Too much spam passes Astaro since v8

This is an example of the kind of spam that's gotten through ever since the change to CommTouch.  The sending mail server is trusted and has not been used for sending spam.  The message content does not fit a known pattern of spam.

Before the CommTouch engine (ctasd) was used, a lot more spam got past the SpamAssassin engine then used in Astaro, but it was more effective at stopping this kind of spam.

Cheers - Bob

This is an example of the kind of spam that's gotten through ever since the change to CommTouch.  The sending mail server is trusted and has not been used for sending spam.  The message content does not fit a known pattern of spam.

Before the CommTouch engine (ctasd) was used, a lot more spam got past the SpamAssassin engine then used in Astaro, but it was more effective at stopping this kind of spam.

Cheers - Bob

Ok, so you also get such kind of spam?

I get less than one a week of those, but, I get one or two related ones every day of the "Advance-fee fraud (Nigerian 419)" type.  They're related because the checksum of the messages hasn't yet been identified in the CommTouch database and the MTA that sends it to the Astaro has an IP with good reputation, also passing spf, RDNS/EHLO, etc.  In fact the message you got even passed your greylisting.

Cheers - Bob

For additional RBLs, I like:
cbl.abuseat.org
zen.spamhaus.org
b.barracudacentral.org

Be aware that spamhaus is now only free for low volume customers.

I was just looking at adding cbl.abuse.org and I saw in the FAQ that ther are wholly included in zen.spamhaus.org and highly recommend users use that instead.  looks like your doing double work with both?

I have to agree that we are getting much more spam since the CommTouch switch.  Also, the RDNS fiasco (where the change was made to have RDNS actually do FCrDNS causing many "properly" configured mail servers to fail the RDNS test) has increased the spam getting through as well.  I'm having to work much  harder at keeping happy users than I did in the past.

Danita

Danita, you mean you have more spam now than three years ago? (I think that was about the time of the switch to CommTouch).

And, we certainly agree about the FCrDNS change!  If your users have access to the User Portal, they should be able to whitelist addresses and domains.

Cheers - Bob

I was just looking at adding cbl.abuse.org and I saw in the FAQ that ther are wholly included in zen.spamhaus.org and highly recommend users use that instead. looks like your doing double work with both?

Good to know, thanks.  It isn't really doing double work, since if an IP address "hits" in one RBL, it won't be processed against the rest, since there's no need.

Danita, you mean you have more spam now than three years ago? (I think that was about the time of the switch to CommTouch).

No sorry - my fingers and brain were having "no coffee syndrome" and for some reason CommTouch got in there.  CommTouch has actually been quite good overall.  I was mostly whining about more recent things that slip through, which seem partly inexplicable, and MIGHT point to some CommTouch failings.

For example, just today I had to blacklist an entire domain for a user, because while obviously spam to a real human, these messages were getting through.  I also think that things like BATV and RDNS mask some of the deficiencies of CommTouch, because the messages are being blocked outright before having to be scanned.  That's one of the reasons why the RDNS issue has caused so much trouble.  Having to turn that off has actually pointed out some failings in CommTouch that might have been hidden otherwise.  I routinely now receive mail regarding casinos, cash advances, messages in foreign languages I can't read, offers to include me in suspect corporate directories, etc.  In fact all of these topics are messages I've received today.  In looking at the headers of these messages, almost all of them would have been caught by RDNS if I had been able to turn it on, but because we were dropping so much real mail with it on, I had to just give in and deal with the increased junk.  But in my mind, this shows that the rest of the system (i.e., CommTouch) isn't quite doing what it should be doing if these are getting through.  That said, I block close to 1000 messages that are destined to me each day, so what's a dozen or so spam messages among friends?

I've been in the "anti-spam" business for close to 15 years now, and there just seems to be no perfect system.  Every one of them has one or two "d'uh" moments where you just can't figure out why a particular type of message manages to get through.  You and I probably understand that intrinsically.  Users do not.  They just get annoyed.

I wrote a blog entry a couple of years ago (Danita's Desk » Blog Archive » McAfee Reports Spam/Botnets Through the Roof) that attempted to show users and admins how "one spam message for every two real messages" hitting an inbox might be seen as a huge anti-spam success story.  But in reality, users will never see it that way!

Danita

I don't have any spam email and i use the Astaro default RBL 
I recommend you to check your antispam and exception rules 

"Vagina" can't be spammed either in expression list 
otherwise gynecologist's will have to work with MORS code, not like us via emails
[[[:D]]][[[:D]]][[[:D]]]

I realize that too much spam passes the Astaro since (I think) v8.200.

Today I got a mail with the word "vagina" in subject. Do we need to care about expressions now? We never had to care about expressions in the past, so we don´t have any word on the expression list until now.

What´s wrong there?

We use "Reject invalid HELO / missing RDNS", "Greylisting" and "Perform SPF check" and the following RBLs:

bl.spamcop.net
psbl.surriel.com
cbl.abuseat.org
dnsbl.ahbl.org
dul.maps.vix.com
rbl.maps.vix.com
blackholes.mail-abuse.org

What else can we do?

did you disable the default RBLs? If yes, the commtouch RBLs are missing. I disabled the default RBLs, because I didn't like the grey.ctipd...... So I use following RBLs
black.rbl.ctipd.astaro.local
drone.abuse.ch
bl.spamcop.inet

But most Spam on my site will be catched by anyway RDNS/HELO checks.

Do you also have activated the "spam filter" options for spam and confirmed spam and also reject while transaction option?

I even do not use anymore greylisting due the delays on first time attempts. Works absolutely satisfying well.

Sent from my iPad using Astaro.org (finally got One)