How to deterime the cause for rejected after DATA

Hi,

i´ve encountered an issue with the realtime blacklist check. Our astaro has dropped emails even the sender is defined in the whitelist.
We used the recommended rbl feature.
After turning off this feature emails were processed as expected.

Some of the default rbls (sbl-xbl.spamhaus.org) are not reachable.

Regards,
Clemens

That might be the case, but obviously the AMG doesn't tell what specifically has triggered what ACL.

And… shouldn't the AMG reject each message if a rbl doesn't answer, not just messages from a specific sender?

Cheers,
budy

Clemens, What version of Astaro?  Are you using WAN Uplink Balancing?

Hi,

we have exactly the same here. We have many false positives today being rejected due to these messages. Some of them have attachments around 2MB in size. We still use ASG Version 7.306. We do use two WAN-Interfaces to route HTTP-traffic only to another WAN Uplink.

 While looking through the logs we also encountered that Astaro still asks dsbl.org - although this service has been down since nearly one year now....

If someone has some ideas how to get more information out of this or how to fix the issue... :-)

Regards, 

Thomas

There's a post in the German Forum about dsbl.org today.  Is everyone having this problem in Europe?

I don't think this is the same problem as nhlfan.

Where could I find out about that. The smtp.log doesn't show any reference to dsbl.org at all on my AMG 7.4

Cheers,
budy

Budy, there's another thread where a user noticed that an email to several people in his company had a single mis-typed address, and that caused the email to be rejected even for the correct addressees, and I wonder if your issue might not be related.

I think "after data" means after the initial checking of the RBLs and RDNS/HELO, but before the content of the message is received.  I don't know what else goes on here, but I think this is when the call-out is done to confirm that the "To:" address is valid.

Cheers - Bob

Hi Bob,

I have read through the thread with the mis-typed e-mail addresses, but that doesn't apply to us, because this message had only one valid recipient.

From the SMTP side of things, after data means after the SMTP client has issued the DATA command, which is when the content of message follows. So, at this time the AMG will probably do it's anti virus/anti spam checking, although if the AMG had hit a virus, it would have been reported in the logs.

That leaves us with the anti-spam features. I have checked the "reject confirmed spam at connect time", and I am pretty sure that this has striked the message, but I would like to know, what excactly has happened, so I can provide some tips to the sender.

Cheers,
budy

Have they checked to make sure they aren't blacklisted? Email Blacklist Check - See if your server is blacklisted

Budy, I think we agree on what happens after the DATA command, it's just that I thought that the DATA command indicated the end of the receipt of the header information, so that's when recipient addresses would be checked; "after DATA."  I'm no email guru, and I'm just guessing at this as my knowledge is pretty spotty.

Cheers - Bob

I don't think this is the same problem as nhlfan. 

I agree. 

Hope it's not impolite to take part in this discussion without being the OP. 

Here all recipient addresses have been correct.
"reject at smtp-time" is "confirmed spam".

here are the parts of our log (after the dsbl.org-timouts):

exim[26674]: 2009-03-23 09:31:54 1LlfZN-0006wE-2z ctasd reports 'Confirmed' RefID:str=0001.0A0B0207.49C748FA.0047,ss=4,fgs=12
exim[26674]: 2009-03-23 09:31:54 1LlfZN-0006wE-2z id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="81.169.146.160" from="***%40***" to="***%40***%2C%20***%40***%2C%20***%40***%2C%20***%40***" subject="Text" queueid="1LlfZN-0006wE-2z" size="2400328" reason="as" extra="confirmed"
exim[26674]: [1\40] 2009-03-23 09:31:54 1LlfZN-0006wE-2z H=mo-p00-ob.rzone.de [81.169.146.160]:10920 F= rejected after DATA
exim[26674]: [40/40]   Thread-Index: AcmY8DrBOvgjW2RkQKmgs7K3q7o86gCM5SYgAACtKCAAA2ZSIAABF/kgAABmiOAACRyTkAFW87rWArXBdtA=
exim[26674]: 2009-03-23 09:31:54 1LlfZN-0006wE-2z SMTP connection from mo-p00-ob.rzone.de [81.169.146.160]:10920 closed by DROP in ACL

google brought me via the log-entry "ctasd reports 'Confirmed'" to Email Security OEM - Email Virus Outbreaks Detection where the IP mentioned above is saved as "High Risk" and "This IP address is used for sending Spam on a regular basis" - but I don't know if Astaro uses this kind of service.... and even IF - why does Astaro still wait for the header (between [1/40] and [40/40]) to come in, when action= "reject" is still clear.

For me this is confusing - and still a problem.

PS: mailmanager does not give any information in the detail view about what happened: the details for these mails are just empty.
and there is no hint that a RBL-check has even taken place.

Bob, yeah. I only wanted to stress your post. At the time the smtp client sends the data command, the envelope must be complete.

Is there any possibility to bump up the log's verboseness? I couldn't find anything in the WebUI.

Cheers,
budy

Bob, yeah. I only wanted to stress your post. At the time the smtp client sends the data command, the envelope must be complete.

Is there any possibility to bump up the log's verboseness? I couldn't find anything in the WebUI.

Cheers,
budy

Verboseness?  Maybe an Admin can change that; I don't know much about BB software and settings.  I think they just made me a moderator because I flagged a bunch of posts as advertisements, and they figured it was easier to just give me the ability to zap them myself!

So, did I interpret correctly that "after DATA" may be before all of the actual message has been received?

T-work, I just tried to enlighten myself about the DATA command, and remember seeing a comment about some filters blocking email if there were too many "non-mail" commands after the ???? command and before the DATA command.  Could it be that that's why you're seeing 'reason="as" extra="confirmed"'?  Again, I know almost enough about this stuff to ask reasonable questions.

Verboseness?  Maybe an Admin can change that; I don't know much about BB software and settings.  I think they just made me a moderator because I flagged a bunch of posts as advertisements, and they figured it was easier to just give me the ability to zap them myself!

He he - you sounded pretty knowledgable though. [:D]

Okay, so this will require support from Astaro, I guess.

Cheers,
budy

Hi budy, have you tried adding an Exception for that Emailaddresss disabling all Tests (Spam, Virus) from the Astaro side to see whats happening?

Better yet, I had a technician call me and explain to me what the AMG does. It seems that one of the big hosting companies named Strato is labeled "high risk" for Spam and thus has been dropped.

That's fine with me and since none of our important customers uses Strato I actually haven't  installed any exceptions yet, but that would have been the way to go.

Cheers,
budy

Hi Balfson,

our astaro is currently running on version 7.306.

We do not use wan balancing.

Did astaro changed the default rbl-checklist with version 7.400 ?

sbl-xbl.spamhaus.org is´nt reachable.


regards,
Clemens

Hi,

Same problem here, today i´ve got several calls, that the senders got error messages like this

host Ip-adrress said: 550
>    Administrative prohibition (in reply to end of DATA command)
>

But the same sender later can send another e-mail to the same internal user.

In the smtp-proxy log i found, that every rejected mail lists its envelope in the log file like this one:


2009:03:24-15:27:57 IP exim[5612]: [1\38] 2009-03-24 15:27:57 1Lm7bh-0001SW-1A H=IP  F= temporarily rejected after DATA: PGSQL: query failed: ERROR:  invalid byte sequence for encoding "UTF8": 0xdc62
2009:03:24-15:27:57  exim[5612]: [2\38] Envelope-from: 
2009:03:24-15:27:57  exim[5612]: [3\38] Envelope-to: <>
2009:03:24-15:27:57  exim[5612]: [4\38] P Received:
.....

Seems to be something with rbl checks.

CU
Thomas

Since this affects both 7.3 and 7.4, it is apparently due to the pattern updates from European servers.  One of you with support needs to report this bug to Astaro Support.  We are not seeing this phenomenon in the Americas.

Cheers - Bob

With the rejects I mentioned above the complete envelope appears in the log, too. As we are only gold-licensed someone else have to tell Astaro [:(]

Also got the NDRs of two customers today: #5.5.0 smtp;550 Administrative prohibition>

Checking the reputation of the IP's at commtouch today revealed: These IP's are NOT known Spam senders (anymore today?). Still the mails have been filtered out. So this is not consistent in its behavior / cause.
There is quite a lack of information the ASGs provides us here with. [:(] 
The report in the mailmanager still tells just as much as a blank white window can tell... nothing.

Would be fine if someone could post results of a probable call with Astaro.

Hi t-work,

have you read my two posts?
Have you tried one or both of them?

cu SveN