new spam trick by using url shortening

i agree to this - we had a lot of spam during the last days.... all with links from short-url services.

I don't think that there's any control on the content of emails since SpamAssassin was left behind.  I think the best one can do now is to add an expression on the 'Anti-Spam' tab.  With zipurl.fr in there, any email containing that would be captured for reason "expression" in the spam filter; then, people could release any of the emails they wanted.

I haven't seen this problem here though - maybe the Russians are attacking Western Europe? [;)]

Cheers - Bob

i have to add every day new urls, the url shorteners expand every day. 

The best way to handle this is to use DNBL methods to manage this i think, or at least something dynamic.  if one finds out an url shortening is new in the emails and it can be added to a central list, we all can use this and it saves us time and work, ant it will make this way of sending spam something that won't work anymore.

i hope there will be some sort of solution soon, it is driving me crazy.

I still don't understand how it's possible that spams are getting through.  Could you post one with a complete header?  Be sure to obfuscate your IP and domain name.

Cheers - Bob

Sun, 24 Apr 2011 12:53:57 -0500
From: "Carmen Tabor" 
To: d6e1cf57@mydomain.nl
Subject: Les énigmes de la ***ualité.
Date: Sun, 24 Apr 2011 12:53:57 -0500
MIME-Version: 1.0
Content-Type: text/plain;
 charset="iso-8859-1"
Content-Transfer-Encoding: 7Bit
Message-ID: 

Votre vie ***uelle est devenue terne et non expressif ? Les technologies modernes medicales vous aideront.
Nouveau le medicament pour les hommes de n'importe quel age - Un nouveau melange vegetal avec une influence puissante et effective.
http://nxy.in/bjuky
Il y a une methode unique de la decision de votre probleme,L'effet a surpasse les attentes.... Cela travaille sur 100 %




Return-Path: antoniacrowe@pitrat.com
Received: from mail.mydomain.nl ([192.168.1.15])
by mail.mydomain.nl
; Sun, 24 Apr 2011 18:54:09 +0200
Received: from mxdrop127.xs4all.nl ([194.109.24.106]:57064)
by mail.mydomain.nl with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.69)
(envelope-from )
id 1QE2ZM-0000kD-1h; Sun, 24 Apr 2011 18:54:01 +0200
Received: from 194.109.24.132 ([46.8.96.48])
by mxdrop127.xs4all.nl (8.13.8/8.13.8) with SMTP id p3OGrsav073153;
Sun, 24 Apr 2011 18:53:57 +0200 (CEST)
(envelope-from AntoniaCrowe@pitrat.com)
X-CTCH-RefID: str=0001.0A090209.4DB455A8.00ED,ss=1,fgs=0
Date: Sun, 24 Apr 2011 18:53:54 +0200 (CEST)
From: AntoniaCrowe@pitrat.com
Message-Id: 
To: undisclosed-recipients:;
X-CNFS-Analysis: v=1.1 cv=a8sYchbnJd2dMYUqqjolUMD0rF/qLqJCTuzWyWz0xZo= c=1
sm=0 p=1QET1T50AAAA:8 a=Vpof7MxNAAAA:8 a=UdaDDYX3fCbpyNXC-VwA:9
a=hAH1kgHSf3UA:10 a=m18Xa7vrVmMA:10 a=9nROCuCMJp46TjpTDoRf5w==:117
X-Virus-Scanned: by XS4ALL Virus Scanner
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable

We are also getting a ton of these daily.

I've been blocking them for quite some time.
https://community.sophos.com/products/unified-threat-management/astaroorg/f/56/t/49077

I'm currently blocking 
goo.gl
bit.ly
tinyurl.com
tiny.cc
ity.im
tr.im
mcaf.ee
googlelink.php

This list blocks 90% of the ones containing shorteners that hit my spam filter.
Also, are you using greylisting, reject invalid HELO and perform SPF check? Those three settings eliminated a great deal of spam that was getting thru. Greylisting may not be for everyone, gmail does not always play well with it but it's fairly rare.

I've been blocking them for quite some time.
http://www.astaro.org/astaro-gateway-products/mail-security-smtp-pop3-antispam-antivirus/35765-blocking-url-shorteners.html

I'm currently blocking 
goo.gl
bit.ly
tinyurl.com
tiny.cc
ity.im
tr.im
mcaf.ee
googlelink.php

This list blocks 90% of the ones containing shorteners that hit my spam filter.
Also, are you using greylisting, reject invalid HELO and perform SPF check? Those three settings eliminated a great deal of spam that was getting thru. Greylisting may not be for everyone, gmail does not always play well with it but it's fairly rare.

Yes. I have Greylisting, reject invalid helo, and spf check enabled.

It has gotten so bad our CEO and CIO have taken notice and have complained. Not good since they approved the purchase of this appliance.[:(]

I will try adding those tiny urls to the blacklist.

From Mail Security > SMTP > AntiSpam tab, 
do you have any extra RBL lists defined? I have found zen.spamhaus.org to be reliable.
Also,  What are your settings for the rest of that page? As an example, I have mine set as follows:
Reject at SMTP Time:  Confirmed Spam
zen.spamhaus.org as the additional RBL zone.
Spam action:Quarantine
Confirmed Spam action:Blackhole
Spam marker: ***This may be spam***
Blacklisted Addresses: I have a load of strings in here that would not apply to you. I use this section to block mailing lists and other mail that doesn't have unsubscribe links or I feel is spam, whether the user subscribed to them or not.
 That brings up an additional item. Not all spam is spam. If a use subscribed to a mailing list, that would not be spam.
Expression filter: I posted this earlier but edited out the simple stuff like pharmacy items. 
Reject invalid HELO, Greylisting and SPF check are checked.

Initially, I had an unacceptable amount of spam getting through but between the manual and this forum, I have gotten it down to a very reasonable amount.

What's your volume like? I handle an average of 4 thousand messages/600 Megs  a day of mail. Out of the 4000 messages, only 400 to 500 are valid. That's a pretty good filter rate but YMMV.

My settings are set almost identical to yours. Here are my stats:

More and more spam is getting through. Including a lot which do not use the tiny url trick.


SMTP last 24 hours [ 9826 messages delivered. 48158 messages blocked (83%) ] 
 
Malware quarantined/rejected: 4  SPF rejects: 289 
Spam quarantined/rejected: 21817  RBL rejects: 8433 
Blacklist rejects: 2  BATV rejects: 44 
Address Verification rejects: 0  RDNS/HELO rejects: 8875