Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 31 replies
  • Subscribers 1 subscriber
  • Views 11743 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Too much spam passes Astaro since v8

tomtomtom
I realize that too much spam passes the Astaro since (I think) v8.200.

Today I got a mail with the word "vagina" in subject. Do we need to care about expressions now? We never had to care about expressions in the past, so we don´t have any word on the expression list until now.

What´s wrong there?

We use "Reject invalid HELO / missing RDNS", "Greylisting" and "Perform SPF check" and the following RBLs:

bl.spamcop.net
psbl.surriel.com
cbl.abuseat.org
dnsbl.ahbl.org
dul.maps.vix.com
rbl.maps.vix.com
blackholes.mail-abuse.org


What else can we do?


This thread was automatically locked due to age.
Parents
  • 0
    Herman,  What spam are you seeing get through the CommTouch engine that Astaro currently uses?  Since the change to that in V7.3 (August 2008), about 97% of spam is quarantined/rejected in the sites where we have Mail Security.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Herman,  What spam are you seeing get through the CommTouch engine that Astaro currently uses?  Since the change to that in V7.3 (August 2008), about 97% of spam is quarantined/rejected in the sites where we have Mail Security.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Herman,  What spam are you seeing get through the CommTouch engine that Astaro currently uses?  Since the change to that in V7.3 (August 2008), about 97% of spam is quarantined/rejected in the sites where we have Mail Security.


    Hello Bob,

    All kinds off spam, Casino's, Slots, Poker, loan proposals etc.  Most of them are identified as spam on ip reputation by the Sonicwall server but also phishing mail passes the Astaro and gets filtered by the sonicwall machine.

    on an average day about 100 spam e-mails would slip through the Astaro to about 125 users. In combination with Sonicwall, users won't receive a single spam message in weeks or months. The downside is that i have more false positives.

    Herman
  • 0 in reply to BAlfson
    What spam are you seeing get through the CommTouch engine that Astaro currently uses?  Since the change to that in V7.3 (August 2008), about 97% of spam is quarantined/rejected in the sites where we have Mail Security.


    So, Bob, here is some purely anecdotal evidence of "leaky spam" (and we all know that anecdotal evidence is just that!).

    For the record, this post will serve as a validation that having to turn off rDNS was allowing spam to just POUR in (which also points to some deficiencies in CommTouch in my opinion).

    A few days ago (one of my 7:00 a.m. week day quarantine reports chosen totally at random), before you posted your fix for the rDNS issue, my quarantine report stats for 24 hours were:


    Statistics last 24 hours
    Total Emails: 929
    Delivered: 335 (36%)
    Rejected: 18 (2%)
    Blackholed: 0 (0%)
    Quarantined: 576 (62%)

    And by the way, this was typical for the time when I had rDNS turned off.  About 36% to as much as 40% of mail delivered to me, and almost no mail rejected.

    Today's report:

    Statistics last 24 hours
    Total Emails: 988
    Delivered: 326 (32%)
    Rejected: 246 (24%)
    Blackholed: 0 (0%)
    Quarantined: 416 (42%)

    Since the "fix", the delivered numbers have been in the 28%-32% range.  IF one were to correlate the increase in rejected email to the drop in delivered mail percentages, it would indicate that about 6%-8% of my mail was spam that was not being caught by the CommTouch system.  Just taking these two reports, and not any other averages, it would be more like 4%.

    So, now that rDNS is back on, my "junk" has reduced from about 40 messages a day (it was really annoying me) down to about a dozen (I can tolerate).  At a dozen, I'm really close to a 98% effective rate.  BUT, having another 25-30 messages leak through a day because they weren't being blocked by rDNS means that CommTouch let them through!

    Danita
Cookie Information Banner