Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 690 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Surbl ?

jbrown
I've looked through the new manual but haven't found this in the spam filter section yet (my hardcopy is a bit dated since the 7.0 release).

I know the spam filter has massively changed recently, and Astaro rolled their own--does anyone know if there's a way to get it to use a spam url blacklist?  Obviously these can't run during delivery and would have to run after the fact...

I ask because despite having blacklists installed for china/korea/sorbs/non-rfc and most of the other recommended ones--I still have one class of spam getting through my system that look like they ought to be detected but aren't--either faked bounces, or "Re: Message" that inevitably point to a URL owned by CNC-NOC in china.

I've checked the SURBL and they're usually in this (frankly I'd like to ban all emails containing a URL appearing to originate in china...that would solve it)--but importing it into the RBL list doesn't seem to work.

Anyone have any ideas?  I'd offer to post a sample message...but that seems just...rude.


This thread was automatically locked due to age.
  • 0
    It sounds lke you may not have all of the anti-spam features enabled on your system.  BATV (Bounce Address Tag Validation) does an outstanding job of handling the spoofed bounced messages and NDRs.

    Under Mail Security > SMTP > Anti-Spam tab, have you enabled all four of the advanced anti-spam features listed at the bottom of the page?  Also, under the RBLs section, have you enabled both the recommended and dial-up/residential blacklists.
  • 0 in reply to Jack Daniel
    Thanks for the reply JD:

    I actually have everything turned on except greylisting.  Unfortunately, we have/had a few customers with some dated versions of exchange that appeared to choke and abort immediately when they hit the greylist ... and...well..that had to get turned off (unless you're aware of some sort of fix to that recently--I encountered that problem over a year ago).

    But the invalid helo/rdns, batv, and SPF are all turned on.  Candidly, greylisting wasn't even that viable even without completely broken systems, because there were enough 'partially broken' mailservers out there that wouldn't retry delivery for hours to make it a nuisance to most users.

    I know one of the things that would help me in this situation would be to publish an SPF for my network--but that's going to be impossible until I can get the whole sales team to actually use a VPN.

    The particular message below is a variation that came through in a burst of 10 about an hour ago... I've edited my domain for my protection, and removed the spam domain to avoid giving it any link relevancy to spiders...  As you can see, it looks like a bounce to a human that doesn't pay much attention...

    Worst still, this is exacerbated because "sales" is an alias on the mailserver that expands to a dozen or so users who routinely communicate with each other...by mailing the sales address from itself.

    Honestly, I'm not sure how this body makes it through the spam filter on the Astaro...but it is doing so consistently...

    (forgive me, for I have pasted spam)
     

    Return-Path: 
    Delivered-To: jason@porbeagle.DOMAINREDACTED.com
    Received: (qmail 16565 invoked by alias); 11 Dec 2008 09:29:12 -0000
    Delivered-To: sales@DOMAINREDACTED.com
    Received: (qmail 16561 invoked from network); 11 Dec 2008 09:29:11 -0000
    Received: from firewall.DOMAINREDACTED.com (192.168.0.1)
      by porbeagle.DOMAINREDACTED.com with SMTP; 11 Dec 2008 09:29:11 -0000
    Received: from pool-96-250-245-201.nycmny.fios.verizon.net ([96.250.245.201]:33312)
    by firewall.DOMAINREDACTED.com with smtp (Exim 4.69)
    (envelope-from )
    id 1LAhqu-00061v-0D
    for sales@DOMAINREDACTED.com
    CTCH-RefID str=0001.0A090203.4940DD5D.0166,ss=4,fgs=12; Thu, 11 Dec 2008 02:29:01 -0700
    To: 
    Subject: Delivery Status Notification (Failure)
    From: 
    MIME-Version: 1.0
    Importance: High
    Content-Type: text/html






    Click Here!



    You're invited to see our entire collection!





    associates may talk about a sixth sense, but even some of their commentsWhen we read this week that Mr. Soros favors air attacks to raise

    position one should have toward the mark. He added that the highinterest-of dollars.

Cookie Information Banner