Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1802 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Spam filtering stopped working after upgrade to 7.300

Natalie
[:@]

I am getting inundated with complaints. Our ASG320 is filtering out malware emails but all spam is getting missed unless it matches one of two expressions I have in the expression list.  The Mail Manager says that "0" messages were "Quarantined Spam" in the last 24 hours.  I can no longer see anywhere to set my threshold for the spam quarantine. It seems to have disappeared. We are now on "Simple Mode" for configuration instead of "SMTP Profiles" - the upgrade now uses profiles and converted us automatically - and I wonder if we lost some functionality along the way (though it claims you don't).
I am using  Reject invalid HELO / missing RDNS and Use Greylisting, but not SPF as we found it rejecting mail instead of tagging it as spam in the past.  And I am using "Use recommended RBLs".

Anyone having similar issues?  We are getting KILLED with spam right now and my users are irate.


This thread was automatically locked due to age.
Parents
  • 0
    No such problem with any of our clients.

    Have you checked your exception list? - It sounds like you might have a * on one line.

    re SPF - Using that should only blackhole if the SPF record provided by the owner of the sending domain says, in essence "reject as spam any mail that doesn't come from one of our designated mail servers."  If the domain owner doesn't create an SPF record, the Astaro just ignores the SPF test.  If you see  in your Mail Manager SMTP Log what should be non-spam emails, you might want to inform the domain-owner that their SPF record needs attention.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    No such problem with any of our clients.

    Have you checked your exception list? - It sounds like you might have a * on one line.

    re SPF - Using that should only blackhole if the SPF record provided by the owner of the sending domain says, in essence "reject as spam any mail that doesn't come from one of our designated mail servers."  If the domain owner doesn't create an SPF record, the Astaro just ignores the SPF test.  If you see  in your Mail Manager SMTP Log what should be non-spam emails, you might want to inform the domain-owner that their SPF record needs attention.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    I haven't seen this problem either... Have you started a case with Astaro yet?

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    How does your SMTP configuration look like?

    Please go to WebAdmin > Mail Security > SMTP > Relaying:
    Which networks do you have in the 'Host-based relay' section?

    Please only specify your internal mail server here, for emails coming from these hosts we have only limited to no spam-filtering.

    thanks
    Gert
  • 0 in reply to Gert Hansen
    I would hope that the fundamental way that spam filtering is applied wouldn't change from one version to another of the ASG software....  

    I have logged a support ticket - In the email response, I was told to ensure we don't have any DNAT rules for SMTP. We don't. 

    The system is quarantining based on viruses and a couple of phrases I have manually added, but the base level "spam filtering" that leverages the patterns file does not seem to be working at all.  I do not have a * in the exceptions list. There are only 5 exceptions on the list anyway.

    I can't check the host-based relaying because the ASG is refusing to authenticate VPN logins now, so I can't get to the admin console from home.
    Please note, I have done *nothing* to change the SMTP mail security configurations after the upgrade. This was all working *fine* before we upgraded.

    If there is a fundamental change to the way that SMTP spam filtering is applied, I didn't see it in the release notes...

    I know we also tripped over the fact that in the past we had hosts defined for external interface addresses. The system no longer allows you to do that, but I didn't see that in the release notes either. It stopped many of our DNAT rules from working.

    I'm still being inundated with spam and I haven't heard back from Astaro support since I told them we aren't using SMTP DNAT rules.

    Re: SPF "Using that should only blackhole if the SPF record provided by the owner of the sending domain says, in essence "reject as spam any mail that doesn't come from one of our designated mail servers." If the domain owner doesn't create an SPF record, the Astaro just ignores the SPF test."

    I agree that should be the behavior, but that was not our experience. We found it blackholing email from domains with no SPF record. We lost too many emails that way and had to eliminate SPF checks from our config.  

    -Natalie
  • 0 in reply to Natalie
    I think we may have it working again.

    There is a section in the SMTP security "relaying" tab that is the "upstream hosts list" - I don't recall seeing this list there before 7.3.  We did have our upstream MX server in the "allowed hosts" lists for "host-based relay", but now it seems that server needs to be moved to the "upstream hosts" list.  Doing that solved the problem.  However, it's still frustrating that this required change was not documented in the release notes.

    I want to note that everything was working, as we had it configured prior to the upgrade to 7.3
  • 0 in reply to Natalie
    I'm glad you found the problem that prevented you from blocking spam.

    You said, the Astaro was "blackholing email from domains with no SPF record." In another thread, I am discussing SPF with Tom Kistner.  He said that Astaro only SPF-rejects if there's a hard-fail spf record for the sending domain.

    What I discovered was that the Astaro rejects forwarded emails if there's a hard-fail spf record for the originating domain.  This may be the anomaly you identified.

    I agree that you're not losing much by not using SPF though.  One of my clients rejected 52822 spams in the last 24 hours - only 355 for SPF.  At our office, it was only 6 out of 1274 rejects.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner