none
Evitare di finire in SPAM con Exchange 2010 RRS feed

  • Domanda

  • Salve a tutti, 

    vi scrivo perchè da un pò di tempo qui in azienda abbiamo parecchi problemi di posta e spero qualcuno mi possa aiutare. Il problema è che molte email che noi inviamo spesso vengono rifiutate dai server destinatari (alle volte viene restituito il messaggio con il motivo, altre volte l'emai viene cestinata automaticamente e senza alcuna comunicazione). volevo sapere se utilizzando Exchange 2010 c'era un modo per controllare la mail prima che partisse, in modo da avere, non dico la certezza, ma un' alta probabiltà che non sia considerata spam.. 

     

    Grazie in anticipo 

    venerdì 9 settembre 2011 12:46

Risposte

  • Innanzitutto grazie,

    Di nulla :) !

    1) si è un mailserver aziendale

    Ok, scusa la domanda ma era importante saperlo; ora sarebbe utile capire chi è che gestisce tale server dato che molto probabilmente, la soluzione a tale problema richiederà la modifica di alcune impostazioni di configurazione

    2) purtroppo non posso accedere al firewall in quanto è del nostro fornitore di connettività e per ogni modifica devo contattare loro

    MALE, MOLTO MALE; la prima cosa da fare, secondo me, è installare un vostro firewall "a valle" di quello del provider in modo da avere un controllo diretto su ciò che deciderete di far passare o bloccare e di avere dei logs che vi permettano di risolvere eventuali problemi o controllare qualsivoglia informazione relativa al traffico

    3) non c'è nessun tipo di filtraggio antispam ho disattivato qualsiasi regola antispam di Exchange

    Di male in peggio, in questo modo non solo state lasciando che l'immondizia invada le mailboxes dei vostri utenti causando perdite di tempo e mettendo a rischio la sicurezza della rete (basterebbe una mail contenente un link a qualche malware) ma state anche facendo fare del lavoro inutile al mailserver (e sprecando inutilmente banda) per ricevere emails "spam"; mi chiedo per quale motivo abbiate configurato le cose in questo modo

    4) i messaggi di errore più comuni sono ( aa012msb.fastweb.it ha rifiutato il messaggio inviato ai seguenti indirizzi di posta elettronica:

    [...]

    Un reject di tale tipo da parte di fastweb ha un solo significato; la vostra rete è infestata da malware ed il vostro server sta generando tonnellate di messaggi "spazzatura"

    Il problema è che finché mi torna indietro qualche errore posso pure tentare di fare modifiche, ma spesso la mail viene scartata e non mi viene comunicato (qui si possono immaginare i problemi che vengono fuori)

    Credo che i problemi siano ben altri; direi che, prima di poter risolvere il problema relativo al "reject" delle email, sarebbe il caso di implementare un firewall locale, impostare regole opportune sullo stesso, effettuare una verifica approfondita sulla rete allo scopo di ripulire macchine infette ed al termine (e solo al termine) si potrà affrontare il problema in oggetto.

    Mi dispiace per quanto sopra, ma, dati i presupposti (o quantomeno ciò che hai scritto), non vedo altra soluzione al problema, certo, qualcuno potrebbe proporre dei "workaround", ma sarebbero solo dei palliativi e, prima o poi, ti ritroveresti con gli stessi problemi.

     

    • Proposto come risposta Anca Popa giovedì 15 settembre 2011 12:29
    • Contrassegnato come risposta Anca Popa venerdì 16 settembre 2011 08:01
    venerdì 9 settembre 2011 13:50
  • Già che ci siamo, alcune "semplici" regole per evitare problemi con il servizio "email"

    Bloccare a livello di firewall perimetrale l'uscita verso la porta 25/TCP di hosts esterni permettendo tale accesso solo al mailserver (exchange); in tal modo eventuali computers "infettati da malware" non riusciranno ad inviare email "direct-to-mx" e, se tentassero l'invio tramite "exchange" sarebbero identificabili usando i logs del mailserver (se invece tentassero l'invio diretto, potresti identificarli tramite i logs del firewall)

    Bloccare a livello di firewall perimetrale l'uscita verso le porte 53/UDP e 53/TCP di hosts esterni permettendo tale accesso solo ai DNS di rete; in questo modo un eventuale "malware" non sarà in grado di effettuare risoluzioni nomi dirette, inoltre i logs del firewall potranno fornire informazioni su eventuali sistemi mal configurati che tentino di usare DNS esterni invece di quelli della rete mentre quelli del DNS (se attivati) permetteranno di rintracciare eventuali hosts "sospetti"

    Assicurarsi di configurare correttamente le zone DNS pubbliche (forward e reverse) in modo che esistano le entries corrette (A ed MX) per il proprio mailserver e che la risoluzione inversa (PTR) ritorni il nome host corretto per il proprio mailserver

    Pubblicare se possibile un record SPF (senderID) nel DNS pubblico, ad esempio, anche un "normale" record contenente qualcosa del tipo "v=spf1 mx -all" potrebbe essere sufficiente (in caso di dubbi, qui trovi un "wizard" che permette la creazione di un record SPF/SenderID); questo eviterà problemi di "spoofing" ed aumenterà la "reputazione" del dominio e del mailserver :)

    Assicurarsi di configurare il "send connector" in modo che il nome usato in "HELO/EHLO" da Exchange corrisponda al nome usato per il record MX pubblico (e per il PTR di cui sopra); evitare che exchange si presenti al mondo come (es.) "srvexchg.dominio.local"

    Assicurarsi che esistano delle caselle (o alias) "postmaster" ed "abuse" e configurare le stesse in modo da inoltrare i messaggi a caselle postali monitorate da qualcuno (es. l'amministratore di rete); di norma, nel caso di emissione di spam o problemi, le segnalazioni relative agli stessi vengono inviate (anche da alcune DNSBL) a tali caselle ... ed in mancanza di una risposta, si finisce in blacklist :)

    Configurare il recipient filtering (e tarpitting) in modo da rifiutare i messaggi indirizzati a mailboxes inesistenti evitando inoltre di generare NDR

    Evitare per quanto possibile l'uso di "risponditori automatici" (OOF) dato che, se una email "spam" raggiungesse una mailbox per la quale è abilitato tale meccanismo, la risposta automatica non sarebbe altro che... un'altra forma di "backscatter"; al limite abilitare il meccanismo "OOF" solo per gli indirizzi locali o per indirizzi "noti" (es. presenti nell'elenco indirizzi)

    Configurare l'eventuale antivirus in modo da rifiutare le emails infette (errore SMTP 5xx) evitando assolutamente di generare messaggi di avviso "il messaggio è stato rifiutato dato che contiene il virus.." dato che anche tali messaggi (che alla fine sono un'altra forma di NDR) saranno nel 99.99999% dei casi puro e semplice backscatter; se proprio si vogliono inviare tali alerts, inviarli solo all'admin di rete

    Assicurarsi di configurare per bene i vari filtri antispam; al minimo quello basato su DNS blacklists (e whitelists se si sta usando Exchange 2008) e quello relativo a SenderID/SPF

    E poi beh... ci sarebbe altro, ma credo che quanto sopra possa essere un buon inizio; per il resto, i due links che ho già postato nell'altro messaggio  dovrebbero (spero) fornire ulteriori informazioni.

     






    • Contrassegnato come risposta NexoIT mercoledì 21 settembre 2011 15:01
    • Modificato ObiWan mercoledì 21 settembre 2011 15:45
    mercoledì 21 settembre 2011 14:40
  • allora ho fatto il check come da te scritto e mi sono trovato listato per la seconda volta in Backscatterer.org 

    [...]


    Il problema è che è già la seconda volta in due mesi che finisco in questa lista...da che pensi sia dovuto??

    Il motivo dell'inclusione è chiaramente spiegato sul sito "backscatterer" ma evidentemente non ti è stato chiaro o non hai letto attentamente; quella lista contiene IP che, a causa di una configurazione sballata, generano "backscatter" (alias "bounces"); ora, per evitare tale tipo di problema dovrai controllare prima di tutto che il "Recipient Filtering" sia configurato nel tuo exchange (idem per il "tarpitting"); inoltre, se stai usando un antivirus per filtrare le emails, dovrai assicurarsi che lo stesso NON sia configurato in modo da inviare ai "mittenti" (fasulli) di tali emails infette messaggi del tipo "Il tuo messaggio è stato rifiutato perchè contenente il virus XYZ"; tali messaggi non sono altro che bounces diretti a mailboxes i cui mittenti non hanno MAI inviato il messaggio in questione (si tratta di "spoofing"); quindi, assicurati che l'antivirus RIFIUTI i messaggi infetti e comunque EVITA di generare "NDR"; il motivo di tutto questo (ed il motivo per cui sei in backscatterer) è spiegato piuttosto bene qui

    ciao

     

    • Contrassegnato come risposta NexoIT mercoledì 21 settembre 2011 13:52
    mercoledì 21 settembre 2011 13:25
  • Grazie la tua risposta ora forse posso risolvere il problema,

    avevo capito che cosa sono gli spoofing ma non sapevo come potessi generarli (anche perchè credo che ti blocchino per un invio massivo a destinatari intesistenti e non per un singolo "errore").

    Comunque grazie ancora per la spiegazione, putroppo chiediamo aiuto al forum proprio per farci consigliare da gente esperta come te, se fossimo già tutti "imparati" (passami il termine) non avremmo bisogno.

    Forse mi hai frainteso, il mio non era un rimprovero, semplicemente un tentativo di spiegarti meglio (visto che la pagina di backscatterer forse non era stata chiara) cosa fosse il backscatter e per quale motivo il tuo server fosse finito in quella lista, nulla di più :) !

    In qualsiasi caso... se avessi altri problemi... credo che coloro che frequentano questi forums (incluso il sottoscritto) potranno aiutarti a risolverli; ti lascio con un paio di links, ossia questo e questo che, spero, potranno aiutarti a configurare per bene il tuo exchange evitando di finire in blacklist e... riducendo l'ammontare di "spam" in arrivo (cosa che non fa mai male) :)

    Ciao

     

    • Contrassegnato come risposta NexoIT mercoledì 21 settembre 2011 15:08
    mercoledì 21 settembre 2011 14:14

Tutte le risposte

  • vi scrivo perchè da un pò di tempo qui in azienda abbiamo parecchi problemi di posta e spero qualcuno mi possa aiutare. Il problema è che molte email che noi inviamo spesso vengono rifiutate dai server destinatari (alle volte viene restituito il messaggio con il motivo, altre volte l'emai viene cestinata automaticamente e senza alcuna comunicazione). volevo sapere se utilizzando Exchange 2010 c'era un modo per controllare la mail prima che partisse, in modo da avere, non dico la certezza, ma un' alta probabiltà che non sia considerata spam.. 

    Scusa se sono laconico ma le seguenti informazioni sono fondamentali

    1. Si tratta di un mailserver aziendale (LAN <-> Internet) ?

    2. Hai la possibilità di modificare direttamente le impostazioni del firewall e del DNS (pubblico) ?

    3. Hai qualche tipo di filtraggio antispam/antivirus installato/configurato ?

    4. Quali sono i messaggi di errore ritornati in caso di rifiuto delle vostre emails ?

    5. Controlla qui immettendo l'indirizzo IP pubblico usato per SPEDIRE le vostre emails

    6. Quale tipo di verifiche/modifiche hai fatto ?

    grazie

     

    venerdì 9 settembre 2011 12:56
  • Innanzitutto grazie,

    allora rispondendo in ordine:

    1) si è un mailserver aziendale

    2) purtroppo non posso accedere al firewall in quanto è del nostro fornitore di connettività e per ogni modifica devo contattare loro

    3) non c'è nessun tipo di filtraggio antispam ho disattivato qualsiasi regola antispam di Exchange

    4) i messaggi di errore più comuni sono ( aa012msb.fastweb.it ha rifiutato il messaggio inviato ai seguenti indirizzi di posta elettronica:

     

     indirizzo@dominio.com (indirizzo@dominio.com) <mail to:indirizzo@dominio.com>

     

     aa012msb.fastweb.it ha restituito questo errore:

     

    Message refused

    5)Controllando il mio ip ho visto che sono in una lista spam (colore rosso): Backscatterer.org 

    6) Spesso ho risolto eliminando immagini oppure scrivendo da 0 il messaggio (quindi evitando di fare rispondi o inoltra)

     

    Il problema è che finché mi torna indietro qualche errore posso pure tentare di fare modifiche, ma spesso la mail viene scartata e non mi viene comunicato (qui si possono immaginare i problemi che vengono fuori)

     

    Grazie

    venerdì 9 settembre 2011 13:35
  • Innanzitutto grazie,

    Di nulla :) !

    1) si è un mailserver aziendale

    Ok, scusa la domanda ma era importante saperlo; ora sarebbe utile capire chi è che gestisce tale server dato che molto probabilmente, la soluzione a tale problema richiederà la modifica di alcune impostazioni di configurazione

    2) purtroppo non posso accedere al firewall in quanto è del nostro fornitore di connettività e per ogni modifica devo contattare loro

    MALE, MOLTO MALE; la prima cosa da fare, secondo me, è installare un vostro firewall "a valle" di quello del provider in modo da avere un controllo diretto su ciò che deciderete di far passare o bloccare e di avere dei logs che vi permettano di risolvere eventuali problemi o controllare qualsivoglia informazione relativa al traffico

    3) non c'è nessun tipo di filtraggio antispam ho disattivato qualsiasi regola antispam di Exchange

    Di male in peggio, in questo modo non solo state lasciando che l'immondizia invada le mailboxes dei vostri utenti causando perdite di tempo e mettendo a rischio la sicurezza della rete (basterebbe una mail contenente un link a qualche malware) ma state anche facendo fare del lavoro inutile al mailserver (e sprecando inutilmente banda) per ricevere emails "spam"; mi chiedo per quale motivo abbiate configurato le cose in questo modo

    4) i messaggi di errore più comuni sono ( aa012msb.fastweb.it ha rifiutato il messaggio inviato ai seguenti indirizzi di posta elettronica:

    [...]

    Un reject di tale tipo da parte di fastweb ha un solo significato; la vostra rete è infestata da malware ed il vostro server sta generando tonnellate di messaggi "spazzatura"

    Il problema è che finché mi torna indietro qualche errore posso pure tentare di fare modifiche, ma spesso la mail viene scartata e non mi viene comunicato (qui si possono immaginare i problemi che vengono fuori)

    Credo che i problemi siano ben altri; direi che, prima di poter risolvere il problema relativo al "reject" delle email, sarebbe il caso di implementare un firewall locale, impostare regole opportune sullo stesso, effettuare una verifica approfondita sulla rete allo scopo di ripulire macchine infette ed al termine (e solo al termine) si potrà affrontare il problema in oggetto.

    Mi dispiace per quanto sopra, ma, dati i presupposti (o quantomeno ciò che hai scritto), non vedo altra soluzione al problema, certo, qualcuno potrebbe proporre dei "workaround", ma sarebbero solo dei palliativi e, prima o poi, ti ritroveresti con gli stessi problemi.

     

    • Proposto come risposta Anca Popa giovedì 15 settembre 2011 12:29
    • Contrassegnato come risposta Anca Popa venerdì 16 settembre 2011 08:01
    venerdì 9 settembre 2011 13:50
  • Ciao Nexo,

    Non abbiamo ricevuto aggiornamenti in seguito ai consigli di Obi.

    Possiamo considerare risolto il tuo quesito?

    Grazie in anticipo di un tuo riscontro,


    Anca Popa Follow ForumTechNetIt on Twitter

    Come inserire immagini nei post

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    giovedì 15 settembre 2011 12:29
  • Ciao Nexo,

    Non abbiamo ricevuto aggiornamenti in seguito ai consigli di Obi.

    Possiamo considerare risolto il tuo quesito?

    Grazie in anticipo di un tuo riscontro,

    Anca... indipendentemente dal "chi" abbia ricevuto la "segnalazione come risposta"; mi sembra che la casistica alla quale facevo riferimento tempo addietro, ossia, se vogliamo, quella del "mordi e fuggi" (posta la domanda, raccogli quanti più suggerimenti, risolvi e ... te ne vai senza feedback) sia un qualcosa di sempre più evidente; questo è purtroppo dovuto, come ho già scritto in passato, al fatto che non esista un "feedback negativo" il che significa che, coloro che "chiedono, leggono e se ne vanno" continueranno ad aumentare; non che sia un problema, ma la cosa, alla lunga, potrebbe rappresentarlo dato che chi risponde, "perderà tempo" nel rispondere a qualcuno che, alla fine, non fornendo feedback, non permetterà di aiutare veramente altri utenti con problemi simili... il che allo stesso tempo va a detrimento del valore dei forums

     

    giovedì 15 settembre 2011 12:49
  • Ciao,

    chiedo scusa innanzi tutto per la mia assenza ma ho avuto altri problemi da risolvere in questo lasso di tempo. Non sono della categoria "mordi e fuggi" e putroppo il fatto che non mi arrivano notifiche una volta avuta risposta non mi aiuta.

    Comunque tornando al quesito volevo ringraziarti di nuovo ed aggiungere due cose:

    1) Le regole anti spam le avevo disattivate momentaneamente per vedere se fossero la causa della perdita di email

    2) forse ho capito che il problema è causato dalla mia firma digitale nelle email, ho provato ad inviare alcune email senza e per ora il risultato sembra essere positivo

    Sto comunque in fase di "monitorazione" ed aggiungerò nuovi dettagli una volta risolto il problema

    chiedo scusa di nuovo e ringrazio per l'aiuto

     

    mercoledì 21 settembre 2011 12:07
  • Ciao,

    Eilà, SALVE !

    chiedo scusa innanzi tutto per la mia assenza ma ho avuto altri problemi da risolvere in questo lasso di tempo. Non sono della categoria "mordi e fuggi" e putroppo il fatto che non mi arrivano notifiche una volta avuta risposta non mi aiuta.

    Sono contento che sia così e ti prego di non sentirti offeso per quanto ho scritto; il problema è che ci sono molti che hanno un comportamento come quello che ho descritto e che, con tale comportamento, causano anche indirettamente se vogliamo, un danno all'intera "community"; ad ogni modo, come ho già scritto, sono contento che tu sia "tornato", ora... bando alle ciance e torniamo al problema

    Comunque tornando al quesito volevo ringraziarti di nuovo ed aggiungere due cose:

    1) Le regole anti spam le avevo disattivate momentaneamente per vedere se fossero la causa della perdita di email

    2) forse ho capito che il problema è causato dalla mia firma digitale nelle email, ho provato ad inviare alcune email senza e per ora il risultato sembra essere positivo

    Sto comunque in fase di "monitorazione" ed aggiungerò nuovi dettagli una volta risolto il problema

    Per quanto riguarda #1 mi permetto di suggerirti di evitare tale "insano approccio", assomiglia molto a quelli di coloro che, per risolvere un dato problema, disattivano il firewall e poi, non contenti, attivano l'account "guest" dandogli accesso all'intero filesystem :) - non credo che una prassi del genere sia sana o salutare; al limite, volendo effettuare qualche test in tal senso, sarebbe stato sufficiente escludere dal filtraggio "spam" alcune mailboxes... e comunque, vi sono altre procedure per verificare ed identificare i problemi (non ti offendere, ti prego, ma credo fosse doveroso scriverlo); detto ciò

    Mi sembra strano quanto riporti in #2 ossia che il problema fosse dovuto alla tua "firma digitale"; nel caso, a meno di una qualche colossale svista, sarebbe la prima volta che un mailserver rifiuta un messaggio poichè lo stesso è firmato !

    Prova, per favore, ad immettere qui l'indirizzo IP (pubblico) del tuo mailserver cliccando poi il bottone "send"; pazienta un pochino (dato che i checks potrebbero richiedere un certo tempo) e poi controlla se l'IP in questione sia stato inserito in una qualche blacklist e, nel caso, in quale (e segui anche i vari links dato che ti permetteranno di capire per quale motivo l'IP sia listato ed eventualmente di procedere ad una rimozione)

    Fai sapere

    ciao e grazie ancora per il feedback

    [edit]

    Dimenticavo, il tool di "check delle blacklist" interroga anche blacklists che... nessuno userebbe mai (a meno di non essere completamente pazzo) tipo ad esempio UCEPROTECT (ed altre); quindi, nel caso in cui il listing fosse relativo a liste estremamente aggressive (e non affidabili), non dovrai preoccuparti; del resto, solo un ignorante totale userebbe quelle liste di blocco

     

    • Modificato ObiWan mercoledì 21 settembre 2011 12:43
    mercoledì 21 settembre 2011 12:40
  • Eccomi qua,

    allora ho fatto il check come da te scritto e mi sono trovato listato per la seconda volta in Backscatterer.org 

    Ho visto che per la rimozione avviene in maniera gratuita il 7/10/11 e solo pagando posso uscirne subito.


    Il problema è che è già la seconda volta in due mesi che finisco in questa lista...da che pensi sia dovuto??

    mercoledì 21 settembre 2011 13:07
  • allora ho fatto il check come da te scritto e mi sono trovato listato per la seconda volta in Backscatterer.org 

    [...]


    Il problema è che è già la seconda volta in due mesi che finisco in questa lista...da che pensi sia dovuto??

    Il motivo dell'inclusione è chiaramente spiegato sul sito "backscatterer" ma evidentemente non ti è stato chiaro o non hai letto attentamente; quella lista contiene IP che, a causa di una configurazione sballata, generano "backscatter" (alias "bounces"); ora, per evitare tale tipo di problema dovrai controllare prima di tutto che il "Recipient Filtering" sia configurato nel tuo exchange (idem per il "tarpitting"); inoltre, se stai usando un antivirus per filtrare le emails, dovrai assicurarsi che lo stesso NON sia configurato in modo da inviare ai "mittenti" (fasulli) di tali emails infette messaggi del tipo "Il tuo messaggio è stato rifiutato perchè contenente il virus XYZ"; tali messaggi non sono altro che bounces diretti a mailboxes i cui mittenti non hanno MAI inviato il messaggio in questione (si tratta di "spoofing"); quindi, assicurati che l'antivirus RIFIUTI i messaggi infetti e comunque EVITA di generare "NDR"; il motivo di tutto questo (ed il motivo per cui sei in backscatterer) è spiegato piuttosto bene qui

    ciao

     

    • Contrassegnato come risposta NexoIT mercoledì 21 settembre 2011 13:52
    mercoledì 21 settembre 2011 13:25
  • Grazie la tua risposta ora forse posso risolvere il problema,

    avevo capito che cosa sono gli spoofing ma non sapevo come potessi generarli (anche perchè credo che ti blocchino per un invio massivo a destinatari intesistenti e non per un singolo "errore").

    Comunque grazie ancora per la spiegazione, putroppo chiediamo aiuto al forum proprio per farci consigliare da gente esperta come te, se fossimo già tutti "imparati" (passami il termine) non avremmo bisogno.

    Ora penso di avere le informazioni sufficenti per affrontare, e risolvere, in maniera autonoma il problema. Se ciò non fosse mi permetto di chiederti nuovamente aiuto..ma spero di no!

     

    Ciao

    mercoledì 21 settembre 2011 13:51
  • Grazie la tua risposta ora forse posso risolvere il problema,

    avevo capito che cosa sono gli spoofing ma non sapevo come potessi generarli (anche perchè credo che ti blocchino per un invio massivo a destinatari intesistenti e non per un singolo "errore").

    Comunque grazie ancora per la spiegazione, putroppo chiediamo aiuto al forum proprio per farci consigliare da gente esperta come te, se fossimo già tutti "imparati" (passami il termine) non avremmo bisogno.

    Forse mi hai frainteso, il mio non era un rimprovero, semplicemente un tentativo di spiegarti meglio (visto che la pagina di backscatterer forse non era stata chiara) cosa fosse il backscatter e per quale motivo il tuo server fosse finito in quella lista, nulla di più :) !

    In qualsiasi caso... se avessi altri problemi... credo che coloro che frequentano questi forums (incluso il sottoscritto) potranno aiutarti a risolverli; ti lascio con un paio di links, ossia questo e questo che, spero, potranno aiutarti a configurare per bene il tuo exchange evitando di finire in blacklist e... riducendo l'ammontare di "spam" in arrivo (cosa che non fa mai male) :)

    Ciao

     

    • Contrassegnato come risposta NexoIT mercoledì 21 settembre 2011 15:08
    mercoledì 21 settembre 2011 14:14
  • Già che ci siamo, alcune "semplici" regole per evitare problemi con il servizio "email"

    Bloccare a livello di firewall perimetrale l'uscita verso la porta 25/TCP di hosts esterni permettendo tale accesso solo al mailserver (exchange); in tal modo eventuali computers "infettati da malware" non riusciranno ad inviare email "direct-to-mx" e, se tentassero l'invio tramite "exchange" sarebbero identificabili usando i logs del mailserver (se invece tentassero l'invio diretto, potresti identificarli tramite i logs del firewall)

    Bloccare a livello di firewall perimetrale l'uscita verso le porte 53/UDP e 53/TCP di hosts esterni permettendo tale accesso solo ai DNS di rete; in questo modo un eventuale "malware" non sarà in grado di effettuare risoluzioni nomi dirette, inoltre i logs del firewall potranno fornire informazioni su eventuali sistemi mal configurati che tentino di usare DNS esterni invece di quelli della rete mentre quelli del DNS (se attivati) permetteranno di rintracciare eventuali hosts "sospetti"

    Assicurarsi di configurare correttamente le zone DNS pubbliche (forward e reverse) in modo che esistano le entries corrette (A ed MX) per il proprio mailserver e che la risoluzione inversa (PTR) ritorni il nome host corretto per il proprio mailserver

    Pubblicare se possibile un record SPF (senderID) nel DNS pubblico, ad esempio, anche un "normale" record contenente qualcosa del tipo "v=spf1 mx -all" potrebbe essere sufficiente (in caso di dubbi, qui trovi un "wizard" che permette la creazione di un record SPF/SenderID); questo eviterà problemi di "spoofing" ed aumenterà la "reputazione" del dominio e del mailserver :)

    Assicurarsi di configurare il "send connector" in modo che il nome usato in "HELO/EHLO" da Exchange corrisponda al nome usato per il record MX pubblico (e per il PTR di cui sopra); evitare che exchange si presenti al mondo come (es.) "srvexchg.dominio.local"

    Assicurarsi che esistano delle caselle (o alias) "postmaster" ed "abuse" e configurare le stesse in modo da inoltrare i messaggi a caselle postali monitorate da qualcuno (es. l'amministratore di rete); di norma, nel caso di emissione di spam o problemi, le segnalazioni relative agli stessi vengono inviate (anche da alcune DNSBL) a tali caselle ... ed in mancanza di una risposta, si finisce in blacklist :)

    Configurare il recipient filtering (e tarpitting) in modo da rifiutare i messaggi indirizzati a mailboxes inesistenti evitando inoltre di generare NDR

    Evitare per quanto possibile l'uso di "risponditori automatici" (OOF) dato che, se una email "spam" raggiungesse una mailbox per la quale è abilitato tale meccanismo, la risposta automatica non sarebbe altro che... un'altra forma di "backscatter"; al limite abilitare il meccanismo "OOF" solo per gli indirizzi locali o per indirizzi "noti" (es. presenti nell'elenco indirizzi)

    Configurare l'eventuale antivirus in modo da rifiutare le emails infette (errore SMTP 5xx) evitando assolutamente di generare messaggi di avviso "il messaggio è stato rifiutato dato che contiene il virus.." dato che anche tali messaggi (che alla fine sono un'altra forma di NDR) saranno nel 99.99999% dei casi puro e semplice backscatter; se proprio si vogliono inviare tali alerts, inviarli solo all'admin di rete

    Assicurarsi di configurare per bene i vari filtri antispam; al minimo quello basato su DNS blacklists (e whitelists se si sta usando Exchange 2008) e quello relativo a SenderID/SPF

    E poi beh... ci sarebbe altro, ma credo che quanto sopra possa essere un buon inizio; per il resto, i due links che ho già postato nell'altro messaggio  dovrebbero (spero) fornire ulteriori informazioni.

     






    • Contrassegnato come risposta NexoIT mercoledì 21 settembre 2011 15:01
    • Modificato ObiWan mercoledì 21 settembre 2011 15:45
    mercoledì 21 settembre 2011 14:40
  • Be più di così non posso chiedere, non posso che ringraziarti segnalando le tue risposte e mettermi subito al lavoro...
    mercoledì 21 settembre 2011 15:01
  • Be più di così non posso chiedere, non posso che ringraziarti segnalando le tue risposte e mettermi subito al lavoro...

    Grazie per il feedback e.... fai sapere ! Ed ovviamente, in caso di dubbi o problemi, sai dove chiedere :D

     

    mercoledì 21 settembre 2011 15:13