Thread Info
  • State Not Answered
  • Replies 27 replies
  • Subscribers 0 subscribers
  • Views 2571 views
  • Users 0 members are here
Options
Suggested

[7.470][BUG][NOTABUG] POP anti-spam is horrible!

Coder68
I must be missing something...

I just did some testing of the POP anit-spam and it stopped NOTHING. I forwared actual spams caught by Hotmail (Several on one black list or another), I created my own with obvious spam words, with links in the body that have IP's instead of URL's... and it cought NONE!  The ones I forwarded were very commonly seen spam.  Canadian medications, "adult fun" words, male enlargement, and some with foul language.  The ones I made  myself were very much full of spam keywords, but not a single one was stopped!!

Why doesnt the POP filter have the ability to use RBL's?  IPCOP with Copfilter (Spam Assasin) does, and it really helps! It also supports DNSBL, Distributed Checksum Clearinghouses and RAZOR.  When I tested these exact same messages through IPCOP/Copfilter, it caught them ALL.

Am I doing something wrong? Does the POP spam filter only work off the expression filter and blacklist that I enter?

Here is a small sample of the live log.

Thanks,

C68
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.470
    Type: BUG
    State: NOTABUG
    Reporter: Coder68
    Contributor: 
    MantisID: 
    --------------------------------
  • 0
    Coder68, how did you run your test?  I got the impression that you were sending from "trusted" addresses or IPs, so you didn't really test POP3 anti-spam.  At what kind of POP3 address are you receiving these emails - Gmail or Hotmail, or a domain which you control?

    Cheers - Bob
  • 0 in reply to BAlfson
    I sent from my junk Hotmail account. I do not have it listed anywhere as a trusted email.  I use it for testing my IPCOP Spam filter... which caught the emails, while Astaro did not. These came into an account that I do have control over.

    C68
  • 0 in reply to Coder68
    Fowarding spam is not a very good test, as the headers will be completely different. RBL is therefore unable to detect anything to do with the spam relays.

    Can you try checking your hotmail account directly with the proxy (does hotmail allow pop3?)?

    Barry
  • 0
    I will give that a try, but Hotmail is fairly good at catching spam.

    Why then, did IPCOP catch it'? I would think that if IPCOP can catch it, so could Astaro.

    C68
  • 0 in reply to Coder68
    OK, I downloaded my email thorugh Astaro today, but I had no spam.  Astaro did catch my PayPal annual Privacy Policy Notice as spam confirmed.  When I go into the POP3 Quarantine, I put a check mark next to the email, choose release and then hit go. Nothing happns.  My email client still says there is no new mail, and it has been more then 10 minutes. When I hit go, the email stays there, but does change from a gray back to white.  I also tried release and report as false positive. (The screenshot does not show the checkbox)

    Since IE has some issues, I booted my older Ubuntu box and used Firefox to do the above. I also tried IE7 and even Opera.  Still no go.

    What am I missing?

    C68

    I also just realized that I can get email, but I can't send email.  I used the wizard to setup the system for email. Watching the live log shows no activity.  Watching it while downloading shows lots.  -- TURNS OUT I had to add a new PF rule that allowed outgoing POP on a very odd port that my ISP uses.  I forgot about that...

    That still leaves the issue with releasing quarantened messages.  Any thoughts?
  • 0
    Coder, I think you'd find the same behavior in non-beta versions, and that sending from a Hotmail account isn't a valid test.  It's hard to say if IPCOP or Astaro is "correct" to capture your fake spam.  I don't think there's anything changed in POP3 anti-spam, so there probably isn't much for you to find in testing it.

    If you are unable to release a POP3 email from the quarantine, it's likely because your proxy configuration is incomplete.  Maybe this will help:

    POP3 in general
    The pop3 protocol doesn't have a server-side tracking which mails have already been retrieved. A mail client typically retrieves a mail and deletes it on the server afterwards. If the client is configured to not delete mails, then the last step is omitted and the client keeps track of which mail it already has.

    POP3 server not known to the proxy
    If a mail gets caught, the proxy replaces it with a notification right away in the same connection. The quarantined mail can be viewed in mail manager, but is not associated to a server or account and therefor can't be released in a later connection.

    POP3 server known to the proxy (prefetch disabled)
    Same as above, but the proxy keeps track which quarantined mail belongs to which server/account. So it can be released if the client polls the mailbox next time. For this to work, the proxy has to savely identify which ip addresses belong to which server (FQDN which you have entered in your mailclient).

    POP3 server known to the proxy (prefetch enabled)
    The connection between client and server is asynchron. The proxy only presents clean mails to the client, which it has downloaded before. It keeps track of which mails it already have. Clean mails gets only deleted on the server if there has been a delete command from the client before. There will be no notification for each single quarantined mail, instead there is a daily quarantine report. 


    Cheers - Bob
  • 0
    I added in my mail server on the advanced page it the release function works with NEW email, but not the old.  I tried this last night several times, but it did not work.  Now I have my mail server address on the left hand side several times...
    I tried prefetch, but was unable to get any mail even though I know I had some waiting.

    Three potentaly dumb, questions.

    1. How is prefetch going to get (prefetch) my mail with only a mail server address?  I saw no where for a user name and password...
    2. How do you delete networks on the left? I can't seem to find them anywhere.  (Mail.mymail.com 1, mail.mymail.com 2 etc - DNS Groups)
    3. Why can't we drag and drop a group from the left to the POP3 server settings?

    Thanks,

    C68
  • 0 in reply to Coder68
    1. User name and password have to be entered inside user portal by the user himself! Without that, nothing works correctly
    2. + 3. can't give you guidance right at the moment (I don't have an ASG handy)

    Regards,
    Bastian
  • 0
    1. I'm no guru on the POP3, but I think there's a conversation between your mail client and the Astaro POP3 Proxy wherein the Proxy makes note of your account settings as recorded in your client.  Note, as Monarch says, that you must use the same formulation of the account name in the User Portal if you want to manage your whitelist and quarantine through there.
    2. Look in 'Definitions >> Networks'
    3. 'Networks' are different from POP3 Servers'.  You can drag a pre-defined network into the list of networks hosting servers for a given POP3 account.

    Cheers - Bob