Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1030 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Content scan for outgoing messages is not working.

Brent Swingle
I have an ASG425 sitting in front of our mail server which hosts several domains.  The ASG is running in Transparent Mode with the SMTP proxy enabled for spam/virus scanning.  It does a great job with low false positives on all mail that is inbound from the world to our hosted domains.  

However, of late there seems to be a real probelm with the ASGs ability to handle SPAM/content scanning on messages that originate from our mail server and are heading out to the world.  Specifically, when a webmail account is compromised and a spammer generates traffic from our mail server it is not being caught by the SMTP Proxy before hitting the world.

When we installed the unit a couple of years ago, it scanned all port 25 traffic from the mail server and would quarantine about half of it which helped us maintain a good reputation and allowed us time to shut down compromised webmail accounts before blacklisting occured.  Now it doesn't catch a single message, rather I find the problem after half of the messages have gone to the world, the other half are sitting in the spool in a deferred state and we have customers calling in wondering why their email is bouncing.

Is anyone else having this same issue?  If the outbound cannot be better filtered it defeats the whole purpose for installing this unit.

Thanks,


This thread was automatically locked due to age.
  • 0
    CORRECTION: Outbound email is scanned by the Expression filter.

    Brent, I don't recall that the Astaro ever scanned for spam in out-bound mail.  I know that it does not attempt to do so today.  The scanning is done by the Anti-Virus engines only.

    My concern is how you are getting compromised email accounts - this is not a problem in the sites with which we work.  Maybe you need to review some of your security policies, or maybe you have a persistent infection on your mail server.

    If you are large enough to require a 425, then we likely would have recommended A-V protection for your mail server.  In addition to A-V at the periphery (with Astaro), and A-V on each of the client workstations, we prefer for our clients to have a third level of protection - on the application servers themselves.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    When we got our first ASG unit we purchased a 320 unit during the tail end of the Version 6 days.  At that time we were running 15-20K messages a day through it and it was somewhat overwhelmed as the unit actually scanned everything inhouse for spam and viruses.  These were the days when it would actually catch "spam like" content in the message body and quarantine it instead of forwarding.

    Our mail flow increased to 30-35K messages a day and our CPU was pegging so we moved to the 425 unit.  This was before the workload was moved to the fingerprinting method if I remember correctly.  After moving to the 425 it still ran 25-30% CPU load during peak mail flow hours.  

    After the fingerprint method was introduced the CPU now runs 1-3% all day long.  

    All of our hosted domains are actually pre-filtered upstream for spam and virus content before being forwarded to the ASG for spam and virus scanning prior to delivery on our mail server for customer consumption.  As this is not a business office environment we do not control the client workstations side of things.

    As far as the web accounts are concerned.  It is just a linux box running a webmail interface for customer convenience as we don't allow smtp relay from IPs outside of our network.  I am assuming that the spammers lock in on a username and brute force the password.  Once they are in they generate a message and send it to 100 or 200 email accounts at a time.  

    This was the reason we purchased the filter.  If someone hacked a webmail account and spewed some garbage from the server the ASG was supposed to see this mess heading out on port 25, content scan it locally and stick it in the quarantine.  

    I am assuming that this functionality died when they moved the actual mail assessment to the lab and started forwarding only the spam fingerprints.  Can anyone confirm this.  

    Would it be possible to have the unit content scan port 25 traffic from certain IP addresses?  For example if someone uses the webmail interface the header indicates that the message came from the mail servers IP so the ASG would then know that it needed to do a full scan?

    Thanks,
  • 0 in reply to Brent Swingle
    I think you need to have a converstion with your reseller.  The ASG won't do the filtering you're requesting.  Email me by clicking on my name beside my avatar if you want to discuss offline.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner