Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2340 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM Blocking Some Emails?

GTS
We do not have the Sophos Mail protection component just the Network Security licensed. Last night I noticed we we're getting a lot of "attacks" on our mail server the the UTM aperently blocked. The Sig's are:
22115 SERVER-MAIL Metamail header length exploit attempt
22114 SERVER-MAIL Metamail header length exploit attempt
22111 SERVER-MAIL Metamail format string exploit attempt
22113 SERVER-MAIL Metamail header length exploit attempt

The hosts listed are generally trusted server or companies that we do a lot of business with.

Today we are getting complaints that certain Emails are not coming through where others are. I can imagine that this is the reason so I made a rule that disabled the SMTP intrusion prevention.

Is this a known issue? Are all UTM users having the same issue yesterday and today?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to MrBlankOne
    Ok it looks like it is working now. We have disabled the rule last night and every Email is coming in as normal. Here is the reply we received from Sophos:

    There was a faulty pattern update from Cyren, which the UTM uses to do live lookups for spam that was causing issues similar to what you describe. They have corrected the faulty pattern. Are you still getting blocks of legitimate email? If so I'd like to take a look at the logs and settings. Could you provide access to the web admin if you are still experiencing this? Thank you
  • 0 in reply to GTS
    There was a faulty pattern update from Cyren, which the UTM uses to do live lookups for spam that was causing issues similar to what you describe. They have corrected the faulty pattern. Are you still getting blocks of legitimate email? If so I'd like to take a look at the logs and settings. Could you provide access to the web admin if you are still experiencing this? Thank you


    I don't think the Cyren (CommTouch) spam patterns were related to this issue. The rules we've disabled are for IPS (Snort). Sounds like two different issues to me.