Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 7547 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Spam score too high?

Mateo
Hi all

I've had a few legit emails get blackholed just recently, as they scored 9+ according to the content filter logs (I have messages that score 8+ to be blackholed).

Now the thing is, these messages didn't look like they should have scored anywhere near that mark. From the content log, it shows:

weed:antispam: spamd report: 0.1 X_PRIORITY_HIGH Sent with 'X-Priority' set to high
weed:antispam: spamd report: 0.1 HTML_TAG_EXIST_TBODY BODY: HTML has "tbody" tag
weed:antispam: spamd report: 1.0 HTML_FONT_BIG  BODY: HTML tag for a big font size
spamd[19109]: spamd: result: .  1 - HTML_FONT_BIG,HTML_TAG_EXIST_TBODY,X_PRIORITY_HIGH scantime=3.6,size=41314,user=(unknown),uid=65534,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=37542,mid=,autolearn=disabled
weed:antispam: protocol: unknown score: 9.2(0/1000)

Now the way I'm reading this, is the score should have been 1.2 (I'm thinking the number in before the type is the score it receives).

Anyhow, is there some other factors that are not logged to add to the spam score, or am I reading this wrong? It's happened on 4 legit emails that I know of so far...

Thanks
Matt


This thread was automatically locked due to age.
Parents
  • 0
    I would recommend you not to Blackhole mails >8 but to Recject.
    In this case the originator can send you a copy of the error message by fax for example.
    Mabe there is some more information
  • 0 in reply to KKnecht
    Hmm, good advice KKnecht. I'll change it to reject and see how we go.

    Thanks!
  • 0 in reply to Mateo
    I would not reject in that case.
    I heard of customers that were marked themselves as Spammers because they rejected Spams and then they were marked from mail providers (as if "reject 5000 Spams a day and you will be shortly on that list...").
    I work with 
    SpamScore 4 >> go to quarantine 
    SpamScore 18 >> go to blackhole

    If you don't mind having a huge quarantine you may set the second SpamScore even to 24 or so.

    I am more worried about the more and more Spam Mails that come through the SpamFilter with SpamScore less than 3. There is a significant increase within the last couple of days.

    Cheers
    Christo
  • 0 in reply to ChristoB
    I run all my customers and our Spam settings at >3, quarantine, >5, Blackhole.  the only thing we have to whitelist is the occasional newsletter mailing.  We never do Reject, that just lets the spammer know there's a server there, so you'll get more junk traffic.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Hi,

    Virtually all SPAM is sent via anonymous web proxies or zombie machines.  As long as you have greylisting and the spamhaus lists enabled you will not see a great deal of SPAM.  Rejecting mail to these machines will not result in an increase in SPAM levels.

    I also recommend the following additional rbls:

     block.rhs.mailpolice.com
     adv.rhs.mailpolice.com

    I would then recommend switching OFF any baysian spam filter checks as these are generally ineffective.  They can make too many mistakes either way labelling NON-SPAM as SPAM or just letting SPAM staight through.  As you have found if you are not careful you own messages can end up labelled as SPAM.

    Asside from a few fraud mails that make it through a chain of an anonymous web proxy / zombie -> MSN / Hotmail I see no SPAM whatsoever.  A check of the X-Originating-IP header against the SPAM Haus list would get rid of these messages.

    My definition of SPAM is anything that is deliberately sent to avoid detection (usually. Mortgages, Pornography, Home Loans, Viagra etc.).  Other newsletters and lists might be considered SPAM by some, but usually these can be unsubscribed or blocked successfully from within outlook.

    My approach results in ZERO items in quarantine and asside from the odd mail server that doesn't work with greylisting it's pretty much maintenance free.

    The other essential part of any greylisting / spamhaus setup is that you permit: abuse@ and postmaster@ mail to come through without the checks so that people having problems can reach you.

    Hope this is useful.

    Jason
  • 0 in reply to jasontuk
    One last thing.

    It's essential that your backup MX servers are also running greylisting and performing the same rbl checks otherwise those checks will be completely ineffective!

    Many spammers deliver direct to the backup MX to bypass any SPAM checks.

    If your backup MX doesn't support greylisting / rbls then consider removing them completely from your DNS.

    Jason.
Reply
  • 0 in reply to jasontuk
    One last thing.

    It's essential that your backup MX servers are also running greylisting and performing the same rbl checks otherwise those checks will be completely ineffective!

    Many spammers deliver direct to the backup MX to bypass any SPAM checks.

    If your backup MX doesn't support greylisting / rbls then consider removing them completely from your DNS.

    Jason.
Children
No Data
Cookie Information Banner