none
SPF ancora questo sconosciuto RRS feed

  • Domanda

  • Buongiono, letti e riletti i vari thread e link sull'argomento (giuro!) ancora lotto con la completa realizzazione di un controllo del senderid! :(

    Il mio scenario è Exchange 2010 sp1 monolitico con antispam nativo, ecco l'MX: 85.18.84.35

    DNS pubblico con SPF in FAIL : "v=spf1 mx -all" e "spf2.0/mfrom mx -all"

    Il dominio AD locale non è ovviamente quello pubblico: pippo.local con ip 172.20.0.0./23 (sistemista parsimonioso fu :))

    Detto ciò se attivo il sender id mi salta la lan, compreso un "banale"  Send-MailMessage direttamente dal server.

    "Diagnostics: DV:3.3.10923.460;SID:SenderIDStatus TempError", SCL=6

    1) Immagino di dover inserire nel dns locale l'SPF con aggiunta dell'IP locale, ma io non ho la zona pubblica pippo.it in locale

    Il Send-MailMessage si è presentato come: "ClientHostname: CRMAILER"... manca il dominio....

    2) Ho anche notato che Outlook 2010 non parla via smtp col server e i msg interni *non* sono loggati nell'agentlog? strano... Mi preoccupo?

    3) Come minimo mi saltano anche alcuni msg d'allarme che ho da device non in dominio, e.g. ups, blade, ecc...

    Sono riuscito a trasmettere la confusione che ho in testa?

    Intanto ringrazio chiunque sia arrivato sino a qui! Ciao pf

    martedì 31 gennaio 2012 11:59

Risposte

  • o in caso di 2010 http://technet.microsoft.com/en-us/library/bb125225.aspx.

    Se il server è monolitico (no Edge) con la console occorre andare in Server Configuration/Hub Transport (tab Anti-spam)

    Ops... mi era sfuggito il "dettaglio", scusami, mea culpa :( comunque si, quanto sopra è corretto; in pratica istruisci exchange in modo che sappia quali sono i "tuoi" hosts ed eviti di applicare i controlli

    Ottimo: la configurazione di un range di indirizzi privati NON preclude l'uso di un provider che li blocchi dall'esterno (e.g. bogons.cymru.com) da configurare in Organization Configuration.

    Corretto e... si, l'aggiunta della lista "bogon" è, a mio avviso, una buona idea; prima di tutto perchè eviterai di ricevere "immondizia" da blocchi IP sicuramente "sporchi" ed in secondo luogo perchè, nel caso in cui tu utilizzassi "fastweb" come ISP questo ti eviterà di ricevere connessioni da hosts infetti situati all'interno delle "MAN" di fastweb (ed il problema esiste, fidati, purtroppo FW lascia circolare tali IP anche verso gli IP block business :P !)

    p.s. non mi ero accorto di una tab anti-spam anche a livello server... non posso dire d'aver ben digerito la divisione Organization/Server, sento che è ottima e ben pensata, ma tanté... ;)

    Beh... un passo per volta :) e comunque è tutta esperienza da metter da parte e che credo/spero ti servirà in futuro; tornando al discorso "spam filtering" occhio a configurare sia le blacklists che le whitelists (vedi qui); per quanto riguarda le DNSBL assicurati di impostare il messaggio di reject come suggerito, relativamente alle DNSWL (whitelists) queste di permetteranno di evitare "falsi positivi" dato che se un IP è presente in una whitelist, Exchange eviterà di interrogare le DNSBL per tale IP, ergo, se una DNSBL diventa troppo "aggressiva" l'uso delle whitelist eviterà problemi :)

     p.p.s. ma come si altera la descrizione del link? :(

    Lo fai quando inserisci il link; evidenzi il testo, clicchi il bottoncino "link" e poi immetti l'URL, selezioni dove aprirlo (di solito è meglio "in un'altra finestra") ed inserisci la descrizione desiderata





    • Proposto come risposta Anca Popa giovedì 2 febbraio 2012 09:37
    • Modificato ObiWan giovedì 2 febbraio 2012 09:51
    • Contrassegnato come risposta Anca Popa martedì 7 febbraio 2012 09:42
    giovedì 2 febbraio 2012 09:21
  •  

    devi escludere la LAN dal filtraggio vedi qui e qui per informazioni; in buona sostanza dovrebbe essere sufficiente escludere il range di IP della LAN dal filtraggio per risolvere il problema



    • Modificato ObiWan martedì 31 gennaio 2012 12:28
    • Proposto come risposta Anca Popa giovedì 2 febbraio 2012 09:36
    • Contrassegnato come risposta Anca Popa martedì 7 febbraio 2012 09:42
    martedì 31 gennaio 2012 12:25

Tutte le risposte

  •  

    devi escludere la LAN dal filtraggio vedi qui e qui per informazioni; in buona sostanza dovrebbe essere sufficiente escludere il range di IP della LAN dal filtraggio per risolvere il problema



    • Modificato ObiWan martedì 31 gennaio 2012 12:28
    • Proposto come risposta Anca Popa giovedì 2 febbraio 2012 09:36
    • Contrassegnato come risposta Anca Popa martedì 7 febbraio 2012 09:42
    martedì 31 gennaio 2012 12:25
  • Non ci avevo pensato, che pirla!

    ... Però a quel punto le mail interne passeranno dal content filter? Potrebbero essere bloccate (a volte succede oggi), vorrei evitarlo.

    grazie Ben (se posso permettermi ;))

    p.s. il link per Server Intelligent Message Filter credo riferisca solo alle versioni precedenti di Exch...

    martedì 31 gennaio 2012 13:05
  • SPF 1 - mestesso 0 :-(

    persa la battaglia, banale parentesi negativa sono sicuro, ma continuo la guerra

    Mi chiedo, ma il dominio con cui interrogare il dns da dove viene estratto esattamente? HELO? (io ho solo nomecomputer)

    La send-mailmessage (from/to interni al dominio) è loggata con IP6 (e.g. IPAddress: fe80::84ed:1f4f:e3b7:359%13), non potrà mai corrispondere...

    martedì 31 gennaio 2012 14:40
  • p.s. il link per Server Intelligent Message Filter credo riferisca solo alle versioni precedenti di Exch...


    Ops... scusa; nel caso di 2007 devi inserire il range di indirizzi della tua subnet (172.20.0.0/23) nella "IP allow list" (vedi qui) in modo che gli hosts della LAN non siano soggetti ai controlli "spam" (DNSBL, SenderID...)

     

    mercoledì 1 febbraio 2012 08:48
  • Mi chiedo, ma il dominio con cui interrogare il dns da dove viene estratto esattamente? HELO? (io ho solo nomecomputer)

    SPF e senderID (in modalità "mfrom") lavorano come descritto qui in pratica utilizzano le informazioni di "envelope" ossia, IP del mittente, HELO/EHLO string e "MAIL FROM"; per ulteriori dettagli ed informazioni, vedi anche qui

     

    mercoledì 1 febbraio 2012 08:56
  • o in caso di 2010 http://technet.microsoft.com/en-us/library/bb125225.aspx.

    Se il server è monolitico (no Edge) con la console occorre andare in Server Configuration/Hub Transport (tab Anti-spam)

    Ottimo: la configurazione di un range di indirizzi privati NON preclude l'uso di un provider che li blocchi dall'esterno (e.g. bogons.cymru.com) da configurare in Organization Configuration.

    Mercì

    p.s. non mi ero accorto di una tab anti-spam anche a livello server... non posso dire d'aver ben digerito la divisione Organization/Server, sento che è ottima e ben pensata, ma tanté... ;)

     p.p.s. ma come si altera la descrizione del link? :(

     



    • Modificato pgfiore mercoledì 1 febbraio 2012 17:31
    mercoledì 1 febbraio 2012 17:26
  • o in caso di 2010 http://technet.microsoft.com/en-us/library/bb125225.aspx.

    Se il server è monolitico (no Edge) con la console occorre andare in Server Configuration/Hub Transport (tab Anti-spam)

    Ops... mi era sfuggito il "dettaglio", scusami, mea culpa :( comunque si, quanto sopra è corretto; in pratica istruisci exchange in modo che sappia quali sono i "tuoi" hosts ed eviti di applicare i controlli

    Ottimo: la configurazione di un range di indirizzi privati NON preclude l'uso di un provider che li blocchi dall'esterno (e.g. bogons.cymru.com) da configurare in Organization Configuration.

    Corretto e... si, l'aggiunta della lista "bogon" è, a mio avviso, una buona idea; prima di tutto perchè eviterai di ricevere "immondizia" da blocchi IP sicuramente "sporchi" ed in secondo luogo perchè, nel caso in cui tu utilizzassi "fastweb" come ISP questo ti eviterà di ricevere connessioni da hosts infetti situati all'interno delle "MAN" di fastweb (ed il problema esiste, fidati, purtroppo FW lascia circolare tali IP anche verso gli IP block business :P !)

    p.s. non mi ero accorto di una tab anti-spam anche a livello server... non posso dire d'aver ben digerito la divisione Organization/Server, sento che è ottima e ben pensata, ma tanté... ;)

    Beh... un passo per volta :) e comunque è tutta esperienza da metter da parte e che credo/spero ti servirà in futuro; tornando al discorso "spam filtering" occhio a configurare sia le blacklists che le whitelists (vedi qui); per quanto riguarda le DNSBL assicurati di impostare il messaggio di reject come suggerito, relativamente alle DNSWL (whitelists) queste di permetteranno di evitare "falsi positivi" dato che se un IP è presente in una whitelist, Exchange eviterà di interrogare le DNSBL per tale IP, ergo, se una DNSBL diventa troppo "aggressiva" l'uso delle whitelist eviterà problemi :)

     p.p.s. ma come si altera la descrizione del link? :(

    Lo fai quando inserisci il link; evidenzi il testo, clicchi il bottoncino "link" e poi immetti l'URL, selezioni dove aprirlo (di solito è meglio "in un'altra finestra") ed inserisci la descrizione desiderata





    • Proposto come risposta Anca Popa giovedì 2 febbraio 2012 09:37
    • Modificato ObiWan giovedì 2 febbraio 2012 09:51
    • Contrassegnato come risposta Anca Popa martedì 7 febbraio 2012 09:42
    giovedì 2 febbraio 2012 09:21
  • Ciao pgfiore,

    Il tuo thread nel Forum di Exchange Server è ancora aperto.

    Se i consigli ricevuti ti sono stati utili, riccorda di evidenziare la soluzione cliccando su "Segna come Risposta", il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione.

    Grazie a tutti della partecipazione nel Forum,


    Anca Popa Follow ForumTechNetIt on Twitter

    Versioni di valutazione gratuite dei software Microsoft

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    lunedì 6 febbraio 2012 10:17
  • Grazie Obiwan, il link citato sopra (qui) è proprio quello da cui avevo tratto delle idee sull'argomento. Sono un buon lettore (quando ho tempo ;))

    Una domand(ina): si confondono i messaggi rejectati per spam con il sender id... posso capirlo? Anche nel log dell'agent un msg bloccato per spam può presentare un allert sull'sfp. E mi sfugge quale regola l'ha bloccato...

    Oltre tutto io vorrei rifiutare i "?all, neutral". Ad esempio ecco un dominio andato in errore (a parte che l'ip è fuori range oltre tutto!!!:

    smtp.neuroblastoma.org  internet address = 212.239.119.138

    v=spf1 ip4:212.239.119.128/26?all"

    2012-02-06T11:25:05.947Z,[…],212.239.49.218:50056,[…],filippo.leonardo@neuroblastoma.org;,Beatrice.Prandina@cambiasorisso.it,1,Content Filter Agent,OnEndOfData,RejectMessage[...]ID:SenderIDStatus Neutral



    • Modificato pgfiore martedì 7 febbraio 2012 14:50
    martedì 7 febbraio 2012 14:47
  • smtp.neuroblastoma.org  internet address = 212.239.119.138

    v=spf1 ip4:212.239.119.128/26?all"

    2012-02-06T11:25:05.947Z,[…],212.239.49.218:50056,[…],filippo.leonardo@neuroblastoma.org;,Beatrice.Prandina@cambiasorisso.it,1,Content Filter Agent,OnEndOfData,RejectMessage[...]ID:SenderIDStatus Neutral

    Beh, prima di tutto il record SPF (se è come lo hai scritto) è ERRATO visto che manca uno spazio prima del "?all" in che causa un "SPF permerror"; inoltre la mail rifiutata è stata spedita da un IP che NON è autorizzato da SPF ... però il meccanismo è "?all" che, in pratica, significa "io pubblico un record SPF così per fare il figo, ma i dati non servono a nula, ignoralo" ... a questo punto ho l'impressione che il reject sia dovuto ad una qualche ALTRA causa anche perchè quel "senderid status neutral" dice (appunto) che SPF NON ha avuto alcun ruolo; ho idea che quel "content filter" invece abbia avuto un certo PESO nel filtraggio

    Ciao

    martedì 7 febbraio 2012 21:08
  • Hai più occhio di me, mi era sfuggito... Fermato come spam, undoubtedly.

    Hai un link che risponda alla domanda "come mandare lo spam nella casella utenti? A me sembra che si riesca solo a intercettare e mandare a una mailbox speciale...

    mercoledì 8 febbraio 2012 17:02
  • Hai più occhio di me, mi era sfuggito... Fermato come spam, undoubtedly.

    In effetti credo che il reject sia dovuto al content filter; in questo caso potresti inserire il mittente in whitelist o comunque "tarare" meglio i valori SCL (vedi qui) in modo da rendere il content filter meno aggressivo

    Hai un link che risponda alla domanda "come mandare lo spam nella casella utenti? A me sembra che si riesca solo a intercettare e mandare a una mailbox speciale...

    come ho scritto sopra si tratta di tarare in modo opportuno i valori SCL (leggi qui) in modo che le email "sicuramente spam" vengano rigettate mentre quelle "in dubbio" vengano reindirizzate alla "junkmail" dell'utente che potrà poi decidere cosa farne; per capirci, facendo riferimento al link di cui sopra e tralasciando le opzioni quarantine e delete che, di solito, non vanno abilitate, potresti impostare "junkmail" a 4 e "reject" a 7; a questo punto, tutti i messaggi con SCL sino a 4 verranno recapitati nella inbox destinazione, quelli con SCL tra 4 e 7 verranno reindirizzati nel junkemail folder mentre quelli con SCL pari o superiore a 7 verranno rifiutati (SMTP 5xx); in pratica, tarando i valori SCL riuscirai a gestire la "finestra" di intervento del filtro rendendolo più o meno aggressivo a seconda delle tue necessità; ovviamente potrai poi monitorare la situazione e "ritoccare" i valori SCL sino a raggiungere la taratura desiderata; considera che l'operazione di tuning andrebbe fatta in concerto con il whitelisting di mittenti o IP, con le safelists etc... e comunque tenendo presente tutto il meccanismo di pass/block implementato dallo spamfilter di exchange

    [edit]

    Dimenticavo; considera che c'è un secondo "livello" SCL, ossia quello relativo alle singole mailboxes; questo secondo livello entra in gioco dopo il primo stadio di filtering (SCL globale) e permette di avere maggior flessibilità/granularità; ad esempio, avendo i valori SCL globali visti sopra, ossia 4 e 7, potresti configurare date mailboxes in modo da lasciar passare (inbox) le emails con SCL sino a 6 e consegnare in junkmail solo quelle da 6 a 7; un approccio potrebbe essere quello di lasciare la finestra "grigia" (possibile spam) abbastanza ampia permettendo poi di personalizzare le impostazioni a livello delle singole mailbox; in altri casi invece si potrebbe tenere una finestra più stretta onde evitare che troppo "spam" raggiunga le mailbox o anche perchè non si vuole/può procedere alla configurazione SCL di queste ultime

    • Modificato ObiWan giovedì 9 febbraio 2012 09:58
    giovedì 9 febbraio 2012 09:47