How to deterime the cause for rejected after DATA

Hi,

i´ve encountered an issue with the realtime blacklist check. Our astaro has dropped emails even the sender is defined in the whitelist.
We used the recommended rbl feature.
After turning off this feature emails were processed as expected.

Some of the default rbls (sbl-xbl.spamhaus.org) are not reachable.

Regards,
Clemens

That might be the case, but obviously the AMG doesn't tell what specifically has triggered what ACL.

And… shouldn't the AMG reject each message if a rbl doesn't answer, not just messages from a specific sender?

Cheers,
budy

Have they checked to make sure they aren't blacklisted? Email Blacklist Check - See if your server is blacklisted

Budy, I think we agree on what happens after the DATA command, it's just that I thought that the DATA command indicated the end of the receipt of the header information, so that's when recipient addresses would be checked; "after DATA."  I'm no email guru, and I'm just guessing at this as my knowledge is pretty spotty.

Cheers - Bob

I don't think this is the same problem as nhlfan. 

I agree. 

Hope it's not impolite to take part in this discussion without being the OP. 

Here all recipient addresses have been correct.
"reject at smtp-time" is "confirmed spam".

here are the parts of our log (after the dsbl.org-timouts):

exim[26674]: 2009-03-23 09:31:54 1LlfZN-0006wE-2z ctasd reports 'Confirmed' RefID:str=0001.0A0B0207.49C748FA.0047,ss=4,fgs=12
exim[26674]: 2009-03-23 09:31:54 1LlfZN-0006wE-2z id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="81.169.146.160" from="***%40***" to="***%40***%2C%20***%40***%2C%20***%40***%2C%20***%40***" subject="Text" queueid="1LlfZN-0006wE-2z" size="2400328" reason="as" extra="confirmed"
exim[26674]: [1\40] 2009-03-23 09:31:54 1LlfZN-0006wE-2z H=mo-p00-ob.rzone.de [81.169.146.160]:10920 F= rejected after DATA
exim[26674]: [40/40]   Thread-Index: AcmY8DrBOvgjW2RkQKmgs7K3q7o86gCM5SYgAACtKCAAA2ZSIAABF/kgAABmiOAACRyTkAFW87rWArXBdtA=
exim[26674]: 2009-03-23 09:31:54 1LlfZN-0006wE-2z SMTP connection from mo-p00-ob.rzone.de [81.169.146.160]:10920 closed by DROP in ACL

google brought me via the log-entry "ctasd reports 'Confirmed'" to Email Security OEM - Email Virus Outbreaks Detection where the IP mentioned above is saved as "High Risk" and "This IP address is used for sending Spam on a regular basis" - but I don't know if Astaro uses this kind of service.... and even IF - why does Astaro still wait for the header (between [1/40] and [40/40]) to come in, when action= "reject" is still clear.

For me this is confusing - and still a problem.

PS: mailmanager does not give any information in the detail view about what happened: the details for these mails are just empty.
and there is no hint that a RBL-check has even taken place.

Bob, yeah. I only wanted to stress your post. At the time the smtp client sends the data command, the envelope must be complete.

Is there any possibility to bump up the log's verboseness? I couldn't find anything in the WebUI.

Cheers,
budy

T-Work: the messages I am having problems with originated from the same server. So it seems indeed an rbl issue.

Budy

Verboseness?  Maybe an Admin can change that; I don't know much about BB software and settings.  I think they just made me a moderator because I flagged a bunch of posts as advertisements, and they figured it was easier to just give me the ability to zap them myself!

So, did I interpret correctly that "after DATA" may be before all of the actual message has been received?

T-work, I just tried to enlighten myself about the DATA command, and remember seeing a comment about some filters blocking email if there were too many "non-mail" commands after the ???? command and before the DATA command.  Could it be that that's why you're seeing 'reason="as" extra="confirmed"'?  Again, I know almost enough about this stuff to ask reasonable questions.

Hi budy, that's quite a nice information - funny world.
On the other hand: when other messages are rejected by RBL's, this is written to the logs. Including the exact name of the RBL and the "reject" is NOT followed by the rest of the header as in our case. So I am unsure if that is really the case.

Following the link of BAlfson to the RBL-checker it is blacklistet by exactly ONE RBL: SPAMCANNIBAL - i can't imagine that it's used by astaro...
The whole thing is just strange...

Verboseness?  Maybe an Admin can change that; I don't know much about BB software and settings.  I think they just made me a moderator because I flagged a bunch of posts as advertisements, and they figured it was easier to just give me the ability to zap them myself!

He he - you sounded pretty knowledgable though. [:D]

Okay, so this will require support from Astaro, I guess.

Cheers,
budy

Hi budy, have you tried adding an Exception for that Emailaddresss disabling all Tests (Spam, Virus) from the Astaro side to see whats happening?

Better yet, I had a technician call me and explain to me what the AMG does. It seems that one of the big hosting companies named Strato is labeled "high risk" for Spam and thus has been dropped.

That's fine with me and since none of our important customers uses Strato I actually haven't  installed any exceptions yet, but that would have been the way to go.

Cheers,
budy

Better yet, I had a technician call me and explain to me what the AMG does. It seems that one of the big hosting companies named Strato is labeled "high risk" for Spam and thus has been dropped.

That's fine with me and since none of our important customers uses Strato I actually haven't  installed any exceptions yet, but that would have been the way to go.

Cheers,
budy

Hi Balfson,

our astaro is currently running on version 7.306.

We do not use wan balancing.

Did astaro changed the default rbl-checklist with version 7.400 ?

sbl-xbl.spamhaus.org is´nt reachable.


regards,
Clemens

Hi,

Same problem here, today i´ve got several calls, that the senders got error messages like this

host Ip-adrress said: 550
>    Administrative prohibition (in reply to end of DATA command)
>

But the same sender later can send another e-mail to the same internal user.

In the smtp-proxy log i found, that every rejected mail lists its envelope in the log file like this one:


2009:03:24-15:27:57 IP exim[5612]: [1\38] 2009-03-24 15:27:57 1Lm7bh-0001SW-1A H=IP  F= temporarily rejected after DATA: PGSQL: query failed: ERROR:  invalid byte sequence for encoding "UTF8": 0xdc62
2009:03:24-15:27:57  exim[5612]: [2\38] Envelope-from: 
2009:03:24-15:27:57  exim[5612]: [3\38] Envelope-to: <>
2009:03:24-15:27:57  exim[5612]: [4\38] P Received:
.....

Seems to be something with rbl checks.

CU
Thomas

Since this affects both 7.3 and 7.4, it is apparently due to the pattern updates from European servers.  One of you with support needs to report this bug to Astaro Support.  We are not seeing this phenomenon in the Americas.

Cheers - Bob

With the rejects I mentioned above the complete envelope appears in the log, too. As we are only gold-licensed someone else have to tell Astaro [:(]

Also got the NDRs of two customers today: #5.5.0 smtp;550 Administrative prohibition>

Checking the reputation of the IP's at commtouch today revealed: These IP's are NOT known Spam senders (anymore today?). Still the mails have been filtered out. So this is not consistent in its behavior / cause.
There is quite a lack of information the ASGs provides us here with. [:(] 
The report in the mailmanager still tells just as much as a blank white window can tell... nothing.

Would be fine if someone could post results of a probable call with Astaro.

Hi t-work,

have you read my two posts?
Have you tried one or both of them?

cu SveN

I have exactly the same problem with all my customers!
rejected after DATA.

Even if I send an email to Peter Vogt its Astaro blocking my mail!!!![:O][:O]

: host mx.astaro.com[213.144.15.13] said: 550 Administrative
    prohibition (in reply to end of DATA command)

[:@][:@]

Hmm, that's not exactly the same problem, that has been discussed in this thread. Your transmission has been rejected at the end of data not right after, which points to the pre-Data SPAM check.

If the message gets rejected at the end of Data sequence, there might be some other checks involved or maybe the recipient could not be verified.

Cheers,
budy

[QUOTE=SveN;106663%5DHi have you read my two posts?
Have you tried one or both of them?]

[QUOTE=SveN;106663%5DHi cu SveN

I am sorry to answer you that late:
I have read your posts, but thought you are talking to budy exclusively :-)

I don't know what the tcpdump would help me? I assume the ctasd filtering too strictly all of a sudden. (What still concernes me is that there is no evidence and no possibility to troubleshoot the issue with this ctasd-filter) Also I can't know which connection to log - sometimes we even get mails from IPs that have been blocked repeatedly just a few hours ago.

Turning off filtering for some senders' domain seemed to work. But I have no proof of that: we GOT mails of one customer after adding him to the exclusion list, but the testmail has been sent one day after the first occurrence. After turning off the exclusion again mailing still worked. I am not able to test with all customers that are concerned by this.

I will check my logs daily until there is a fix for that - at the end of last week it seemed to be better. I have not gone through my logs today - yet so lets see...

regards and: thank you!

It looks like the filters are working OK now.

I am keeping an eye on that issue and will report if something changes.