No spam scoring with Astaro?

zen.spamhaus.org includes 'pbl.spamhaus.org, and that's the database of dynamc IPs that I think is used even by SpamAssassin.  In this case, that information is "hidden" by the fact that the mail is not received by you from there, but from mail2.***lusa.com.  Are you using a smart host (mail2.***lusa.com)?  If so, do you have the 'Upstream hosts list' filled in on the 'Relaying' tab?

Does that solve the problem?  If not, please post the lines from the SMTP log relative to this email.

Cheers - Bob

mail2.***lusa.com has an astaro with the same settings as I have. It's not a smart host, just a mail forwarder. It's listed in my MX record with a weighting of 90 while my mail host has a weighting of 10.
 I went ahead and added mail2.***lusa.com to my upstream hosts list but I'm not sure if this was necessary or even beneficial. I just don't have enough information to know if this is good or bad. Help?

 I don't know what may have changed but when I checked my mail logs this morning, I didn't see any spam get thru other than what I'm sure the user actually signed up for.

Which version are you running, our Astaro passes all spam to the exchange server since we've upgraded to V 8.002 ?

I'm on 8.001and not having your issue but I'm using groupwise.

I don't know what may have changed but when I checked my mail logs this morning, I didn't see any spam get thru other than what I'm sure the user actually signed up for.

So, adding mail2.***lusa.com to the 'Upstream hosts list' seems to have resolved your spam problem?

Cheers - Bob

So, adding mail2.***lusa.com to the 'Upstream hosts list' seems to have resolved your spam problem?

Cheers - Bob

 I only added it after your suggestion a short time ago.  
 I have been looking over my configuration for my old product and I do have quite a bit of customization such as header scanning for key words. As an example, I block any message with the following in the mail headers.

^.{0,40}charset="koi8-r"
 : (5ac|ti).{0,40}\.bb\..{3,40}[
 : (\d{1,3\.|h-\d{1,3}|kw\d{1,3}|nat\d{1,3}|unregister).{0,40}\.[a-z][a-z][
 : (auh|dxb|lbc|ner).{0,40}\.net\.ae[
 : (blk|gw|gw\d{1,3}|n|ol\d{1,3}|wlan\d{1,3})(\.|-).{0,40}\.[a-z][a-z][
 : (bsn|red)-.{0,40}\.(siol|telnor)\.net[
 : (bzq-|c\d{1,3}|d\d{1,3}).{0,40}\.net[
 : (c|cm)\d{1,3}-.{0,40}\.[a-z][a-z][
 : (c|cm|cmu)-\d{1,3}-\d{1,3}-\d{1,3}-\d{1,3}.{0,40}\.com[
 : (dsl|dslb|dial|host).{0,40}pool.{3,40}[
 : (dsl|dyn)(\.|-).{1,10}(\.|-).{3,40}[
 : (dyn|dial|host).{0,40}(adsl|ppp).{3,40}[
 : (fibhost|home|host|ut)(\.|-).{0,40}\.[a-z][a-z][
 : (ip-|\d{1,3}|d|h).{0,40}\.rev\..{3,40}[
 : (j|r).{0,40}\.upc\.cz[
 : (n|z).{0,40}\.ctm\.net[
 : (p\d|\d{1,3}).{0,40}\.(ocn|eaccess)\.ne\.jp[
 : \d{1,3}-\d{1,3}-\d{1,3}-\d{1,3}\.\w{4}\.qwest\.net[
 : \d{1,3}.*\.(city-lan|res-cmts)\..{3,40}[
 : \d{1,3}.{0,40}\.(offersdomain|ono)\.com[
 : \d{1,3}.{0,40}\.[a-z][a-z][
 : \d{1,3}\.(red|sub)-\d{1,3}-\d{1,3}-\d{1,3}\..{3,40}[
 : \d{1,3}\.\d{1,3}-.{0,40}\.nextgentel\.com[
 : \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\.contactel\.net[
 : adsl.{0,40}\.bellsouth\.net[
 : c-.{0,10}hsd.{0,10}\.comcast\.net[
 : c\d{1,3}.{0,40}\.[a-z][a-z][
 : cable(-|\d{1,3}).{3,40}[
 : chello.{0,40}\.[a-z][a-z][
 : cmpc\d{1,3}-.{0,40}\.[a-z][a-z][
 : h.{0,40}\.ip\.alltel\.net[
 : h\d{1,3}-\d{1,3}-.{0,20}\.unk\.tds\.net[
 : host-\d{1,3}-\d{1,3}-\d{1,3}-\d{1,3}\.midco\.net[
 : host.{6,40}\.telecom\.net\.ar[
 : host\d{1,3}-\d{1,3}-.{4,40}\.telecomitalia\.it[
 : host\d{1,3}-\d{1,3}-\d{1,3}-\d{1,3}.{6,60}[
 : i-\d{1,3}-\d{1,3}-\d{1,3}-\d{1,3}\..{3,40}[
 : ip-.{0,40}\.cust\..{3,40}[
 : ip.{0,40}\.[a-z][a-z][
 : m\d{1,3}\.net.{0,40}\.[a-z][a-z][
 : nashua.skillsoft.com
 : nat-.{3,40}[
 : pc.{0,40}\.vtr\.net[
 : pool-.{6,60}[
 : pool.*.*verizon.net
 : s.*.*shawcable.net
 : softbank.{0,40}\.bbtec\.net
 : user-.{0,10}\.mindspring\.com[
 :.*.*dialup
 :.{0,10}\d{1,3}(\.|-|x)\d{1,3}(\.|-|x)\d{1,3}(\.|-|x)\d{1,3}.{0,40}\.([^u0-9][^s0-9]|[a-tv-z]s|u[a-rt-z])[
 :.{0,40}(acesso|codetel|net)\.(ne|net|oni)\.[a-z][a-z][
 :.{0,40}(catv\d{1,3}|\.catv|catv-)
 :.{0,40}(chello|\.pu)\.[a-z][a-z][
 :.{0,40}(dial\.|dial-up\.|dipool\.)
 :.{0,40}(dsl|cable|broadband).{0,40}\.[a-z][a-z][
 :.{0,40}(dynamic|ipconnect|dynamicIP)(-|\.)
 :.{0,40}\.(airbites|vectranet|wanadoo|netcabo)\.[a-z][a-z][
 :.{0,40}\.(biz|res)\.rr\.com
 :.{0,40}\.(cable|broadband)\.ntl\.com[
 :.{0,40}\.(centurytel|proxad|ttlc)\.net[
 :.{0,40}\.(home|home\d{1,3})\.
 :.{0,40}\.(nw|tn)\.(glocalnet|nuvox)\.net[
 :.{0,40}\.(satfilm|digicom|is|tkk|szeptel|lubman|tpnet)\.net\.pl[
 :.{0,40}\.customer\.
 :.{0,40}\.edu\.tw[
 :.{0,40}\.ptr\.us\.xo\.net[
 :.{0,40}\.zebra\.lt[
 :.{0,40}\host-\d{1,3}-\d{1,3}-\d{1,3}-\d{1,3}\.bulldogdsl\.com[
 :.{0,40}dial(-|up\.|in\.|pool\.|\d{1,3}\.|\d{1,3}-)
 :.{0,40}user(\d{1,3}|-|\.)

So, you're saying that much of the spam just stopped all by itself?

Can you not add that to the Expression filter in the Astaro?

Cheers - Bob

So, you're saying that much of the spam just stopped all by itself?

Can you not add that to the Expression filter in the Astaro?

Cheers - Bob

Yep, the spam making it past the astaro today has been minimal. I expect a certain amount as normal but today has been pretty good, spam wise. I haven't checked the total received but expect it to be the normal 2000 +/- we get each day.

I haven't attempted adding the additional filters to the Expression filter because I haven't found out it that field scans the body of the message, the headers or the entire file. Any idea?  Can you verify the Expression filter applies to the headers as dwell as the body and subject?

 The other product had separate fields for filtering the body, subject, sender and headers where Astaro only has Sender and Expression. If I can put the header filters in the expressions box, is there a method for Bulk add?

I'm on 8.001and not having your issue but I'm using groupwise.

exchange of groupwise doesn't matter, our Astaro failed on filtering spam. Astaro Support fixed it for us.