This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Block entire Top Level Domains in Email Protection : Anti-spam ?

I am getting an enormous amount of spam in user quarantines from a seemingly made up TLD. I used to get .xyz and now I get .science.

Of my 10680 mails in quarrintine, 4455 are from a .science domain

I would love it if someone would tell me how to block these since that are all junk.

I tried 
*@*.science
 under Email Protection : Anti-spam : Sender blacklist but it does not work.

It looks like each SPAM campaign has a different IP, domain, and sub-domain so the TLD is the only common factor. These never get caught by rDNS or RBLs and I would like to see them gone.

Here are some sample headers: 

Received: from prescout.quinter.science ([66.248.193.188]:49960) by 7552-5.UTM-server.com with esmtp (Exim 4.82_1-5b7a7c0-XX) (envelope-from ) id 1YzYdc-0005Qn-0p for mic@mydomain.com; Mon, 01 Jun 2015 18:56:56 -0400
Received: from 0035201d.prescout.quinter.science ([127.0.0.1]:4011 helo=prescout.quinter.science) by prescout.quinter.science with ESMTP id 00GP3520VA1D; for ; Mon, 1 Jun 2015 15:56:55 -0700
X-CTCH-RefID: str=0001.0A020203.556CE338.00C9,ss=3,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
Date: Mon, 1 Jun 2015 15:56:55 -0700
To: 
Message-ID: 

Received: from 2rqun09wm.lovechristian.science ([198.52.177.235]:50587) by 7552-5.UTM-server.com with esmtp (Exim 4.82_1-5b7a7c0-XX) (envelope-from ) id 1YzYS4-0004vz-0R for connie@mydomain.com; Mon, 01 Jun 2015 18:45:00 -0400
Received: from 00de1d46.2rqun09wm.lovechristian.science (amavisd, port 6523) by 2rqun09wm.lovechristian.science with ESMTP id 00PPATYDE1DVNNNY46; for ; Mon, 1 Jun 2015 15:44:56 -0700
X-CTCH-RefID: str=0001.0A020202.556CE038.0081,ss=3,sh,re=0.000,recu=0.000,reip=0.000,cl=3,cld=1,fgs=0
Message-ID: 
Envelope-to: connie@mydomain.com
Date: Mon, 1 Jun 2015 15:44:56 -0700
From: "ONLINE-DATING" 
Subject: ARE YOU-SINGLE?- CONSIDER THIS..
To: 
Content-Language: en-us


Will a REGEX work?

If so, can someone please post one?

Thanks.


This thread was automatically locked due to age.
  • The antispam tab modifies the file 
    /var/storage/chroot-smtp/etc/exim.conf.senderblacklist/REF_SMTPGlobalProfile
    . Exim.conf is a generic template higly modified by astaro. All I am doing is calling the file directly instead of using wild linear search function. The file needs either wildcards or specific email address, regex won't work.

    The file maintainer Micha Lenk hasn't worked for sophos in a while. I haven't looked at how the older versions were calling the feauter, but I have successfully used the sender blacklist before. I am not sure if sophos made the change or if the current version of exim is having issues but regardless, the linear wildlsearch function built into exim is not working for some reason.

    But if you give the file location, it works perfectly. A firmware update more than likely won't bother it unless it involved smtp proxy. A reboot or any other configuration change should have no effect.

    I have used the function before but country blocking etc usually takes care of my problems. But sender blacklist is trivial in most MTAs and there is no reason it shouldn't work in astaro[:@]
  • I was curious so I searched where the functionality broke and traced it back to 9.3 beta here https://community.sophos.com/products/unified-threat-management/astaroorg/f/82/t/65900

    Seems like webadmin was not creating the reference REF_SMTPGlobalProfile and therefore since the search file was missing, all the mails were being temporarily rejected. The final fix to the problem wasn't supposedly released till v9.309 but the 9.30xx releases before that somehow worked. I am guessing someone took the blacklist functionality out. 

    They supposedly fixed the REF_SMTPGlobalProfile file creation problem, and fixed something again in 9.310 but the backend is still broke.
    34744 Email scanner timeout/deadlock if blacklist entry contains multiple *

    By that time wifi was completely useless so who cares about global blacklists right? What a joke[:O]
  • Billybob,

    OT: Tell me about it! My UTMs with WiFi are still useless but I now have them on SNAP AV Wattboxes so I can remote reboot the APs, and auto reboot then everyday at 6am. They are still much slower on Speedtest than the APs they replaced. Supposedly this can be fixed by connecting the APs directly to a UTM port instead of just on the LAN, but I have not been able to try this yet.

    The UTM I have running SMTP proxy is still on version 9.307. IDC if it is on the latest, I just need SMTP Proxy to work.

    So after your research, would you you say there is one particular version that works like maybe 9.309 that I could upgrade to and get this working without having to modify /var/storage/chroot-smtp/etc/exim.conf?

    Or am I still going to need to do the mod?

    Thanks,
    HTG

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

  • Bob (BAlfson) is the master of astaro world and beyond[:D] The guy can answer most questions before you even ask them[:P] He probably knew about the exim.conf modification that I wrote about but most likely didn't mention it since he likes to stay within compliance as much as possible. He will guide you in the best direction.

    We stopped using astaro in our organization a while back and I have not really been involved with the latest trends in newer versions of astaro so can't really answer your question. If I had to take a guess, probably 9.2x tree would be your best bet. I am on v9.310 at home and the functionality you are seeking is broken in this version. Maybe you can try one of the newer soft releases that are floating around and start a conversation in the soft release thread about blacklisting not working.

    Best of luck to you[:)]
  • Thanks Billybob,

    Hopefully Bob will chime in on your solution since I don't believe his first suggestion worked, although his suggestion of turning on "Strict rDNS Checks" did reduce the amount of SPAM that did get through without any negative consequences so far so that is a plus.

    THG

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

  • Does adding 'science.bl.yodbl.net' as an RBL (does the UTM support DBLs?) cause the UTM to treat *.science as blacklisted?  

    And 'xyz.bl.yodbl.net', *.xyz?

    Any undesired side effects?
  • HTG, if Sophos Support won't do that for you, you would at least need to remember to change it back if ever you need them in your UTM.  (I went back and noted on my suggestion that I don't know what I was thinking! :eek[:)]

    Does teched's suggestion work?  That would be cool if it did!

    Cheers - Bob 
    PS Bill, you give me too much credit - I'm no guru for exim, nor sendmail, nor apache, etc. - in fact, there are things I learn here every day.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • No problem Bob. Of all the folks on this board, you are most certainly allowed a brain fart now and then.

    I deleted the brainfart.alpnames servers and I have added 'science.bl.yodbl.net' in the RBLs (Realtime blackhole lists) per teched's suggestion. No undesired side effects so far. I will check the logs later today and see if it works.

    If yes, thanks teched in advance. If not, I guess it is on to billybob's suggestion and taking Bob's advice to open a case with Sophos to ask them to do it unless anyone else has any ideas.

    Teched, can you explain this RBL, as a Google search reveals nothing about the existence of an yodbl.net RBL. How can it work by prefacing a TLD as a subdomain? There is not even an actual website at yodbl.net and no a records exist for bl.yodbl.net or science.bl.yodbl.net so I do not see how the UTM could use this as a functional RBL.

    Thanks,
    HTG

    Best Regards - HTG
    Frustrated Sophos Partner seeing all the things
    that brought me to Sophos slowly slip away.
    RIP astaro.org

  • If you have support then help all of us out and open a ticket. They will fix your problem and probably will have it fixed for all of us within the next version or two.

    I don't think teched solution would work. Astaro supports RBLs which essentially blacklist or whitelist an IP not domains as far as I know. Its really simple how the whole thing works. 
    1. Mail comes in, Blacklisted addresses are denied globally. 
    2. Then we do a RDNS check to make sure that the name matches the IP.
    3. Once we know the IP, we can check it against RBLs
    4. Recipient verification occurs if selected.
    5. Mail is delivered.
    There are other steps if you do TLS / greylisting but these are the main steps. In our UTMs step 1 is broken. If you have support call and get it fixed[;)] We will all thank you[:P]

    Sample spamhaus query for IP 69.29.33.1 against my DNS forwarder 205.171.2.65. Note that the same query would fail if you used 8.8.8.8 (google dns). William has posted about it before somewhere in the tweaking thread. The same query doesn't work for bl.yodbl.net

    [root@minkibaba ~]# dig 1.33.29.69.zen.spamhaus.org a @205.171.2.65
    

    ; <>> DiG 9.9.5 <>> 1.33.29.69.zen.spamhaus.org a @205.171.2.65
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER


    -Bill-
  • I should have been more clear regarding the importance of my parenthetical comment regarding the UTM's support for DBL type lists.

    An example lookup would be "dig astaro.org.org.bl.yodbl.net"

    See more about DBLs at https://www.spamhaus.org/dbl/