This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Block entire Top Level Domains in Email Protection : Anti-spam ?

I am getting an enormous amount of spam in user quarantines from a seemingly made up TLD. I used to get .xyz and now I get .science.

Of my 10680 mails in quarrintine, 4455 are from a .science domain

I would love it if someone would tell me how to block these since that are all junk.

I tried 
*@*.science
 under Email Protection : Anti-spam : Sender blacklist but it does not work.

It looks like each SPAM campaign has a different IP, domain, and sub-domain so the TLD is the only common factor. These never get caught by rDNS or RBLs and I would like to see them gone.

Here are some sample headers: 

Received: from prescout.quinter.science ([66.248.193.188]:49960) by 7552-5.UTM-server.com with esmtp (Exim 4.82_1-5b7a7c0-XX) (envelope-from ) id 1YzYdc-0005Qn-0p for mic@mydomain.com; Mon, 01 Jun 2015 18:56:56 -0400
Received: from 0035201d.prescout.quinter.science ([127.0.0.1]:4011 helo=prescout.quinter.science) by prescout.quinter.science with ESMTP id 00GP3520VA1D; for ; Mon, 1 Jun 2015 15:56:55 -0700
X-CTCH-RefID: str=0001.0A020203.556CE338.00C9,ss=3,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
Date: Mon, 1 Jun 2015 15:56:55 -0700
To: 
Message-ID: 

Received: from 2rqun09wm.lovechristian.science ([198.52.177.235]:50587) by 7552-5.UTM-server.com with esmtp (Exim 4.82_1-5b7a7c0-XX) (envelope-from ) id 1YzYS4-0004vz-0R for connie@mydomain.com; Mon, 01 Jun 2015 18:45:00 -0400
Received: from 00de1d46.2rqun09wm.lovechristian.science (amavisd, port 6523) by 2rqun09wm.lovechristian.science with ESMTP id 00PPATYDE1DVNNNY46; for ; Mon, 1 Jun 2015 15:44:56 -0700
X-CTCH-RefID: str=0001.0A020202.556CE038.0081,ss=3,sh,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
Message-ID: 
Envelope-to: connie@mydomain.com
Date: Mon, 1 Jun 2015 15:44:56 -0700
From: "ONLINE-DATING" 
Subject: ARE YOU-SINGLE?- CONSIDER THIS..
To: 
Content-Language: en-us


Will a REGEX work?

If so, can someone please post one?

Thanks.


This thread was automatically locked due to age.
Parents
  • HTG, if Sophos Support won't do that for you, you would at least need to remember to change it back if ever you need them in your UTM.  (I went back and noted on my suggestion that I don't know what I was thinking! :eek[:)]

    Does teched's suggestion work?  That would be cool if it did!

    Cheers - Bob 
    PS Bill, you give me too much credit - I'm no guru for exim, nor sendmail, nor apache, etc. - in fact, there are things I learn here every day.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • No problem Bob. Of all the folks on this board, you are most certainly allowed a brain fart now and then.

    I deleted the brainfart.alpnames servers and I have added 'science.bl.yodbl.net' in the RBLs (Realtime blackhole lists) per teched's suggestion. No undesired side effects so far. I will check the logs later today and see if it works.

    If yes, thanks teched in advance. If not, I guess it is on to billybob's suggestion and taking Bob's advice to open a case with Sophos to ask them to do it unless anyone else has any ideas.

    Teched, can you explain this RBL, as a Google search reveals nothing about the existence of an yodbl.net RBL. How can it work by prefacing a TLD as a subdomain? There is not even an actual website at yodbl.net and no a records exist for bl.yodbl.net or science.bl.yodbl.net so I do not see how the UTM could use this as a functional RBL.

    Thanks,
    HTG

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

Reply
  • No problem Bob. Of all the folks on this board, you are most certainly allowed a brain fart now and then.

    I deleted the brainfart.alpnames servers and I have added 'science.bl.yodbl.net' in the RBLs (Realtime blackhole lists) per teched's suggestion. No undesired side effects so far. I will check the logs later today and see if it works.

    If yes, thanks teched in advance. If not, I guess it is on to billybob's suggestion and taking Bob's advice to open a case with Sophos to ask them to do it unless anyone else has any ideas.

    Teched, can you explain this RBL, as a Google search reveals nothing about the existence of an yodbl.net RBL. How can it work by prefacing a TLD as a subdomain? There is not even an actual website at yodbl.net and no a records exist for bl.yodbl.net or science.bl.yodbl.net so I do not see how the UTM could use this as a functional RBL.

    Thanks,
    HTG

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

Children
  • If you have support then help all of us out and open a ticket. They will fix your problem and probably will have it fixed for all of us within the next version or two.

    I don't think teched solution would work. Astaro supports RBLs which essentially blacklist or whitelist an IP not domains as far as I know. Its really simple how the whole thing works. 
    1. Mail comes in, Blacklisted addresses are denied globally. 
    2. Then we do a RDNS check to make sure that the name matches the IP.
    3. Once we know the IP, we can check it against RBLs
    4. Recipient verification occurs if selected.
    5. Mail is delivered.
    There are other steps if you do TLS / greylisting but these are the main steps. In our UTMs step 1 is broken. If you have support call and get it fixed[;)] We will all thank you[:P]

    Sample spamhaus query for IP 69.29.33.1 against my DNS forwarder 205.171.2.65. Note that the same query would fail if you used 8.8.8.8 (google dns). William has posted about it before somewhere in the tweaking thread. The same query doesn't work for bl.yodbl.net

    [root@minkibaba ~]# dig 1.33.29.69.zen.spamhaus.org a @205.171.2.65
    

    ; <>> DiG 9.9.5 <>> 1.33.29.69.zen.spamhaus.org a @205.171.2.65
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER


    -Bill-