  • Bob,

    No joy.

    The suggestions do not stop the UTM from looking up the IP of a .science domain. It was my understanding that you wanted to cause the IP address lookup to fail in DNS so that the rDNS check would fail and the spam would be rejected.

    Perhaps I did something wrong, or there is something more required.

    I used host, not DNS host for the definitions because there was no way to add an ip like you requested, but maybe that would be an option.

    Any help appreciated. This could really benefit the community if you can make it work. I don't mind being the guinea pig as long as it doesn't break my mail server. [:O]

    Let me know if you would like a DNS log.

    Thanks,
    HTG

    Here is some log:

    2015:06:04-18:23:27 7552-5 exim-in[2776]: 2015-06-04 18:23:27 H=presearch.fiskalt.science [66.248.193.142]:52028 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
    2015:06:04-18:23:27 7552-5 exim-in[2776]: 2015-06-04 18:23:27 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="66.248.193.142" from="TouchfireCaseandKeyboard@fiskalt.science" to="user@mydomain.com" size="4322" reason="rbl" extra="zen.spamhaus.org"
    2015:06:04-18:23:27 7552-5 exim-in[2776]: 2015-06-04 18:23:27 H=presearch.fiskalt.science [66.248.193.142]:52028 F= rejected RCPT : 66.248.193.142 blacklisted at zen.spamhaus.org
    2015:06:04-18:23:27 7552-5 exim-in[2776]: 2015-06-04 18:23:27 SMTP connection from presearch.fiskalt.science [66.248.193.142]:52028 closed by DROP in ACL
    2015:06:04-18:23:27 7552-5 exim-in[2775]: 2015-06-04 18:23:27 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="66.248.193.142" from="TouchfireCaseandKeyboard@fiskalt.science" to="user@mydomain.com" size="4319" reason="rbl" extra="zen.spamhaus.org"
    2015:06:04-18:23:27 7552-5 exim-in[2775]: 2015-06-04 18:23:27 H=presearch.fiskalt.science [66.248.193.142]:43680 F= rejected RCPT : 66.248.193.142 blacklisted at zen.spamhaus.org
    2015:06:04-18:23:27 7552-5 exim-in[2775]: 2015-06-04 18:23:27 SMTP connection from presearch.fiskalt.science [66.248.193.142]:43680 closed by DROP in ACL
    2015:06:04-18:24:37 7552-5 exim-in[3024]: 2015-06-04 18:24:37 H=i0sgaf.nurta.science (001e5a04.nurta.science) [23.231.45.4]:59696 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
    2015:06:04-18:24:37 7552-5 exim-in[3025]: 2015-06-04 18:24:37 H=i0sgaf.nurta.science (0059e2e2.nurta.science) [23.231.45.4]:53964 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
    2015:06:04-18:24:37 7552-5 exim-in[3024]: 2015-06-04 18:24:37 [23.231.45.4] F= R= Verifying recipient address with callout
    2015:06:04-18:24:37 7552-5 exim-in[3025]: 2015-06-04 18:24:37 [23.231.45.4] F= R= Verifying recipient address with callout
    2015:06:04-18:24:38 7552-5 exim-in[3025]: 2015-06-04 18:24:38 1Z0dYz-0000mn-2Q  R= Verifying recipient address with callout
    2015:06:04-18:24:38 7552-5 exim-in[3024]: 2015-06-04 18:24:38 H=i0sgaf.nurta.science (001e5a04.nurta.science) [23.231.45.4]:59696 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
    2015:06:04-18:24:38 7552-5 exim-in[3024]: 2015-06-04 18:24:38 [23.231.45.4] F= R= Verifying recipient address with callout
    2015:06:04-18:24:38 7552-5 exim-in[3025]: 2015-06-04 18:24:38 1Z0dZ0-0000mn-1E  R= Verifying recipient address with callout
    2015:06:04-18:24:38 7552-5 exim-in[3024]: 2015-06-04 18:24:38 H=i0sgaf.nurta.science (001e5a04.nurta.science) [23.231.45.4]:59696 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
    2015:06:04-18:24:38 7552-5 exim-in[3024]: 2015-06-04 18:24:38 [23.231.45.4] F= R= Verifying recipient address with callout
    2015:06:04-18:24:38 7552-5 exim-in[3025]: 2015-06-04 18:24:38 1Z0dZ0-0000mn-2d  rejected RCPT : 209.249.59.145 blacklisted at b.barracudacentral.org
    2015:06:04-18:35:06 7552-5 exim-in[4684]: 2015-06-04 18:35:06 SMTP connection from 5u2b7dnb.zaphodried.science (00109d90.zaphodried.science) [209.249.59.145]:35422 closed by DROP in ACL
    2015:06:04-18:35:06 7552-5 exim-in[4683]: 2015-06-04 18:35:06 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="209.249.59.145" from="AccreditedOnlineGradDegrees@zaphodried.science" to="user@mydomain.com" size="7302" reason="rbl" extra="b.barracudacentral.org"
    2015:06:04-18:35:06 7552-5 exim-in[4683]: 2015-06-04 18:35:06 H=5u2b7dnb.zaphodried.science (001fd9ab.zaphodried.science) [209.249.59.145]:53331 F= rejected RCPT : 209.249.59.145 blacklisted at b.barracudacentral.org
    2015:06:04-18:35:06 7552-5 exim-in[4683]: 2015-06-04 18:35:06 SMTP connection from 5u2b7dnb.zaphodried.science (001fd9ab.zaphodried.science) [209.249.59.145]:53331 closed by DROP in ACL
    2015:06:04-18:35:06 7552-5 exim-in[4687]: 2015-06-04 18:35:06 H=5u2b7dnb.zaphodried.science (002008db.zaphodried.science) [209.249.59.145]:48946 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
    2015:06:04-18:35:06 7552-5 exim-in[4688]: 2015-06-04 18:35:06 H=5u2b7dnb.zaphodried.science (005a564d.zaphodried.science) [209.249.59.145]:53859 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
    2015:06:04-18:35:06 7552-5 exim-in[4688]: 2015-06-04 18:35:06 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="209.249.59.145" from="OnlineEducation@zaphodried.science" to="user@mydomain.com" size="7140" reason="rbl" extra="b.barracudacentral.org"
    2015:06:04-18:35:06 7552-5 exim-in[4688]: 2015-06-04 18:35:06 H=5u2b7dnb.zaphodried.science (005a564d.zaphodried.science) [209.249.59.145]:53859 F= rejected RCPT : 209.249.59.145 blacklisted at b.barracudacentral.org
    2015:06:04-18:35:06 7552-5 exim-in[4688]: 2015-06-04 18:35:06 SMTP connection from 5u2b7dnb.zaphodried.science (005a564d.zaphodried.science) [209.249.59.145]:53859 closed by DROP in ACL
    2015:06:04-18:35:06 7552-5 exim-in[4687]: 2015-06-04 18:35:06 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="209.249.59.145" from="EducationOnline@zaphodried.science" to="user@mydomain.com" size="7222" reason="rbl" extra="b.barracudacentral.org"
    2015:06:04-18:35:06 7552-5 exim-in[4687]: 2015-06-04 18:35:06 H=5u2b7dnb.zaphodried.science (002008db.zaphodried.science) [209.249.59.145]:48946 F= rejected RCPT : 209.249.59.145 blacklisted at b.barracudacentral.org
    2015:06:04-18:35:06 7552-5 exim-in[4687]: 2015-06-04 18:35:06 SMTP connection from 5u2b7dnb.zaphodried.science (002008db.zaphodried.science) [209.249.59.145]:48946 closed by DROP in ACL
    2015:06:04-18:35:07 7552-5 exim-in[4692]: 2015-06-04 18:35:07 H=5u2b7dnb.zaphodried.science (0007c389.zaphodried.science) [209.249.59.145]:60392 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
    2015:06:04-18:35:07 7552-5 exim-in[4691]: 2015-06-04 18:35:07 H=5u2b7dnb.zaphodried.science (00209429.zaphodried.science) [209.249.59.145]:57728 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
    2015:06:04-18:35:07 7552-5 exim-in[4692]: 2015-06-04 18:35:07 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="209.249.59.145" from="EDUOnline@zaphodried.science" to="user@mydomain.com" size="7220" reason="rbl" extra="b.barracudacentral.org"
    2015:06:04-18:35:07 7552-5 exim-in[4692]: 2015-06-04 18:35:07 H=5u2b7dnb.zaphodried.science (0007c389.zaphodried.science) [209.249.59.145]:60392 F= rejected RCPT : 209.249.59.145 blacklisted at b.barracudacentral.org
    2015:06:04-18:35:07 7552-5 exim-in[4692]: 2015-06-04 18:35:07 SMTP connection from 5u2b7dnb.zaphodried.science (0007c389.zaphodried.science) [209.249.59.145]:60392 closed by DROP in ACL
    2015:06:04-18:35:07 7552-5 exim-in[4691]: 2015-06-04 18:35:07 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="209.249.59.145" from="EDUOnline@zaphodried.science" to="user@mydomain.com" size="7175" reason="rbl" extra="b.barracudacentral.org"
    2015:06:04-18:35:07 7552-5 exim-in[4691]: 2015-06-04 18:35:07 H=5u2b7dnb.zaphodried.science (00209429.zaphodried.science) [209.249.59.145]:57728 F= rejected RCPT : 209.249.59.145 blacklisted at b.barracudacentral.org
    2015:06:04-18:35:07 7552-5 exim-in[4691]: 2015-06-04 18:35:07 SMTP connection from 5u2b7dnb.zaphodried.science (00209429.zaphodried.science) [209.249.59.145]:57728 closed by DROP in ACL
    2015:06:04-18:35:07 7552-5 exim-in[4695]: 2015-06-04 18:35:07 H=5u2b7dnb.zaphodried.science (00215a9f.zaphodried.science) [209.249.59.145]:45379 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
    2015:06:04-18:35:08 7552-5 exim-in[4695]: 2015-06-04 18:35:08 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="209.249.59.145" from="AccreditedOnlineGradDegrees@zaphodried.science" to="user@mydomain.com" size="7205" reason="rbl" extra="b.barracudacentral.org"
    2015:06:04-18:35:08 7552-5 exim-in[4695]: 2015-06-04 18:35:08 H=5u2b7dnb.zaphodried.science (00215a9f.zaphodried.science) [209.249.59.145]:45379 F= rejected RCPT : 209.249.59.145 blacklisted at b.barracudacentral.org
    2015:06:04-18:35:08 7552-5 exim-in[4695]: 2015-06-04 18:35:08 SMTP connection from 5u2b7dnb.zaphodried.science (00215a9f.zaphodried.science) [209.249.59.145]:45379 closed by DROP in ACL
    2015:06:04-18:35:52 7552-5 exim-in[4750]: 2015-06-04 18:35:52 H=bj2gu1h.datelove.science [198.52.176.159]:52248 Warning: mydomain.com profile excludes greylisting: Skipping greylisting for this message
    2015:06:04-18:35:52 7552-5 exim-in[4750]: 2015-06-04 18:35:52 [198.52.176.159] F= R= Verifying recipient address with callout
    2015:06:04-18:35:52 7552-5 exim-in[4750]: 2015-06-04 18:35:52 1Z0djs-0001Ec-2P  R= Verifying recipient address with callout
    2015:06:04-18:35:59 7552-5 exim-in[4759]: 2015-06-04 18:35:59 1Z0djz-0001El-0z 


    The attached screen shot also shows that a workstation has no problem performing the lookup as well.

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org