Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 1 subscriber
  • Views 23626 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP being hijacked - trying to block sender

steagle
Looks like over the weekend we got hijacked and now I have spammers from Italy using our SMTP relay to send thousands of emails. I have added their domains to the sender blacklist filter and the expression filter, but the emails continue to pour through. Obviously, I'm not using the right tool to stop them. I've got a list of the domains they're using - does anyone know how I can block these guys? Thanks!

edit: Also realized this could be a malware intrusion on one of our workstations - we are currently scanning all machines with Malwarebytes to see if we can find the culprit. Just in case this is not the issue and we indeed have been hijacked, any tips for dealing with this would be highly appreciated. 
____

ASG220
Firmware 7.501
Pattern Version 22662


This thread was automatically locked due to age.
Parents
  • 0
    Hmmm - What's in the "SMTP Relayers" group?

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Again, it's all the LDAP-authenticated users. I have our Open Directory servers set up for remote authentication to the Astaro, and I require SMTP authentication on the email server, so all employees who want to email need to first have an OD account with email enabled, and then perform some action that queries the firewall which will then automatically create a user object for them. Once those conditions are met they are allowed to email. 

    The only downside to this system is the Astaro does not automatically disable or remove user accounts that have been inactive for extended periods of time, as far as I'm aware. I can still block email relaying by disabling user accounts in Open Directory, but if I forget to do that for one of our many temporary employees (we're a production company), then the possibility exists that that person can use our system for personal purposes. I of course try to be as secure as possible with this but the possibility remains due to our size and the temporary schedules of employees.
Reply
  • 0 in reply to BAlfson
    Again, it's all the LDAP-authenticated users. I have our Open Directory servers set up for remote authentication to the Astaro, and I require SMTP authentication on the email server, so all employees who want to email need to first have an OD account with email enabled, and then perform some action that queries the firewall which will then automatically create a user object for them. Once those conditions are met they are allowed to email. 

    The only downside to this system is the Astaro does not automatically disable or remove user accounts that have been inactive for extended periods of time, as far as I'm aware. I can still block email relaying by disabling user accounts in Open Directory, but if I forget to do that for one of our many temporary employees (we're a production company), then the possibility exists that that person can use our system for personal purposes. I of course try to be as secure as possible with this but the possibility remains due to our size and the temporary schedules of employees.
Children
No Data
Cookie Information Banner