Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 12155 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Completely Block Mail from Internal Domain

despich
For our Company Domain (petroleumtraders.com) all our users send emails from Inside the firewall. So we know any email that comes from outside the firewall with that as a sending address is fake. So we have a *@petroleumtraders.com Address pattern added to the Sender BlackList section of the AntiSpam tab on our email protection. 

But today one of our Vice Presidents got a fake email that appeared to be from the owners address complete with a @petroleumtraders.com address. Luckily it looked a little suspicious because it was a wire transfer request.

After inspecting the email I found in the header that the X-Sender was a external address and the From header was a @petroleumtraders.com and the Reply-To, Return-Path were also a external address. 

So I guess the Sender blacklist does not block the "envelope-from" address?

How can I block these so internal users can't be tricked?

Dan


This thread was automatically locked due to age.
  • 0
    Check your private messages...
  • 0
    I am experiencing the same emails. The sender seems to update weekly so I can't keep up to block them.
  • 0 in reply to migiT
    If you'd publish SPF records in your domain you could prevent all unspecified IP addresses from sending e-mail that is using your domain as a source.

    For more information, see:
    https://en.wikipedia.org/wiki/Sender_Policy_Framework
  • 0
    Great idea to think about his problem instead of how to make his solution work like the rest of us! SPF is easy and also should be done, but I think it would not prevent Dan's problem.  Rather, it would be DKIM he wants.  I see someone copied my instructions for setting this up, so rather than offering to send you each a copy, here's the link to the KnowledgeBase article.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I do publish DKIM and SPF records and have for some time with a strict rule regarding what IP the domains emails should come from and what to do if they are not Signed.  I also have "perform SPF check" enabled on our AntiSpam setup.  Obviously the email that made it through was not DKIM signed or from the correct IP address according to SPF so that didn't help.

    Would a users Whitelist override the Blacklisted address patterns we have setup on the Antispam setup?

    Dan
  • 0
    Would a users Whitelist override the Blacklisted address patterns we have setup on the Antispam setup?

    I believe the personal lists trump the general lists, Dan, as well as most if not all of the other anti-spam tools, but I don't recall seeing that written explicitly.  I'll be interested to know the result of your investigation.

    Cheers - Bob
    PS If you would like for me to look at your DKIM setup in public DNS, send an email to my member name here @ the domain in my signature.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Same situation as Dan still, using SPF records (with a hard fail) for my domain and have perform SPF checks enabled on UTM. The only feature I don't have enabled is "Do strict RDNS checks".
  • 0
    Did you try setting up DKIM?  Are you certain you don't have an Exception for your domain and that you haven't whitelisted it anywhere?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I have not tried setting up DKIM. I have never found a need for it before. I verified there are no exceptions that would be conflicting. I've been searching for 3 days for any configuration flaw that would be allowing these emails to pass, I can't find anything. I've never encountered a problem like this before with any other spam filter solution.
  • 0
    After three days I was finally able to get a support engineer on the phone.

    FIX- They found the device was only querying internal DNS servers. I did not have a SPF configured internally, only on external hosts so the device was unable to confirm my own SPF record. How to check if this applies to you:

    1) Enable Shell Access (Management >> System Settings >> Shell Access)
    1a) Reset the root and loginuser passwords if you don't know them.
    2) SSH to device, logon with loginuser and password
    3) enter "su -" 
    3a) enter root password
    4) enter "dig -t txt yourdomainname.com +short"
       *This does a query to your default configured DNS server. If the results are blank this applies to you, if it returns with your SPF record this is not your issue.*
    5) verify by entering "dig @8.8.8.8 -t txt yourdomain.com +short"
       *if this external DNS query (using google) resulted with your SPF record and the default DNS server query (step 4) was blank, then this confirms it is your issue. Add a TXT record on your default DNS servers with your SPF*

    How to check what your default DNS servers are set to in UTM:

    In the Web GUI- Network Services >> DNS >> Request Routing >> Find your domain that should be listed and review the "target servers".

    For my setup, the target servers are my internal domain controllers.
Unfiltered HTML