How to deterime the cause for rejected after DATA

Hi,

i´ve encountered an issue with the realtime blacklist check. Our astaro has dropped emails even the sender is defined in the whitelist.
We used the recommended rbl feature.
After turning off this feature emails were processed as expected.

Some of the default rbls (sbl-xbl.spamhaus.org) are not reachable.

Regards,
Clemens

Hi,

i´ve encountered an issue with the realtime blacklist check. Our astaro has dropped emails even the sender is defined in the whitelist.
We used the recommended rbl feature.
After turning off this feature emails were processed as expected.

Some of the default rbls (sbl-xbl.spamhaus.org) are not reachable.

Regards,
Clemens

That might be the case, but obviously the AMG doesn't tell what specifically has triggered what ACL.

And… shouldn't the AMG reject each message if a rbl doesn't answer, not just messages from a specific sender?

Cheers,
budy

Clemens, What version of Astaro?  Are you using WAN Uplink Balancing?

Hi,

we have exactly the same here. We have many false positives today being rejected due to these messages. Some of them have attachments around 2MB in size. We still use ASG Version 7.306. We do use two WAN-Interfaces to route HTTP-traffic only to another WAN Uplink.

 While looking through the logs we also encountered that Astaro still asks dsbl.org - although this service has been down since nearly one year now....

If someone has some ideas how to get more information out of this or how to fix the issue... :-)

Regards, 

Thomas

There's a post in the German Forum about dsbl.org today.  Is everyone having this problem in Europe?

I don't think this is the same problem as nhlfan.

Where could I find out about that. The smtp.log doesn't show any reference to dsbl.org at all on my AMG 7.4

Cheers,
budy

Budy, there's another thread where a user noticed that an email to several people in his company had a single mis-typed address, and that caused the email to be rejected even for the correct addressees, and I wonder if your issue might not be related.

I think "after data" means after the initial checking of the RBLs and RDNS/HELO, but before the content of the message is received.  I don't know what else goes on here, but I think this is when the call-out is done to confirm that the "To:" address is valid.

Cheers - Bob

Hi Bob,

I have read through the thread with the mis-typed e-mail addresses, but that doesn't apply to us, because this message had only one valid recipient.

From the SMTP side of things, after data means after the SMTP client has issued the DATA command, which is when the content of message follows. So, at this time the AMG will probably do it's anti virus/anti spam checking, although if the AMG had hit a virus, it would have been reported in the logs.

That leaves us with the anti-spam features. I have checked the "reject confirmed spam at connect time", and I am pretty sure that this has striked the message, but I would like to know, what excactly has happened, so I can provide some tips to the sender.

Cheers,
budy

Have they checked to make sure they aren't blacklisted? Email Blacklist Check - See if your server is blacklisted

Budy, I think we agree on what happens after the DATA command, it's just that I thought that the DATA command indicated the end of the receipt of the header information, so that's when recipient addresses would be checked; "after DATA."  I'm no email guru, and I'm just guessing at this as my knowledge is pretty spotty.

Cheers - Bob

I don't think this is the same problem as nhlfan. 

I agree. 

Hope it's not impolite to take part in this discussion without being the OP. 

Here all recipient addresses have been correct.
"reject at smtp-time" is "confirmed spam".

here are the parts of our log (after the dsbl.org-timouts):

exim[26674]: 2009-03-23 09:31:54 1LlfZN-0006wE-2z ctasd reports 'Confirmed' RefID:str=0001.0A0B0207.49C748FA.0047,ss=4,fgs=12
exim[26674]: 2009-03-23 09:31:54 1LlfZN-0006wE-2z id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="81.169.146.160" from="***%40***" to="***%40***%2C%20***%40***%2C%20***%40***%2C%20***%40***" subject="Text" queueid="1LlfZN-0006wE-2z" size="2400328" reason="as" extra="confirmed"
exim[26674]: [1\40] 2009-03-23 09:31:54 1LlfZN-0006wE-2z H=mo-p00-ob.rzone.de [81.169.146.160]:10920 F= rejected after DATA
exim[26674]: [40/40]   Thread-Index: AcmY8DrBOvgjW2RkQKmgs7K3q7o86gCM5SYgAACtKCAAA2ZSIAABF/kgAABmiOAACRyTkAFW87rWArXBdtA=
exim[26674]: 2009-03-23 09:31:54 1LlfZN-0006wE-2z SMTP connection from mo-p00-ob.rzone.de [81.169.146.160]:10920 closed by DROP in ACL

google brought me via the log-entry "ctasd reports 'Confirmed'" to Email Security OEM - Email Virus Outbreaks Detection where the IP mentioned above is saved as "High Risk" and "This IP address is used for sending Spam on a regular basis" - but I don't know if Astaro uses this kind of service.... and even IF - why does Astaro still wait for the header (between [1/40] and [40/40]) to come in, when action= "reject" is still clear.

For me this is confusing - and still a problem.

PS: mailmanager does not give any information in the detail view about what happened: the details for these mails are just empty.
and there is no hint that a RBL-check has even taken place.