RBL check and quarantine

Set 'Reject at SMTP Time:' to "Off."

What is driving you to do this?  Does someone think good emails are being rejected?

Cheers - Bob

Set 'Reject at SMTP Time:' to "Off."

Hello Bob!
It is yet on OFF! [:(]

What is driving you to do this?  Does someone think good emails are being rejected?

Sometimes happens that rbls match ip that should not be listed in their database. So I prefer to quarantine these emails, instead of reject. In the last year at least 5 emails (very important for us) were sent from blacklisted ip. Our previous antispam engine marked them as spam, in this way my users could get these from junk email. Now we are migrating to astaro av/spam engine, but I don't like this behaviour... is there a solution?

eclipse79

So, it's not that these emails are rejected - they are blackholed?  Those five emails should have been rejected back to the sender with the message that they were on a list of spammers. 

If you got false positives, then that more likely is the fault of your ISP who may be hijacking DNS.

Cheers - Bob

So, it's not that these emails are rejected - they are blackholed?  Those five emails should have been rejected back to the sender with the message that they were on a list of spammers. 

We received the five emails months ago, when we aren't using astaro. They were rejected not blackholed, but you have to consider that the people we are dealing with, in most cases, is not very friendly with NDR and with information technology in general. They often don't care about ndr messages... [8-)] And also: my boss thinks that if we don't receive mails (even if they are sent through blacklisted ip) is our failure!! [:@]

So it is not possible to quarantine email sent from rbl listed ip?

Well, if the boss wants to drink from a firehose, let's give him his wish...

In addition to setting 'Reject at SMTP Time:' to "Off," in the 'Spam filter' section, set 'Confirmed Spam action:' to quarantine.

In 'Advanced anti-spam features', disable 'Reject invalid HELO / missing RDNS' and 'Perform SPF check'.  The only thing checked in that section should now be 'Use BATV', but I don't think it will make any difference, because you'll now be accepting everything and marking it as spam.

Now, no spams will be rejected; they all will be quarantined.  If you don't have the User Portal set up for the users, now would be a good time to get that configured so you don't get overwhelmed.

Good luck!

Cheers - Bob

Well, if the boss wants to drink from a firehose, let's give his wish...

ahahahahah I didn't know this way to say [:)]

Anyway, I have set the options you suggested, but I continue to see 
Rejected: RBL (sbl-xbl.spamhaus.org) entries in log.

I have opened a ticket with support, they said that 

"Messages which are recognized as spam due to RBL checks are rejected during the smtp connection and not stored in the quarantine." [8-)]

So, no solution for me [:(]

Thank you anway bob

Hmmm, I would have thought that changing the other two sections whould have prevented rejection.  In that case, it's time to clear out the 'Realtime blackhole lists' section; delete any 'Extra RBL zones', uncheck the two boxes and Apply.

Cheers - Bob

FYI, the "spam action" ant the "confirmed spam action" are ONLY defining the handling of mails due to the classification of the SPAM reputation filter database (and, I think, the expression filter).
All other settings in the "anti-spam" tab of the Mail Security  menu are independed of this setting (and thus also independend of the "reject at smtp time" setting).

With other words, the failure of the following checks will ALWAYS lead to a immediate reject of the mail by the ASG (no matter how the "spam action/confmed spam action/reject at smtp time" settings are configured):
- RBLs/extra RBLS
- block dialup hosts/networks
- sender blacklist
- RNDS/HELO checks
- Greylisting
- BATV
- SPF

Mails which match one of the expressions in the "experession filter"  will be treated like mails with the reputation "confirmed spam", I believe (not 100% sure)

My guess is that expressions in the "expression filter" always lead to quarantine wiyhout regard to other settings.

Cheers - Bob

Hello and sorry to dig into an already old thread.

My company uses ASGs as firewalls for more than three years now but we always relied on Ironport for Anti-Spam. Now we'd like to give the ASG a chance to handle also this side of security...

But I ALSO would appreciate having RBLs sending the matching mails to QUARANTINE instead of just rejecting, to be able to fetch back some false-positives in case this happens.

Why does the box distinguish SPAM from CONFIRMED SPAM and give an option OFF for "Reject at SMTP Time" if it continues to reject these mails ?  I really cannot understand that. It's the user's (or better the admin's) choice what to do with theses mails.

Isn't there anything planned for the future regarding this ?

Thanks in advance !

Regards

Hervé