Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 2363 views
  • Users 0 members are here
Options
Suggested

[9.200][BUG] DLP Policies Not Working with Smart Host

PlatosGimp
I have been doing some testing with DLP on 9.2 with a UTM configured to use an upstream Smart Host. Regardless of the action choosen (Reject, Send with SPX Encryption), although the smtp/log shows the match and even "Completed":


  • No messages show up on the smart host (or SMTP connection attempts)
  • No messages sent to "Administrator" or "Other" email recipient
  • No messages sitting in the spool




2014:03:24-11:42:51 UTM-92-VM exim-in[4557]: 2014-03-24 11:42:51 SMTP connection from [192.168.2.175]:49292 (TCP/IP connection count = 1)
2014:03:24-11:42:51 UTM-92-VM exim-in[32299]: 2014-03-24 11:42:51 [192.168.2.175] F= R= Accepted: from relay
2014:03:24-11:42:51 UTM-92-VM exim-in[32299]: 2014-03-24 11:42:51 1WS9pj-0008Ox-2g ctasd reports 'Unknown' RefID:str=0001.0A010207.53307C09.000E,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
2014:03:24-11:42:51 UTM-92-VM exim-in[32299]: 2014-03-24 11:42:51 1WS9pj-0008Ox-2g sophos@britanniabeach.ca H=(Windows7) [192.168.2.175]:49292 P=esmtp S=1354
2014:03:24-11:42:53 UTM-92-VM smtpd[4478]: QMGR[4478]: 1WS9pj-0008Ox-2g moved to work queue
2014:03:24-11:42:54 UTM-92-VM exim-in[32299]: 2014-03-24 11:42:54 SMTP connection from (Windows7) [192.168.2.175]:49292 closed by QUIT
2014:03:24-11:43:00 UTM-92-VM smtpd[32316]: SCANNER[32316]: 1WS9ps-0008PE-90 sophos@britanniabeach.ca R=1WS9pj-0008Ox-2g P=INPUT S=712
2014:03:24-11:43:00 UTM-92-VM smtpd[32316]: SCANNER[32316]: [DLP] Matching DLP expressions
2014:03:24-11:43:00 UTM-92-VM smtpd[32316]: SCANNER[32316]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="192.168.2.175" from="sophos@britanniabeach.ca" to="sophos@britanniabeach.ca" subject="blockmeplease" queueid="1WS9ps-0008PE-90" size="712" reason="dlp" extra="blockmeplease"
2014:03:24-11:43:00 UTM-92-VM smtpd[32316]: SCANNER[32316]: 1WS9pj-0008Ox-2g => work R=SCANNER T=SCANNER
2014:03:24-11:43:00 UTM-92-VM smtpd[32316]: SCANNER[32316]: 1WS9pj-0008Ox-2g Completed

Could this be a bug in the DLP implementation not working with a Smart Host?

Update: Just tested without a smart host and same behaviour. When DLP is enabled using a Custom Expression, when mail is matched they dont go anywhere either with "Reject" or "Send with SPX Encryption: configured as the action
Parents
  • 0
    Thanks for the replies "musurelu". 

    "Do you have the "britanniabeach.ca" domain configured under SMTP -> Domains and routing target?"

    I had not setup the UTM to accept incoming mail as I am behind our (Sophos) network and cannot configure for incoming mail for testing.  If you want/need to reach me I am at johnny.stork@sophos.com.

    "Also, we have DLP feature that allows emails to pass in the same domain even is the DLP rule matches. This might be also your case because from logs we can see that you are using only an email address for both sender and receiver."

    I did not realize this so will test again with a different address.

    Thanks again [:)]
Reply
  • 0
    Thanks for the replies "musurelu". 

    "Do you have the "britanniabeach.ca" domain configured under SMTP -> Domains and routing target?"

    I had not setup the UTM to accept incoming mail as I am behind our (Sophos) network and cannot configure for incoming mail for testing.  If you want/need to reach me I am at johnny.stork@sophos.com.

    "Also, we have DLP feature that allows emails to pass in the same domain even is the DLP rule matches. This might be also your case because from logs we can see that you are using only an email address for both sender and receiver."

    I did not realize this so will test again with a different address.

    Thanks again [:)]
Children
No Data
Unfiltered HTML