spam getting through

I am starting to see this also.  Funny, before the upgrade I did not see anything come through.  I get one a day personally now.

-Scott

We currently have version 7.009 for Astaro Security Gateway, and are receiving a large load of spam, approximately 20 per email address per day.

All of this spam is text-based, so keyword checking should easily catch this.

On our plan is Email Security.  We are using SMTP email, so I have gone to [Email Security -> SMTP -> Anti-Spam].

RBLs (Realtime blackhole lists) has both options checked "on", which are "Use recommended RBLs" and "Block dialup/residential hosts".

For the Heuristic spam filter, I've decreased the Warn threshold from the recommended "3" all the way down to "1".  
For the Quarantine threshold, I left it at the recommended 5.
I have it marking SPAM with "*SPAM*" at the front of the subject line, and ironically, the only email today that was marked as SPAM was the confirmation email from this astaro.org website. [;)]

I also have checked the "Perform spam URL check".

For the Expression Filter, I loaded around 40 to 60 phrases, some of which should be obviously spam, and others which use symbols in place of letters to try to sneak by the spam filters.

Lastly, I have checked each of the remaining three options, which are "Use Greylisting", "Use BATV", and "Perform SPF check".


Despite having this configuration, a LOT of spam is getting through that even has the words I put in the Expression Filter.  For my own address, I'm getting about 20-30 per day which Astaro isn't catching, only 5 of which were the tough-to-catch stock market ads.  All of the others had some private-life content which should have OBVIOUSLY been flagged as spam, at least by the Expression Filter, but hopefully by Astaro's spam filter.

I was able to get through to a support engineer, and the most recent comment I received on Friday 9/21/2007 at 4:46 pm was:

"I just learned this afternoon that with the new spam scanner we don’t have the same Spam score that gets attached to the message header.  The new scanner uses lookups to where the message came from, and for right now, the odd message will get through until the database changes.  I’m sorry to say that there isn’t anything that I can do right now to change this."

I'm interpreting this to mean that only emails which are coming from black listed IP addresses are being checked for spam.  I hope that all attachments are being checked for viruses, but I really feel like every single email that comes through Astaro should be checked for spam... and ESPECIALLY checked through the expression filter.

I'm reluctant to say that if Astaro's spam filter and expression filter can't be applied to all incoming email, and if version 7.010 doesn't address this bug, I'm going to be looking into a contingency plan, even if it costs more.

Any advice would be appreciated!

One more thought... 

Since Realtime Blackhole Lists is checked as active, could that perhaps be the source of this problem?  If it's checked, would that make emails from senders on the blackhole list be the ONLY emails which are filtered?

One more thought... 

Since Realtime Blackhole Lists is checked as active, could that perhaps be the source of this problem?  If it's checked, would that make emails from senders on the blackhole list be the ONLY emails which are filtered?