Too much spam passes Astaro since v8

What spam are you seeing get through the CommTouch engine that Astaro currently uses?  Since the change to that in V7.3 (August 2008), about 97% of spam is quarantined/rejected in the sites where we have Mail Security.

So, Bob, here is some purely anecdotal evidence of "leaky spam" (and we all know that anecdotal evidence is just that!).

For the record, this post will serve as a validation that having to turn off rDNS was allowing spam to just POUR in (which also points to some deficiencies in CommTouch in my opinion).

A few days ago (one of my 7:00 a.m. week day quarantine reports chosen totally at random), before you posted your fix for the rDNS issue, my quarantine report stats for 24 hours were:


Statistics last 24 hours
Total Emails: 929
Delivered: 335 (36%)
Rejected: 18 (2%)
Blackholed: 0 (0%)
Quarantined: 576 (62%)

And by the way, this was typical for the time when I had rDNS turned off.  About 36% to as much as 40% of mail delivered to me, and almost no mail rejected.

Today's report:

Statistics last 24 hours
Total Emails: 988
Delivered: 326 (32%)
Rejected: 246 (24%)
Blackholed: 0 (0%)
Quarantined: 416 (42%)

Since the "fix", the delivered numbers have been in the 28%-32% range.  IF one were to correlate the increase in rejected email to the drop in delivered mail percentages, it would indicate that about 6%-8% of my mail was spam that was not being caught by the CommTouch system.  Just taking these two reports, and not any other averages, it would be more like 4%.

So, now that rDNS is back on, my "junk" has reduced from about 40 messages a day (it was really annoying me) down to about a dozen (I can tolerate).  At a dozen, I'm really close to a 98% effective rate.  BUT, having another 25-30 messages leak through a day because they weren't being blocked by rDNS means that CommTouch let them through!

Danita

Here are my personal results for yesterday:

Total received for me: 101
Delivered: 73
Rejected: 25 (8 for RDNS/HELO, 14 for RBL and 3 "confirmed spam")
Quarantined: 3

Of the 73 delivered, five were "advance-fee fraud (Nigerian 419)" sent from a reputable mail service (Yahoo, etc.).  Those are almost the only spam I ever see.  Most of them get through.  So, for me, outside of the Nigerian scams, I see about one spam email in 400 received emails.

Cheers - Bob

About 2 months or somtething ago, we are getting a lot of spam.
My configuration did not change.
I read this whole thread and added some rbl's:

list.dsbl.org
zen.spamhaus.org
cbl.abuseat.org
b.barracudacentral.org

And I enabled batv.

But still a lot passes.

The biggest problem is in messages which are being send from our own e-mail addresses: e.g. From:  To: 
I can not blacklist my own domain of course...

Received: from [178.122.41.32] (178.122.41.32) by mailserver.dummydomain.nl

 (172.22.0.32) with Microsoft SMTP Server id 14.1.339.1; Fri, 25 Nov 2011

 09:40:07 +0100

Received: from  178.122.41.32 (account  HELO dummydomain.nl)	by

 dummydomain.nl (CommuniGate Pro SMTP 5.2.3)	with ESMTPA id 845883323 for

 ; Fri, 25 Nov 2011 10:40:07 +0200

From: 

To: 

Subject: Deeltijdarbeid

Date: Fri, 25 Nov 2011 10:40:07 +0200

MIME-Version: 1.0

Content-Type: text/plain; charset="iso-8859-1"

Content-Transfer-Encoding: 7bit

X-Mailer: kimvomszdi 98

Message-ID: 

Return-Path: 0-nire@ashland.com

X-MS-Exchange-Organization-AuthSource: mailserver.dummydomain.nl

X-MS-Exchange-Organization-AuthAs: Anonymous

X-EsetId: 130FCC21BAB53F30424F92

How can I prevent this kind of messages passing?

About 2 months or somtething ago, we are getting a lot of spam.
My configuration did not change.
I read this whole thread and added some rbl's:

list.dsbl.org
zen.spamhaus.org
cbl.abuseat.org
b.barracudacentral.org

And I enabled batv.

But still a lot passes.

The biggest problem is in messages which are being send from our own e-mail addresses: e.g. From:  To: 
I can not blacklist my own domain of course...


Received: from [178.122.41.32] (178.122.41.32) by mailserver.dummydomain.nl
(172.22.0.32) with Microsoft SMTP Server id 14.1.339.1; Fri, 25 Nov 2011
09:40:07 +0100
Received: from  178.122.41.32 (account  HELO dummydomain.nl) by
dummydomain.nl (CommuniGate Pro SMTP 5.2.3) with ESMTPA id 845883323 for
; Fri, 25 Nov 2011 10:40:07 +0200
From: 
To: 
Subject: Deeltijdarbeid
Date: Fri, 25 Nov 2011 10:40:07 +0200
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Mailer: kimvomszdi 98
Message-ID: 
Return-Path: 0-nire@ashland.com
X-MS-Exchange-Organization-AuthSource: mailserver.dummydomain.nl
X-MS-Exchange-Organization-AuthAs: Anonymous
X-EsetId: 130FCC21BAB53F30424F92


How can I prevent this kind of messages passing?

BATV works only, if you are relaying outgoing mails via ASG, otherwise mails gets not signed. You also should change the BATV secret under smtp / advanced fro "unset" to a custom value as "brufhdnezvu65757mwz" or something like that...a unique string...

Sent from my iPad using Astaro.org (finally got One)

Have you enabled RDNS/HELO?  That should block such emails.  If it doesn't then you have whitelisted your domain, but that shouldn't be necessary.  If you remove your domain from whitelisting, and some emails are incorrectly blocked, there's probably an easy solution.

Cheers - Bob

Have you enabled RDNS/HELO?  That should block such emails.  If it doesn't then you have whitelisted your domain, but that shouldn't be necessary.  If you remove your domain from whitelisting, and some emails are incorrectly blocked, there's probably an easy solution.

Cheers - Bob

@Sascha Paris: Thanks! I missed that unset on the advaced tab.
Put a secret key in it.

@Bob:
Yes, my settings are:
enabled Reject invalid HELO / missing RDNS
enabled Use Greylisting
enabled Use BATV
disabled Perform SPF check

I have only 2 e-mail addresses in my whitelist on the exceptions tab, both of them are outside my domains.

@Sascha Paris: Thanks! I missed that unset on the advaced tab.
Put a secret key in it.

@Bob:
Yes, my settings are:
enabled Reject invalid HELO / missing RDNS
enabled Use Greylisting
enabled Use BATV
disabled Perform SPF check

I have only 2 e-mail addresses in my whitelist on the exceptions tab, both of them are outside my domains.

Hi folks,
thanks for helping!

I think I have found the cause of my spam.

I recently build a new asg and followed the wizzard for once in a lazy mood.

Testing the firewall using a telnet client, on the first firewall wan address I got connected to the firewall. 
On the second wan address however I was routed to my internal mail server. On the dnat settings tab I found a dnat rule to route all email traffic (imap/pop/smtp) to my internal mail server.

I made a new service definition with only the imaps/pops in it and put that in the dnat rule. Now the second adress also routes port25 to the mail proxy.

I guess this will save me from a lot of spam!

We also have SPF activated, but it's not as important as RDNS.  Here are my personal stats over the last 24hrs:

SPF rejects: 3
Spam quarantined/rejected: 41
RBL rejects: 72
RDNS/HELO rejects: 210

Of the 54 delivered, two were spams.  One was a spam sent from a friend's AOL account that's been hacked (if you own any of their stock, sell it now) and the other was a Nigerian scam sent from a hacked account in Poland.

Cheers - Bob
PS We cross-posted Robin - glad you discovered the problem!

PS We cross-posted Robin - glad you discovered the problem!

I agree with you, in the past I had almost no spam at all.
I had only default rbls and greylisting enabled.
So maybe I can go back to those settings now that the mail is going through the asg again.

I am just curious about one thing: is it possible to block port 25 on the wan addresse where it's not needed? Just a drop rule in the firewall is not doing the job. Now I have seen the dnat sending traffic direct to my mail server I could just dnat the port to something non existent but that's just lame in my opinion.
Would there be a better way to do this?

I know the DNAT would work.  A Firewall rule using the "(Address)" object created by WebAdmin might work: 'Internet -> {ports 25 & 465} -> Additional Address (Address) : Drop'.  Does that work?

Cheers - Bob