none
Exchange 2010 - Dubbi generali sulla prevenzione dello spam RRS feed

  • Domanda

  • Buongiorno a tutti,

    ho una serie di dubbi sui filtri antispam di exchange 2010.

    - Quando una mail è bloccata da una blocklist riceve un messaggio generico "Remote host said: 550 5.7.1 Recipient not authorized, your IP has been found on a block list". Come faccio a determinare quale blocklist l'ha bloccato?

    - Esiste un modo per mettere in whitelist un dominio o un indirizzo? Il problema è che spesso è impossibile identificare l'ip del mail server da cui arriva la posta. Per esempio adesso ho appena finito di capire da dove spedisce mail un cliente che è una multinazionale che si appoggia a un'azienda esterna per la posta. Pare che ogni volta la posta arrivi da un server diverso che non ha in comune neanche la classe ip con tutti gli altri. E visto che io parlo con la sede italiana che non ha contatti col fornitore (e a quanto pare neanche a chi è l'interfaccia col fornitore) io non riesco ad avere una lista completa degli ip che utilizzano e mi capita spesso che finiscano bloccati.

    - "Provider elenco indirizzi IP consentiti": esistono degli elenchi pubblici? O devo alimentarmelo io?

    - Panoramica blocklist? Ogni tanto lo chiedo... c'è una una panoramica aggiornata delle più diffuse blocklist con finalità, pro e contro di ognuna? O un set suggerito di dnsbl generico per un utilizzo normale.

    - Strategia generale:

    io sto lavorando con dnsbl:
    combined.njabl.org
    bogons.cymru.com
    drone.abuse.ch
    httpbl.abuse.ch
    bhnc.njabl.org
    virbl.bit.nl
    un tempo usavo anche ix.dnsbl.manitu.net ma l'ho dovuta togliere per troppi falsi positivi.

    Oltre a queste ho impostato il filtro per contenuto per rifiutare mail con punteggio superiore a 3 (sono partito da 7... poi piano piano sceso un punto per volta).

    Tuttavia continuo a ricevere un po' di spam (non tantissimo, ma comunque una decina di mail per utente al giorno circa), e ovviamente per le ragioni descritte sopra ho molti falsi positivi.

    QUalcuno sa darmi dei suggerimenti per migliorare la situazione in generale?

    Grazie a tutti e buon fine settimana

    Roberto

    venerdì 23 settembre 2011 13:44

Risposte

  • interessanti i due articoli che mi hai mandato, ma lasciano aperte delle questioni:

    - Quando una mail è bloccata da una blocklist riceve un messaggio generico "Remote host said: 550 5.7.1 Recipient not authorized, your IP has been found on a block list". Come faccio a determinare quale blocklist l'ha bloccato?


    E' per questo che sarebbe opportuno configurare il reject message in exchange in modo da includere sia l'indirizzo IP sia il nome della lista che ha causato il blocco; a tale scopo è possibile inserire nel messaggio di reject associato a ciascuna lista di blocco delle variabili che, se non ricordo male (nel caso prego Anca o gli altri di correggermi), dovrebbero essere le seguenti 

     

    %0: Indirizzo IP del server mittente
    %1: Nome della regola di filtraggio
    %2: Nome del provider DNSBL
    

     

    Nota: in exchange 2007...2010 le "macro" di cui sopra sono cambiate quindi invece di "%0 ... %2" vanno usate le seguenti macro (ringrazio Andrea Gallazzi della correzione - anche se mi ha "copiato" il messaggio di reject :D)

     

     

    {0}: Indirizzo IP del server mittente
    {1}: Nome della regola di filtraggio
    {2}: Nome del provider DNSBL

    quindi, sarebbe opportuno che il messaggio di reject associato alle varie DNSBL fosse impostato in modo da contenere le informazioni opportune; un buon esempio in tal senso potrebbe essere il messaggio che segue

     

    Message refused: your IP %0 is listed by %2 (see http://multirbl.valli.org/lookup/%0.html for details).
    

    in tal modo, supponendo che l'IP mittente sia 192.0.2.100 e che la lista che ha causato il blocco sia "zen.spamhaus.org" il messaggio emesso da Exchange sarebbe
    Message refused, your IP 192.0.2.100 is listed by zen.spamhaus.org (see http://multirbl.valli.org/lookup/192.0.2.100.html for details).
    

    da notare che il link a "valli.org" aprirà una pagina che permetterà di visualizzare se e quali liste contengano l'IP in questione
    - Esiste un modo per mettere in whitelist un dominio o un indirizzo? Il problema è che spesso è impossibile identificare l'ip del mail server da cui arriva la posta. Per esempio adesso ho appena finito di capire da dove spedisce mail un cliente che è una multinazionale che si appoggia a un'azienda esterna per la posta. Pare che ogni volta la posta arrivi da un server diverso che non ha in comune neanche la classe ip con tutti gli altri. E visto che io parlo con la sede italiana che non ha contatti col fornitore (e a quanto pare neanche a chi è l'interfaccia col fornitore) io non riesco ad avere una lista completa degli ip che utilizzano e mi capita spesso che finiscano bloccati.
    Certo che si, qui trovi le istruzioni relative ai singoli IP o ad IP ranges, mentre qui trovi le istruzioni relative all'uso di "DNSWL" (whitelists, il contrario delle DNSBL) ed in fondo alla pagina troverai anche un elenco di possibili DNSWL da usare per ridurre il problema relativo ai falsi positivi
    - Per quanto riguarda la panoramica delle blacklist invece mi pare che quell'articolo non sia recentissimo per cui chiedo comunque se ci sono delle novità su quel versante.

    Prova a vedere qui e considera che le DNSBL "affidabili" (e realmente utili/efficienti) cambiano raramente

    ciao

     





    • Proposto come risposta Anca Popa mercoledì 28 settembre 2011 06:19
    • Contrassegnato come risposta Anca Popa venerdì 30 settembre 2011 10:39
    • Modificato ObiWan giovedì 13 ottobre 2011 08:13
    martedì 27 settembre 2011 15:57

Tutte le risposte

  • Ciao Roberto,

    Un membro della community ha scritto un'ottimo blog post a questo riguardo:

    Microsoft Exchange e lo spam,

    come spunto spero che possa fornirti in parte qualche informazione utile, come per esempio questo articolo per Exchange 2010:

    Gia' letto?

    Saluti, 


    Anca Popa Follow ForumTechNetIt on Twitter

    Come inserire immagini nei post

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    lunedì 26 settembre 2011 10:08
  • Ciao Anca Popa,

    interessanti i due articoli che mi hai mandato, ma lasciano aperte delle questioni:

    - Quando una mail è bloccata da una blocklist riceve un messaggio generico "Remote host said: 550 5.7.1 Recipient not authorized, your IP has been found on a block list". Come faccio a determinare quale blocklist l'ha bloccato?

    - Esiste un modo per mettere in whitelist un dominio o un indirizzo? Il problema è che spesso è impossibile identificare l'ip del mail server da cui arriva la posta. Per esempio adesso ho appena finito di capire da dove spedisce mail un cliente che è una multinazionale che si appoggia a un'azienda esterna per la posta. Pare che ogni volta la posta arrivi da un server diverso che non ha in comune neanche la classe ip con tutti gli altri. E visto che io parlo con la sede italiana che non ha contatti col fornitore (e a quanto pare neanche a chi è l'interfaccia col fornitore) io non riesco ad avere una lista completa degli ip che utilizzano e mi capita spesso che finiscano bloccati.

    - Per quanto riguarda la panoramica delle blacklist invece mi pare che quell'articolo non sia recentissimo per cui chiedo comunque se ci sono delle novità su quel versante.

    Grazie

    Ciao

    Roberto

    martedì 27 settembre 2011 15:31
  • interessanti i due articoli che mi hai mandato, ma lasciano aperte delle questioni:

    - Quando una mail è bloccata da una blocklist riceve un messaggio generico "Remote host said: 550 5.7.1 Recipient not authorized, your IP has been found on a block list". Come faccio a determinare quale blocklist l'ha bloccato?


    E' per questo che sarebbe opportuno configurare il reject message in exchange in modo da includere sia l'indirizzo IP sia il nome della lista che ha causato il blocco; a tale scopo è possibile inserire nel messaggio di reject associato a ciascuna lista di blocco delle variabili che, se non ricordo male (nel caso prego Anca o gli altri di correggermi), dovrebbero essere le seguenti 

     

    %0: Indirizzo IP del server mittente
    %1: Nome della regola di filtraggio
    %2: Nome del provider DNSBL
    

     

    Nota: in exchange 2007...2010 le "macro" di cui sopra sono cambiate quindi invece di "%0 ... %2" vanno usate le seguenti macro (ringrazio Andrea Gallazzi della correzione - anche se mi ha "copiato" il messaggio di reject :D)

     

     

    {0}: Indirizzo IP del server mittente
    {1}: Nome della regola di filtraggio
    {2}: Nome del provider DNSBL

    quindi, sarebbe opportuno che il messaggio di reject associato alle varie DNSBL fosse impostato in modo da contenere le informazioni opportune; un buon esempio in tal senso potrebbe essere il messaggio che segue

     

    Message refused: your IP %0 is listed by %2 (see http://multirbl.valli.org/lookup/%0.html for details).
    

    in tal modo, supponendo che l'IP mittente sia 192.0.2.100 e che la lista che ha causato il blocco sia "zen.spamhaus.org" il messaggio emesso da Exchange sarebbe
    Message refused, your IP 192.0.2.100 is listed by zen.spamhaus.org (see http://multirbl.valli.org/lookup/192.0.2.100.html for details).
    

    da notare che il link a "valli.org" aprirà una pagina che permetterà di visualizzare se e quali liste contengano l'IP in questione
    - Esiste un modo per mettere in whitelist un dominio o un indirizzo? Il problema è che spesso è impossibile identificare l'ip del mail server da cui arriva la posta. Per esempio adesso ho appena finito di capire da dove spedisce mail un cliente che è una multinazionale che si appoggia a un'azienda esterna per la posta. Pare che ogni volta la posta arrivi da un server diverso che non ha in comune neanche la classe ip con tutti gli altri. E visto che io parlo con la sede italiana che non ha contatti col fornitore (e a quanto pare neanche a chi è l'interfaccia col fornitore) io non riesco ad avere una lista completa degli ip che utilizzano e mi capita spesso che finiscano bloccati.
    Certo che si, qui trovi le istruzioni relative ai singoli IP o ad IP ranges, mentre qui trovi le istruzioni relative all'uso di "DNSWL" (whitelists, il contrario delle DNSBL) ed in fondo alla pagina troverai anche un elenco di possibili DNSWL da usare per ridurre il problema relativo ai falsi positivi
    - Per quanto riguarda la panoramica delle blacklist invece mi pare che quell'articolo non sia recentissimo per cui chiedo comunque se ci sono delle novità su quel versante.

    Prova a vedere qui e considera che le DNSBL "affidabili" (e realmente utili/efficienti) cambiano raramente

    ciao

     





    • Proposto come risposta Anca Popa mercoledì 28 settembre 2011 06:19
    • Contrassegnato come risposta Anca Popa venerdì 30 settembre 2011 10:39
    • Modificato ObiWan giovedì 13 ottobre 2011 08:13
    martedì 27 settembre 2011 15:57
  • Per esempio adesso ho appena finito di capire da dove spedisce mail un cliente che è una multinazionale che si appoggia a un'azienda esterna per la posta. Pare che ogni volta la posta arrivi da un server diverso che non ha in comune neanche la classe ip con tutti gli altri. E visto che io parlo con la sede italiana che non ha contatti col fornitore (e a quanto pare neanche a chi è l'interfaccia col fornitore) io non riesco ad avere una lista completa degli ip che utilizzano e mi capita spesso che finiscano bloccati.

    Sarebbe utile capire per quale motivo tali messaggi vengano bloccati, ossia, il reject del messaggio avviene a causa di una DNSBL o per altri motivi (es. SPF/SenderID o altro) ?

    Vedi, durante una sessione SMTP transitano diverse informazioni ed è possibile entro certi limiti effettuare controlli su ciascuna di queste allo scopo di accettare o rifiutare un dato messaggio, quindi il problema da te lamentato potrebbe essere risolvibile in altro modo... però sarebbe necessario avere maggiori dettagli sul reject ed effettuare qualche ulteriore verifica

    Dimenticavo... effettuare un reject su un punteggio superiore a 3 mi sembra eccessivo; credo che dovresti resettare lo scoring ed allo stesso tempo impostare delle blacklists e whitelists valide (manitu per esperienza diretta non crea problemi ed in qualsiasi caso un uso corretto delle whitelists permette di evitarli); considera che come "regola approssimativa" potresti considerare il punteggio SCL come una percentuale che ti dice quanto è "spam" il messaggio in arrivo; in pratica, volendo fare un calcolo molto "spannometrico" potremmo dire che la percentuale può essere calcolata moltiplicando il punteggio per 10 il che significa che, se impostassimo il valore SCL massimo a 3, tutte le emails con una probabilità di essere "spam" superiore al 30% verrebbero rifiutate ... e questo mi sembra un livello un pochino "aggressivo", non trovi ?

     


    • Modificato ObiWan martedì 27 settembre 2011 16:38
    martedì 27 settembre 2011 16:09
  • Ciao ObiWan,

    grazie, le variabili nel messaggio di errore sono utilissime.

    Per quanto riguarda la possibilità di whitelistare un indirizzo però il dobbio rimane aperto.

    Se io ho pippo@prova.it che ogni giorno mi scrive da un posto diverso, e io voglio essere sicuro di riceverlo sempre, io posso farlo?
    Con altri mail server lo posso fare. Con lo stesso filtro di contenuto di outlook posso farlo.
    Ma a livello di exchange è possibile?

    Il messaggio che non riuscivo a traccaire nel messaggio di prima veniva bloccato perché presente in delle dnsbl.
    Se non voglio disabilitare del tutto le liste in cui è presente di volta in volta il messaggio, non riesco a vedere altra maniera che sbloccare l'indirizzo del mittente. E' ovviamente possibile che questo mi esponga a spam che arrivi con l'indirizzo del mittente che ho sbloccato, ma è un rischio minore.
    Il fatto è che ogni volta le mail da questa azienda mi arrivano da ip diversi apparentemente non correlati, e io non posso influenzare il fatto che questi si tolgano dalla blacklist.

    Per il resto grazie di tutto.

    mercoledì 28 settembre 2011 09:36
  • significa che, se impostassimo il valore SCL massimo a 3, tutte le emails con una probabilità di essere "spam" superiore al 30% verrebbero rifiutate ... e questo mi sembra un livello un pochino "aggressivo", non trovi ?

    Visto che si parla di SCL, credo sia opportuno un chiarimento sul funzionamento di tale meccanismo; allo scopo ed al fine di essere utile a quanti più utenti exchange possibili, farò riferimento all'IMF di Exchange 2003 ma va considerato che il principio di base (almeno se non vado del tutto errato) è restato pressochè invariato anche per le versioni successive (anche se sono state introdotte alcune features che in 2003 erano assenti)

    Iniziamo cercando di immaginare lo "spam score" di un dato messaggio come se fosse un righello graduato con valori che vanno dallo 0 al 9 (ok, c'è anche il -1 ma quello è riservato ad uso "interno" da Exchange); avremo quindi qualcosa di questo tipo


    0...1...2...3...4...5...6...7...8...9

    ora, assumendo che 0 sia "not spam" ossia "ham" e che 9 sia "spam" è facile capire come un SCL di 9 significhi che la mail è "immondizia pura" :) a questo punto però, Exchange ci permette di decidere COME gestire tale meccanismo; in tal senso, Exchange ci mette a disposizione due "cursori" (immaginateli come cursori sul righello di cui sopra); il primo specifica il valore SCL a partire dal quale una email possa essere considerata "probabile spam" (ma, occhio, NON spam di sicuro, diciamo che i filtri hanno stabilito che la mail ha alcune caratteristiche relative a "spam" ma non è sicuramente "spam") ovviamente, tutte le email con un valore SCL al di sotto di quello impostato saranno "ham"; il secondo valore invece imposta il livello oltre il quale un dato messaggio vada considerato "sicuramente spam"; in pratica, un messaggio che superi tale valore SCL verrà rigettato con un errore SMTP 5xx (mentre qualsiasi valore inferiore causerà l'accettazione del messaggio); in tale ottica va considerato che il mio riferimento ai "due cursori" esclude i valori SCL relativi al "quarantine" ed al "delete" dato che tali valori (e le relative opzioni) vanno usati solo in determinati casi (ad esempio, se il server exchange non è un MX ma riceve posta da un server esterno che funge da MX, si dovrà usare l'opzione "delete" AL POSTO della "reject" [1] onde evitare di generare bounces)

    Ora... cosa significa questo ? Semplice, quello che possiamo definire usando tale meccanismo è la cosiddetta "zona grigia" (se paragoniamo i messaggi validi al bianco e quello "spam" al nero...) ed abbiamo la libertà di decidere in quale intervallo del nostro "righello" tale zona ricada; ad esempio, impostando il valore inferiore a "3" ed il valore superiore a "7" avremo configurato il filtro in modo da accettare senza alcun problema tutti i messaggi con una probabilità "spam" inferiore al 30% (ok, approssimativa) ed in modo da rifiutare direttamente (a livello di sessione SMTP, usando un reject, ossia uno status code SMTP 5xx) tutti i messaggi con probabilità "spam" superiore al 70%

    Resta la "zona grigia"; questa è estremamente utile se si utilizza un'infrastuttura basata su server Exchange e client Outlook (no, non "express" :D)  o se comunque si usa un client che permetta di implementare delle "regole di posta" basate sul contenuto degli headers (OL, nel caso di SCL, lo fa in automatico); in questo caso il messaggio, classificato dai filtri come "probabile spam" (in pratica exchange ti dice "credo proprio che sia spam, ma non ne sono del tutto sicuro, dagli un'occhiata") viene accettato da exchange (quindi niente reject 5xx) ma, il client (OL) lo sposterà nella cartella "posta indesiderata"; questo permette di evitare di "perdere" dei messaggi (dato che tali messaggi potranno essere comunque recuperati dalla cartella "spam") ed allo stesso tempo evita che la mailbox venga intasata da "immondizia" di vario genere (ok, poi ci sarebbe da discutere sulla possibilità di "addestrare" i filtri.... ma a questo punto il discorso sarebbe troppo lungo)

    Come vedi, abbassare troppo i livelli SCL non è una buona idea, basta semplicemente impostare correttamente i filtri (blacklists, whitelists, content-match...) in modo da distinguere il meglio possibile le email cattive e ... lasciare quelle "dubbie" alla valutazione del proprietario della mailbox



    [1] Anche se usando la "delete" si rischia di avere altri tipi di problema e considerando che in qualsiasi caso la "delete" è un qualcosa di NON conforme alle RFC

    • Modificato ObiWan martedì 24 gennaio 2012 14:00
    mercoledì 28 settembre 2011 12:48
  • Per quanto riguarda la possibilità di whitelistare un indirizzo però il dobbio rimane aperto.

    Se io ho pippo@prova.it che ogni giorno mi scrive da un posto diverso, e io voglio essere sicuro di riceverlo sempre, io posso farlo?
    Con altri mail server lo posso fare. Con lo stesso filtro di contenuto di outlook posso farlo.
    Ma a livello di exchange è possibile?

    Il messaggio che non riuscivo a traccaire nel messaggio di prima veniva bloccato perché presente in delle dnsbl.

    Prima di tutto, è possibile sicuramente inserire in whitelist un determinato indirizzo ma... HA SENSO ? Mi spiego; supponiamo che tu inserisca in whitelist l'indirizzo email "pippo@example.com" ora... supponiamo (non sto a spiegarti come ma SUCCEDE, fidati per favore) che "gli spammers" (spambots al 99.999%) si "accorgano" che tale indirizzo esiste e che "non è filtrato" (visto che è in "whitelist") a questo punto ti troveresti con una marea di immondizia indirizzata ai tuoi utenti e proveniente, in teoria (spoofing), da tale indirizzo (in "whitelist") ma in effetti che arriva da indirizzi IP sparsi in giro per il mondo.

    Spero tu abbia capito per quale motivo mettere in "whitelist" un indirizzo email, specie se il dominio mittente NON pubblica un record SPF/SenderID sia una CATTIVA idea :)

    Per quanto riguarda il discorso delle emails bloccate da DNSBL; se tu utilizzassi delle DNSBL "conservative" (vedi mio blogpost ma anche i links postati qui); nel caso in cui un dato IP mittente (le DNSBL lavorano sugli indirizzi IP) fosse in blacklist, questo significherebbe semplicemente che il server che ha TENTATO di inviarti quella email è gestito molto male; a questo punto, invece di indossare un cilicio ed iniziare a fustigarti pensando di aver "filtrato troppo", avverti molto semplicemente il mittente del fatto che l'uso di tali servers per l'invio potrebbe non essere una buona idea; tutto sommato NON credo tu sia il solo al quale il mittente sta inviando emails ed il fatto che determinati servers siano in blacklists causerà problemi al mittente stesso, quindi... beh, avvertirlo della cosa potrebbe essere una buona idea

     

    mercoledì 28 settembre 2011 12:59
  • Il fatto è che ogni volta le mail da questa azienda mi arrivano da ip diversi apparentemente non correlati, e io non posso influenzare il fatto che questi si tolgano dalla blacklist.

    Avevo dimenticato questo punto... ora; il fatto che le emails provenienti da tale azienda ti arrivino da IP diversi e che tali IP siano inclusi in blacklists affidabili non suona granchè a favore della serietà dell'azienda stessa; devo dire che ... ci sono passato anche io con una certa azienda con un nome di tre lettere e soprannominata "big blue"; per fortuna poi l'azienda ha deciso di pubblicare dei records SPF (SenderID) risolvendo il problema alla radice :)

    Ah, e tra l'altro la cosa capita anche quando alcuni "furbissimi" soggetti (es. venditori o altri) dell'azienda, essendo "in giro" e dovendo inviare le email con l'indirizzo AZIENDALE, usano qualsiasi SMTP server di qualsiasi provider, dimostrando così di non aver capito un'accidente sul funzionamento di Internet e della e-mail (bella figura); ora... non faccio nomi ma la cosa mi è capitata anche con gente che lavora per alcuni ISP nostrani... in quel caso NON ho dovuto far nulla, ho semplicemente fatto presente ai tizi che il problema era loro e che avrebbero dovuto contattare i propri responsabili tecnici per farsi spiegare "come si usa la email" ... e, dopo alcune rimostranze iniziali da parte dei tizi, gli stessi (che erano, in effetti, andati "piccatissimi" dai propri responsabili tecnici... che gli hanno spiegato che ... si, erano loro a fare delle emerite fesserie) hanno finalmente imparato ad usare la email e così il "problema" si è risolto senza alcun tipo di "modifica" da parte mia :D

     


    • Modificato ObiWan venerdì 30 settembre 2011 10:53
    mercoledì 28 settembre 2011 16:35
  • OK, allora facciamo un fork del thread.

    Da un lato parliamo della possibilità tecnica di farlo, dall'altro dell'opportunità strategica.

    Dal punto di vista pratico, come posso fare quindi a mettere in whitelist un indirizzo? (o un intero dominio?) Io ho trovato come mettere in whitelist gli ip, come whitelistare la posta inviata a certi destinatari, ma nulla per mittenti specifici.

    Riguardo l'opportunità, ovviamente il discorso che fai tu non fa una piega, è ineccepibile.
    Salvo per il fatto che giustamente richiede l'intervento dell'altra parte che, almeno nel breve termine non si sta dimostrando collaborativa.
    A un certo punto io devo offrire un servizio ai miei utenti, e si è valutato che perdere sistematicamente dei messaggi importanti è più grave del rischio di ricevere forse un giorno dello spam.
    Whitelistare un indirizzo è sicuramente un ripiego, una soluzione di emergenza quando non si può fare un altro, e per quel giorno cercheremo di fare pressione sul cliente coi mail server strani per regolarizzare la sua posizione.
    Fino ad allora dovremo piegarci all'eterno compromesso che le mail dei clienti contengono ordini e pagano. Non paga invece litigare con un sistemista pakistano appena immigrato negli Stati Uniti che finge di non capire quello che gli si chiede, o peggio ancora col suo superiore americano che DAVVERO non capisce quello che gli si chiede :-)

    Pertanto accetto di buon grado tutti i tuoi consigli. Sperimenterò le whitelist. Se questo porterà dei frutti provoerò dnsbl più morbide. Lasciando però la soglia SCL bassa, perché non ho falsi positivi da quella, e oltretutto oltre ai client tutti Outlook (non express!!! :-)) ho una serie di dispositivi mobili vari che non gestiscono la casella di posta indesiderata.

    Grazie di tutto intanto, rimango in attesa del segreto per mettere in whitelist un mittente...!

    Buona serata

     

    giovedì 29 settembre 2011 17:06
  • Sì esatto credo che la situazione sia la stessa, oltre al fatto che mi pare che l'azienda in questione abbia il mail server presso un'azienda esterna, il che aggiunge un gradino di separazione in più tra me e quello che può sistemare il server.

    Senza contare poi la miriade di piccole aziende, professionisti e consulenti che non hanno mail server oppure se lo hanno si appoggiano comunque ai server dei loro provider per spediere. E mediamente tutti i mail server di Alice o di Fastweb sono listati nel 90% delle dnsbl.

    giovedì 29 settembre 2011 17:10
  • OK, allora facciamo un fork del thread.
    Non mi sembra una buona idea; tutto sommato stiamo parlando delle stesse cose e splittare la discussione secondo me sarebbe dispersivo; non puoi considerare i vari punti separatamente ma devi vederli globalmente dato che ciascuno si integra ed interagisce con gli altri

    Da un lato parliamo della possibilità tecnica di farlo, dall'altro dell'opportunità strategica.

    Dal punto di vista pratico, come posso fare quindi a mettere in whitelist un indirizzo? (o un intero dominio?) Io ho trovato come mettere in whitelist gli ip, come whitelistare la posta inviata a certi destinatari, ma nulla per mittenti specifici.

    Per quanto riguarda il whitelisting di indirizzi email, puoi usare le "safelists" (vedi qui e qui) resta ovviamente il discorso sull'opportunità di farlo dato che una cosa del genere, nel caso di mittenti senza SPF (o DKIM) apre potenzialmente le porte allo spam inviato "fingendo" di essere uno dei mittenti in whitelist; questa ovviamente è una decisione che puoi prendere solo tu; in qualsiasi caso, se decidessi di proseguire per questa strada, considera che normalmente, all'interno di una qualsiasi organizzazione esistono dei mittenti "noti" ossia che inviano emails regolarmente a ben definiti destinatari, quindi non dovrebbe essere difficile configurare le safelist in modo da permettere che i messaggi da tali mittenti raggiungano i destinatari desiderati... allo stesso tempo evitando che qualcuno che "finge" di essere uno di tali mittenti possa inviare inpunemente immondizia all'intera organizzazione

    Pertanto accetto di buon grado tutti i tuoi consigli. Sperimenterò le whitelist. Se questo porterà dei frutti provoerò dnsbl più morbide. Lasciando però la soglia SCL bassa, perché non ho falsi positivi da quella, e oltretutto oltre ai client tutti Outlook (non express!!! :-)) ho una serie di dispositivi mobili vari che non gestiscono la casella di posta indesiderata.

    Per quanto riguarda i dispositivi mobili, se questi hanno accesso IMAP o OWA il problema non si pone dato che in entrambi i casi potrai avere la cartella "posta indesiderata" :) in caso contrario, ne potremo parlare in separata sede; direi che sarebbe opportuno focalizzarsi prima sull'implementazione di una policy di filtraggio e sul tuning della stessa, poi si potranno affrontare e, si spera, risolvere i problemi "accessori"

    A tale scopo il mio consiglio è quello di "resettare" i filtri iniziando con una configurazione "nota" e poi procedere con le varie operazioni necessarie; in tal senso, ti suggerirei di procedere al reset di black e white lists (sia per quanto riguarda i "providers" sia per quanto riguarda i singoli IP o blocchi di IP) e dei valori SCL, quindi inserire tra le whitelists quelle che trovi qui (in fondo all'articolo); fatto ciò, procedi con la configurazione delle blacklists usando quelle che trovi qui (di nuovo, in fondo all'articolo); fatto ciò, imposta i valori SCL tenendo presenti le informazioni reperibili qui e cercando di evitare (almeno per il momento) l'uso di impostazioni SCL troppo aggressive; a questo punto, prenditi un attimo di tempo (e tieni sotto controllo i filtri) e leggi attentamente questo documento che, spero, ti aiuterà a comprendere la "filosofia" alla base dei vari filtri implementati in exchange

    Detto ciò e passando alla seconda parte...

    oltre al fatto che mi pare che l'azienda in questione abbia il mail server presso un'azienda esterna, il che aggiunge un gradino di separazione in più tra me e quello che può sistemare il server.

    La situazione non è nuova e, purtroppo, spesso causa una miriade di inconvenienti; l'unica consolazione, se così vogliamo chiamarla è che altrettanto spesso, le aziende con tali configurazioni tecnicamente (si fa per dire :D) del tutto scorrette hanno problemi di mail delivery con MOLTI destinatari (non solo con te :D) e questi fortunatamente hanno come risultato una revisione da parte dell'azienda mittente della popria infrastuttura email e la correzione dei vari problemi; ad ogni modo...

    Senza contare poi la miriade di piccole aziende, professionisti e consulenti che non hanno mail server oppure se lo hanno si appoggiano comunque ai server dei loro provider per spediere. E mediamente tutti i mail server di Alice o di Fastweb sono listati nel 90% delle dnsbl.

    quanto descrivi sopra è in parte causato dall'errato uso degli strumenti messi a disposizione; mi spiego, se un'azienda "x" non ha un proprio server ma usa un dato mail provider; i dipendenti dell'azienda stessa dovranno essere istruiti ad usare SEMPRE tale mail provider per l'invio di emails con indirizzi aziendali (evitando di usare a tale scopo il primo mailserver disponibile); in qualsiasi caso, dissento sul discorso "mail server in blacklist"; questo può esser vero nel caso in cui si usino blacklists aggressive/inaffidabili (es. uceprotect) ma non è vero nel caso di blacklists conservative/affidabili e non è sicuramente il caso se a tali liste si affianchino delle whitelists; devi considerare che all'arrivo di una connessione SMTP exchange, come prima cosa, controllerà se l'IP è in whitelist (vuoi in una whitelist "personalizzata" vuoi in quella di uno dei providers configurati) ed in tal caso NON procederà al controllo su blacklist evitando così eventuali falsi positivi

    Ripeto, credo che procedere ad un "reset" dei filtri, ad una attenta riconfigurazione degli stessi e ad una "taratura fine" da effettuarsi nell'arco di un certo intervallo di tempo potrà permetterti di ottenere i risultati voluti, solo... evita di fare "tutto in una volta"; procedi a piccoli passi e soprattutto, abilita i vari logs (al minimo questo) e tienili sotto controllo (qui trovi un tool piuttosto utile), questo ti permetterà di capire dove, come e perchè un dato messaggio sia stato rifiutato (o sia "passato") e di valutare la miglior strategia per risolvere quel particolare problema ma sempre tenendo presente l'impatto che un qualsiasi cambiamento potrà avere a livello del flusso globale di email

    ciao

     


    • Modificato ObiWan venerdì 30 settembre 2011 11:13
    venerdì 30 settembre 2011 07:44
  • spediere. E mediamente tutti i mail server di Alice o di Fastweb sono listati nel 90% delle dnsbl.

    A proposito di servers "alice"; qui di seguito trovi la lista di indirizzi IP usata da Alice e da Interbusiness per l'invio delle emails; si tratta della lista degli IP di uscita e potrebbe esserti utile nel caso decidessi (ma non mi sembra opportuno) di piazzare gli IP in whitelist; considera che i "#" sono "commenti" li ho lasciati semplicemente per chiarezza

    #
    # alice and interbusiness
    #        
    85.33.2.6   # smtp-out02.alice.it
    85.33.2.7   # smtp-out08.alice.it
    85.33.2.8   # smtp-out09.alice.it
    85.33.2.12  # smtp-out01.alice.it
    85.33.2.13  # smtp-out05.alice.it
    85.33.2.14  # smtp-out06.alice.it
    85.33.2.15  # smtp-out07.alice.it
    85.33.2.16  # smtp-out10.alice.it
    85.33.2.17  # smtp-out11.alice.it
    85.33.2.18  # smtp-out13.alice.it
    85.33.2.19  # smtp-out19.alice.it
    85.33.2.20  # smtp-out20.alice.it
    85.33.2.21  # smtp-out21.alice.it
    85.33.2.22  # smtp-out22.alice.it
    85.33.2.23  # smtp-out23.alice.it
    85.33.2.24  # smtp-out24.alice.it
    85.33.2.25  # smtp-out25.alice.it
    85.33.2.26  # smtp-out26.alice.it
    85.33.2.27  # smtp-out27.alice.it
    85.33.2.28  # smtp-out28.alice.it
    85.33.2.29  # smtp-out29.alice.it
    85.33.2.30  # smtp-out30.alice.it
    85.33.2.31  # smtp-out31.alice.it
    85.33.2.51  # iptvwm.rossoalice.virgilio.it
    85.33.2.53  # smtp.aliceposta.it
    85.33.2.55  # out.aliceposta.it
    85.33.2.56  # in.aliceposta.it
    85.33.2.57  # mail.rossoalice.virgilio.it
    85.33.2.58  # gmail.rossoalice.virgilio.it
    85.33.2.59  # pushsrv.attiva.biz
    85.33.2.128 # MTA128A.interbusiness.it
    85.33.2.129 # MTA129A.interbusiness.it
    85.33.2.130 # MTA130A.interbusiness.it
    85.33.2.131 # MTA131A.interbusiness.it
    85.33.2.132 # MTA132B.interbusiness.it
    85.33.2.133 # MTA133B.interbusiness.it
    85.33.2.134 # MTA134B.interbusiness.it
    85.33.2.135 # MTA135B.interbusiness.it
    85.33.2.136 # MTA136C.interbusiness.it
    85.33.2.137 # MTA137C.interbusiness.it
    85.33.2.138 # MTA138C.interbusiness.it
    85.33.2.139 # MTA139C.interbusiness.it
    85.33.2.140 # MTA140D.interbusiness.it
    85.33.2.141 # MTA141D.interbusiness.it
    85.33.2.142 # MTA142D.interbusiness.it
    85.33.2.143 # MTA143D.interbusiness.it
    85.33.3.5   # smtp-OUT05A.alice.it
    85.33.31.84 # smtpout084B.attiva.biz
    85.33.31.85 # smtpout085B.attiva.biz
    85.33.31.86 # smtpout086B.attiva.biz
    85.33.31.87 # smtpout087B.attiva.biz
    85.33.31.88 # smtpout088B.attiva.biz
    85.33.31.89 # smtpout089B.attiva.biz
    85.33.31.90 # smtpout090B.attiva.biz
    85.33.31.91 # smtpout091B.attiva.biz
    85.33.31.92 # smtpout092B.attiva.biz
    85.33.31.93 # smtpout093B.attiva.biz
    85.33.31.94 # smtpout094B.attiva.biz
    
    


    venerdì 30 settembre 2011 08:24
  • Perdonatemi se mi attacco qui :)

    Per inserire un dominio in withe list possiamo sfruttare l’agent di content filtering:

    Set-ContentFilterConfig -BypassedSenderDomains dominio.com


    Andrea Gallazzi
    http://www.andreagallazzi.com
    This posting is provided "AS IS" with no warranties, and confers no rights.
    venerdì 30 settembre 2011 08:56
  • Scusatemi per il ritardo sono travolto da altri problemi, lavorativi e personali.

    Provo i suggerimenti quanto prima e vi aggiorno.

     

    Andrea: ma con quello posso bypassare solo il content filterning, non le dnsbl. grazie comunque!

    martedì 11 ottobre 2011 09:40
  • Si.

    Per bypassare le liste di blocco usa il Tab "Exceptions" sotto "IP Block List Providers Properties"

    ciao


    Andrea Gallazzi
    http://www.andreagallazzi.com
    This posting is provided "AS IS" with no warranties, and confers no rights.
    martedì 11 ottobre 2011 09:46