Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 12 replies
  • Subscribers 0 subscribers
  • Views 2811 views
  • Users 0 members are here
Options
Suggested

[7.250] No Spam Score Threshold Limit [NOTABUG]

mhofer
Hi all,
 
Under SMTP Proxy - Anti Spam you can choose Spam Action and Confirmed Spam Action but which Spam Score Level does this Options have. 
 
I searched the complete Webadmin Interface but i didn't find any Option where i can set the Spam Score Threshold.
 
Is this a planned feature or will the Spam Threshold Limit return?? [;)]
 
Thanks in advance.
Parents Reply Children
  • 0 in reply to tom_01
    First the http proxy goes proprietary..now the spam scanner goes proprietary.  I sense a disturbing trend here.
  • 0 in reply to William Warren
    For spam scanning, there are no open-source solutions that can potentially scale to the level that we need (without hogging resources).

    The HTTP proxy is our own product (not aquired from a 3rd party vendor). Once again, there is no open source product available that does exactly what we need.
  • 0 in reply to tom_01
    I have no problem with portions of the Astaro product becoming custom code or 3rd party code; there are some things that can be done better with products that aren't open source.  The quality of the product has only gotten better, IMHO, as these changes have been made.  Admittedly, V7 got off to a rocky start, but I'm pretty happy with the product as it stands now, and the direction it is going in.  Just my 2 cents.
  • 0 in reply to tom_01
    For spam scanning, there are no open-source solutions that can potentially scale to the level that we need (without hogging resources).

    The HTTP proxy is our own product (not aquired from a 3rd party vendor). Once again, there is no open source product available that does exactly what we need.

    SA most assuredly can scale and if it's tuned right scale to enormous sizes without being a huge drain(use spamd instead of spamassassin is one way).  There are several tier 1 providers that use SA to great effect.
  • 0 in reply to William Warren
    I agree with William... Mailscanner + Sophos + BitDefender + SpamAssassin + DCC + Razor can handle 1.7Million messages per day on a dual-CPU box with 2GB RAM.
    http://wiki.mailscanner.info/doku.php?id=maq:index#setup_examples

    If you're worried about resource contention, spamD could be nice'd.

    BTW, I was considering using the smtp proxy / anti-spam / anti-virus in ASL7 at work soon, but the pricing has gotten too high.
    I'm guessing that using 3rd-party commercial products doesn't help with that.

    I'm currently building a new mail server... I'll be setting up ClamAV + SpamAssassin + DCC + RBLs myself, as it is more cost-effective for me to spend a couple days on it than to pay thousands/year for the add-on license for Astaro.
    I've done this before, and it's not as hard as it may sound.

    Barry
  • 0 in reply to BarryG
    Hi there, 

    i just want to give my 5 cent to this discusion about spam engine and astaro Pricing.

    We have used spamassassin in the past and during that times, it was quite successfull. But if you think back a bit, appr. 1 1/2 years ago, the spamers started to send image spam, which spamassassin did not detect at all, followed by pdf-spam, mp3-spam and also spam in different languages. On top of that, spamassassin needed 4-20 seconds per email to scan, forcing us to remove 'SMTP rejection' feature which again lead to huge quarantine (at some customers more than 30mio messages) as we needed to accept all spam mails.
    Also the RAM usage, was between 40-50MB or more which on an old ASG120 was 1/5th of the total RAM.
    This was not acceptable for us and our customers. 
    Therefore we were seeking for a better solution that solves all this problems.

    Spamassassin is a content analyzer, this means it reads the email and creates a spam probability score for this message based on matched rules. This concept works if you really understand all the contecnt that is send, weather it is different encoding, different file formats or different languages, ... .
    The spam these days changes this quickly that this approach very likely fails.
    Commercial vendors or SaaS provider of antipam services that use spamassassin have added their own layer on top of it with automatic generated pattern.

    In our opinion content based analysis to detect spam is no longer a sufficient technology to fight against spam.

    We our now using Commtouch's antispam service. 
    They use a completely different way to detect spam
    They look at the email distribution patterns throughout the world.

    If you take a high level look at what nearly all spam messages have in common is, that either one host is sending the same (or similar) message to many recipients, this is a classic spammer or many hosts (a botnet) are sending the same (or similar) messages to many recipients. 
    A normal email message in comparison gets only send from one host to another, which from a distribution pattern point of view, looks completely different.

    If we are able to analyze and detect these patterns, than we can detect spam messages without even needing to understand the content of the mail. 

    This is exactly what our new antispam service does.
    It extracts the sender ip address and a unique fingerprint of the email and sends it anonymized to redundant data centers where it gets analyzed and compared against the current global spam distribution state in realtime and we receive a result within 50ms. 
    The result is on the spam levels tom mentioned above (confirmed not spam, unknown, spam, confirmed spam).

    These levels are now also the one's you can configure. 
    The first two levels are let through without touching. 
    For 'confirmed not spam' we even skip greylisting, for 'spam' and 'confirmed spam' you can configure in the GUI what the ASG shall do with these emails.

    Due to the fact that distribution patterns of regular emails are so different from spam email, the false positive percentage is very, very low.
    The only false positives i have ever seen are some commercial newsletters, which look somehow similar like spam email from classic spammer. But many people classify even these messages as spam. 

    So the new antispam engine has a far better detection rate, even lower false positives, use only 1/10th of RAM and only needs 1/100th of scanning time per email.
    As you can see, the new engine solves all mentioned problems above.
    This was the reason why we switched to the far better engine.

    But this engine is not available for free and Astaro needs to pay royalties for every installation that uses this engine, even for all home-use licenses we are giving away for free.
    And by doing so, Astaro has not increased cost for Mail Security subscription for the corporate licenses.

    It is Astaro's mission to deliver high quality security service to our customers, and we do so by primarily using open source components in which we trust. If the existing open source components does not suit our need, we extend them and release the changes. But if this is not doable because the changes are too big we try to license 3rd party components and if these are not available we develop own components. This has been our model since the last seven years and from our point of view it has been successful.

    Is the Astaro Security Gateway license too expensive?
    This is always a good question.
    If you compare our solution against free open source components, well yes, it always will be more expensive on first sight. But so are all other solutions out there, as nothing is for free, right?

    But in order to make a fair comparison, you also need add the cost you need to setup and maintain the solution. 
    In order to visualize i like to compare the above mentioned OSS system using clam and spamassassin against ASG. 
    Todo so, i will start a new thread and link it here.

    regards
    Gert
  • 0 in reply to Gert Hansen
    Gert thanks for the great info.  Good discussion.

    So hypothetically, if a spammer sent out only ten messages about some typical SPAM topic, it would get through - no matter how obnoxious, adult oriented, etc.?

    Do I understand correctly, that with the new anti-spam engine it is only the distribution pattern that classifies an e-mail as SPAM?  No matter what verbiage (words, grammar, etc.), content, etc. the e-mail contains. 

    Is there a concern that spammers might move to releasing small groupings of SPAM over an extended period of time?  BTW - Just how small of a batch can be detected by this method?
  • 0 in reply to eganders_01
    Gert, thanks for the explanation.
    FWIW, the fingerprinting sounds similar to DCC or Vipul's Razor... maybe there's more to it than that? I don't know if DCC or Razor look at the IP address.

    I wasn't complaining about the base ASL license or support pricing, btw, but the "Email Filtering Subscription" (Anti-SPAM / AV addon)... for us, it was several times the price of our 50-ip platinum support.

    The 4-20 seconds per email figure suprises me... is that on a low-end appliance?
    Generously assuming a 4 second average, that'd only be 21,600 emails per CPU per day!
    That pales in comparison to the numbers I linked earlier, where people are getting over 500,000 emails per CPU per day.
    There are things that can be done to speed up sa btw, such as reducing the # of RBLs it uses, not passing large emails through it, using a local caching DNS server, etc.

    eganders,
    There has been talk that botnets have the resources to change each message.

    Also, spammers used to put random text at the bottom of spams, to fool bayesian filters. If each message were randomly different, fingerprinting may not work too well.

    My philosophy is to use a combined approach...
    Sendmail settings to reduce flooding, dictionary attacks, etc.
    RBL(s)
    DCC and/or Razor
    spamassassin with Bayes
    ClamAV
    ...
    The server I'm currently setting up will be using MailScanner to link everything together; it also has some really nice reporting tools such as MailWatch.

    I'm guessing ASL has kept the RBLs and other features, but just dropped spamassassin.

    FWIW, I used to use bogofilter, a Bayesian-only spam filter, and I was the one that suggested they include the IP, as well as the Class C, B, and A networks, in the terms for scoring... it made a significant difference.
    Since then, the spammers have come up with a lot of tricks to fool bayesian scorers, which is why I think the combined approach is best.

    Barry
  • 0 in reply to BarryG
    Just a quick note that at the moment, our ASG software is detecting most spam with very little false positives.  Performance is good.  (ASG 7.201)

    Receiving approx 1million messages a month, 900,000 of which are spam.