none
Exchange 2007 (SBS) invalid HELO?? Blacklisted RRS feed

  • Domanda

  • Ciao a tutti,

    sono un paio di settimane che combatto contro CBL (http://cbl.abuseat.org/) perchè ogni tanto mi piazza il mail server (SBS2008 - Exchange 2007) nella sua blacklist.

    Rimuovo da apposita utility l'IP del mail server e dopo una mezz'ora ritorna NOT LISTED.

    Non capisco perchè CBL mi metta il server in blacklist, è l'unico che lo fa!!

    Dice che il mio mail server o è infetto (e non è vero) o che è mal configurato.

    Nella sezione NAMING PROBLEMS (http://cbl.abuseat.org/namingproblems.html) sembrerebbe che l'HELO del mio SBS connector di Exchange 2007 non sia corretto (secondo loro).

    In telnet il mio server risponde: 220 remote.miodominio.it Microsoft ESMTP MAIL Service ready at data ed ora

    Dite che l'HELO non sia legale/corretto?

    Il reverse dns dell'IP pubblico restituisce correttamente l'host remote.miodominio.it

    Per la configurazione del mail server ho seguito la guida di Obiwan!

    Grazie mille, ciao

    Lorenzo


    Lorenzo
    lunedì 16 maggio 2011 10:20

Risposte

  • AAAHHHHRRR.. forse ho capito...

    Vedi... ti eri inalberato inutilmente, non esiste alcun tipo di
    difficoltà nel dire chiaramente..etc... ma... realizzare per tuo
    conto quale possa essere il problema ha un valore MOLTO
    più alto e, credo, in futuro, non dimenticherai un "dettaglio"
    di questo genere... ora... capisci perchè non ti ho fornito la
    soluzione bella e cotta :D ?

    "ho dimenticato una cosa fondamentale; nel caso in cui si abbia a
    disposizione un*UNICO* indirizzo IP (ovviamente... statico) che viene
    usato sia per la navigazione che per la pubblicazione del mail server
    è fondamentale configurare il firewall creando una regola di blocco
    che impedisca alle macchine della LAN l'uscita verso la porta 25/tcp
    di hosts esterni e che permetta tale accesso solo alla macchina sulla
    quale è installato il mailserver "

    Faccio subito la regola sul firewall.. potrebbe essere la causa di
    tutto??

    Beh, si, ma in tal caso questo significa che hai sulla rete una o più
    macchine infette e, sinceramente, credo sia il caso di dare un'occhiata
    alla rete; ora... considerando che hai deciso di impostare la regola di
    cui si parla (vedere [1] e [2]) sul firewall, credo che possa essere una
    buona idea controllare i logs del firewall e del server SMTP onde poter
    trovare gli hosts compromessi e procedere alla pulizia dei sistemi ed
    alla castraz... ehm... istruzione degli utenti al fine di assicurarsi
    che ciò
    non accada in futuro

    [1]
    http://blogs.dotnethell.it/obiwan/Mettere-in-piedi-un-mailserver__9791.aspx

    [2]
    http://blogs.dotnethell.it/obiwan/Microsoft-Exchange-e-lo-spam__11282.aspx

    • Contrassegnato come risposta lorenzo77vr lunedì 23 maggio 2011 07:51
    lunedì 16 maggio 2011 13:02
  • Tu scrivi nella tua guida:
    "ho dimenticato una cosa fondamentale; nel caso in cui si abbia a
    disposizione un*UNICO* indirizzo IP (ovviamente... statico) che viene
    usato sia per la navigazione che per la pubblicazione del mail server
    è fondamentale configurare il firewall creando una regola di blocco
    che impedisca alle macchine della LAN l'uscita verso la porta 25/tcp
    di hosts esterni e che permetta tale accesso solo alla macchina sulla
    quale è installato il mailserver "

    Faccio subito la regola sul firewall.. potrebbe essere la causa di
    tutto??

    Per chiarire; se l'IP sul quale è attestato il mailserver è lo stesso
    usato
    dai clients LAN per connettersi ad internet e se quella regola non è
    presente, basta che un client venga infettato da una qualche bestiaccia
    ed inizi a sparar fuori "immondizia" per far finire l'indirizzo IP di
    emissione
    in blacklist e, siccome l'indirizzo è lo STESSO usato per il
    mailserver...

    Quindi... assicurati di filtrare sul firewall ma, subito dopo, controlla
    i logs
    dello stesso, identifica il client o i clients che tentano di uscire
    sulla 25
    e procedi con una pulizia a fondo con candeggio e centrifuga :D

    • Contrassegnato come risposta Anca Popa lunedì 23 maggio 2011 07:40
    martedì 17 maggio 2011 07:39

Tutte le risposte

  • Usando un tool online (MXTOOLBOX) risulta:

    SMTP TEST:

    HELO please-read-policy.mxtoolbox.com
    250 remote.miodominio.it Hello [xx.xx.xxx.xxx] [156 ms]
      MAIL FROM: supertool@mxtoolbox.com
      250 2.1.0 Sender OK [140 ms]
      RCPT TO: test@example.com
      550 5.7.1 Unable to relay [5148 ms]
      QUIT
      221 2.0.0 Service closing transmission channel [156 ms]



    Lorenzo
    lunedì 16 maggio 2011 10:36
  • sono un paio di settimane che combatto contro CBL
    (http://cbl.abuseat.org/) perchè ogni tanto mi piazza
    il mail server (SBS2008 - Exchange 2007) nella sua
    blacklist.

    Non so chi sia il disgraziato che sta ancora usando CBL
    per il filtraggio, sinceramente non credo che sia una
    qualche organizzazione seria dato che a causa di un tot
    di falsi positivi, CBL non è utilizzabile in "blocking" ormai
    da parecchio tempo

    Rimuovo da apposita utility l'IP del mail server e dopo una
    mezz'ora ritorna NOT LISTED.

    Beh si, il delisting è automatico ma non serve a nulla se
    non risolvi prima il problema che ha causato il listing
    dato che dopo un pochino... tornerai in "hit parade" :-D

    Dice che il mio mail server o è infetto (e non è vero) o che è mal
    configurato.

    L'IP sul quale è attestato il mailserver è lo stesso usato dai
    clients della LAN per uscire su internet ?

    Inoltre hai abilitato il "recipient filtering" e disabilitato l'invio
    automatico
    di messaggi da parte dell'eventuale scanner antivirus ?

    lunedì 16 maggio 2011 11:03
  • sono un paio di settimane che combatto contro CBL
    (http://cbl.abuseat.org/) perchè ogni tanto mi piazza
    il mail server (SBS2008 - Exchange 2007) nella sua
    blacklist.

    Non so chi sia il disgraziato che sta ancora usando CBL
    per il filtraggio, sinceramente non credo che sia una
    qualche organizzazione seria dato che a causa di un tot
    di falsi positivi, CBL non è utilizzabile in "blocking" ormai
    da parecchio tempo

    ooops... mi sono confuso con un'altra lista :) no... CBL è ok
    anzi, è inclusa in zen.spamhaus.org... uffa, quando inizio ad
    avere fame è meglio che mangi prima di scrivere :)

    fammi comunque sapere per il resto

    lunedì 16 maggio 2011 11:15
  • L'IP sul quale è attestato il mailserver è lo stesso usato dai
    clients della LAN per uscire su internet ?

    Inoltre hai abilitato il "recipient filtering" e disabilitato l'invio
    automatico
    di messaggi da parte dell'eventuale scanner antivirus ?


    Allora: l'IP pubblico è uno solo sia per il mail server che per tutti i PC/server della rete.

    Non capisco però quale sia la difficoltà di dire in modo chiaro e trasparente cosa ha determinato l'inserimento nella loro blacklist..

    Mi sembra assurdo.. Ho utilizzato tutti i tuoi consigli, c'è un test online per verificare la corretta impostazione del mail server (oltre ai test da me già eseguiti)?

    Il recipient filtering è abilitato (blocca le mail per gli utenti non esistenti).

    L'invio automatico dell'antivirus dovrebbe essere disabilitato (ho Mail Security for MS Exchange di Symantec). Proverò a verificare meglio ma non mi risulta che invii messaggi tipo "ehi amico sei infetto e quindi non accetto la tua mail..".


    Lorenzo
    lunedì 16 maggio 2011 11:36
  • AAAHHHHRRR.. forse ho capito...

    Tu scrivi nella tua guida:
    "ho dimenticato una cosa fondamentale; nel caso in cui si abbia a disposizione un UNICO indirizzo IP (ovviamente... statico) che viene usato sia per la navigazione che per la pubblicazione del mail server è fondamentale configurare il firewall creando una regola di blocco che impedisca alle macchine della LAN l'uscita verso la porta 25/tcp di hosts esterni e che permetta tale accesso solo alla macchina sulla quale è installato il mailserver "

    Faccio subito la regola sul firewall.. potrebbe essere la causa di tutto??


    Lorenzo
    lunedì 16 maggio 2011 11:51
  • AAAHHHHRRR.. forse ho capito...

    Vedi... ti eri inalberato inutilmente, non esiste alcun tipo di
    difficoltà nel dire chiaramente..etc... ma... realizzare per tuo
    conto quale possa essere il problema ha un valore MOLTO
    più alto e, credo, in futuro, non dimenticherai un "dettaglio"
    di questo genere... ora... capisci perchè non ti ho fornito la
    soluzione bella e cotta :D ?

    "ho dimenticato una cosa fondamentale; nel caso in cui si abbia a
    disposizione un*UNICO* indirizzo IP (ovviamente... statico) che viene
    usato sia per la navigazione che per la pubblicazione del mail server
    è fondamentale configurare il firewall creando una regola di blocco
    che impedisca alle macchine della LAN l'uscita verso la porta 25/tcp
    di hosts esterni e che permetta tale accesso solo alla macchina sulla
    quale è installato il mailserver "

    Faccio subito la regola sul firewall.. potrebbe essere la causa di
    tutto??

    Beh, si, ma in tal caso questo significa che hai sulla rete una o più
    macchine infette e, sinceramente, credo sia il caso di dare un'occhiata
    alla rete; ora... considerando che hai deciso di impostare la regola di
    cui si parla (vedere [1] e [2]) sul firewall, credo che possa essere una
    buona idea controllare i logs del firewall e del server SMTP onde poter
    trovare gli hosts compromessi e procedere alla pulizia dei sistemi ed
    alla castraz... ehm... istruzione degli utenti al fine di assicurarsi
    che ciò
    non accada in futuro

    [1]
    http://blogs.dotnethell.it/obiwan/Mettere-in-piedi-un-mailserver__9791.aspx

    [2]
    http://blogs.dotnethell.it/obiwan/Microsoft-Exchange-e-lo-spam__11282.aspx

    • Contrassegnato come risposta lorenzo77vr lunedì 23 maggio 2011 07:51
    lunedì 16 maggio 2011 13:02
  • Ciao,

    credo comunque sia doverosa più trasparenza. Se un giorno il loro "coso" funziona male come faccio a capire se è un mio problema?

    Di macchine infette ne avevo una (già sistemata e LA utente è molto sfitinzia ;-D per cui non le ho detto più di tanto né cmq posso fisicamente castra****!)

    La soddisfazione nel trovare la soluzione al problema avrebbe un valore molto più alto se a ciò corrispondesse uno stipendio dignitoso..

    GRAZIE INTANTO. Se ci saranno novità in merito ti farò sapere..

    Ciao



    Lorenzo
    lunedì 16 maggio 2011 13:13
  • Ciao,

    Ciao :) !

    credo comunque sia doverosa più trasparenza. Se un giorno il loro
    "coso" funziona male come faccio a capire se è un mio problema?

    Si ma "loro" come fanno a sapere che "tu sei tu" e che non si tratti
    invece di uno spammer conclamato ed inveterato che sta soltanto
    cercando di fare in modo che la propria immondizia passi ?

    Di macchine infette ne avevo una (già sistemata e LA utente è
    molto sfitinzia ;-D per cui non le ho detto più di tanto né cmq
    posso fisicamente castra****!)

    Beh... castr... no, però credo tu abbia abbastanza knowledge da
    essere in grado di trovare un altro metodo <g> :D

    Seriamente, se c'era (o, considerando PBL, più probabilmente
    c'E' -  o ci sono) una o più macchine compromesse, credo che
    sia il caso di dare un'occhiata a quel che "gira" su quella rete,
    allo scopo, visto che le giornate sono composte da 24 ore e
    considerando che un "admin" di solito non è che le passi facendo
    elioterapia <g>, credo che potresti recuperare un vecchio carretto
    (basta anche un Pentium-I :D) metterci dentro un pochino di RAM,
    un paio di schede di rete ed usarlo per far girare questo simpatico
    coso qui http://www.bothunter.net/ al fine di scoprire chi realmente
    stia avvalendosi della tua connessione internet :)

    La soddisfazione nel trovare la soluzione al problema avrebbe un
    valore molto più alto se a ciò corrispondesse uno stipendio

    dignitoso..

    Sei in errore, mi dispiace dirtelo, vedi, il trovare una soluzione ad un
    dato problema accresce il TUO bagaglio di conoscenze, il tutto a
    prescindere dal salario o quant'altro e... considera che il bagaglio di
    conoscenze lo porterai SEMPRE con te, indipendentemente dal tipo
    di lavoro, dalla mansione e dal salario, anzi... sapere come far fronte
    ad un dato problema o come configurare correttamente un dato sistema
    al fine di evitare problemi (o di risolverli - ma in quel caso
    evidentemente
    chi aveva configurato il sistema non aveva le conoscenze) HA un valore
    e, di nuovo, se ti avessi detto "fai questo, questo e questo", credi che
    in un futuro ti saresti ricordato della cosa :) - vedi, non è
    "trolling", anzi,
    al contrario, cerco solo di insegnarti a pescare ... invece di regalarti
    un
    pesce :D

    lunedì 16 maggio 2011 13:23
  • Resta da capire perchè su 103 blacklist interrogate solo quella mi mette in Blacklist..
    Il filtro lo potrebbero fare bloccando la verifica per connessioni effettuate solo dall'IP incriminato. Forse la faccio facile ma a volte è tutto così complicato.

    Relativamente al discorso "stipendio" capisco la tua posizione. Ma avendo vissuto le esperienze in prima persona non lo condivido. A chiacchere ci sono tecnici che ne sanno il doppio di me ma nei fatti la metà della metà. Conta spesso solo l'intelligenza di chi ascolta.

    La ricerca della risposta a volte è determinata dalla fretta che ti mettono dai "piani alti". Non mi è mai mancata la curiosità e il cercare di arrangiarmi.

    Grazie comunque di tutto, invidio la tua preparazione..

    Spero di aver risolto i problemi.. Di clienti ne ho diversi, stesse configurazioni ma nessuno mi finisce in BL.. almeno fino ad ora!


    Lorenzo
    lunedì 16 maggio 2011 13:38
  • P.S. ma bothunter non c'è ancora per windows.. mannaccia..
    Lorenzo
    lunedì 16 maggio 2011 13:40
  • Resta da capire perchè su 103 blacklist interrogate solo
    quella mi mette in Blacklist.. Il filtro lo potrebbero fare bloccando
    la verifica per connessioni effettuate solo dall'IP incriminato.
    Forse la faccio facile ma a volte è tutto così complicato.

    FRENA TUTTO: come sarebbe ? Se sei in CBL almeno in "teoria"
    dovresti essere anche (si ok, non tu, l'IP) listato su "zen" ! Uffa..
    certo
    che se si postassero gli IP sarebbe tutto più facile, alla fine della
    fiera non è mica un segreto, anzi, in quel modo uno potrebbe anche
    fare qualche ulteriore verifica ... vabbè :P

    Relativamente al discorso "stipendio" capisco la tua posizione.
    Ma avendo vissuto le esperienze in prima persona non lo condivido.
    A chiacchere ci sono tecnici che ne sanno il doppio di me ma nei fatti
    la metà della metà. Conta spesso solo l'intelligenza di chi ascolta.

    No, scusa se te lo dico, ma credo tu non abbia afferrato quello che
    ho cercato di dire; per farla breve, se ti capita la "castagna bollente"
    questa è una rogna, per carità, ma... se e quando sistemerai la cosa
    l'esperienza che ti sarai fatta... sarà TUA e SOLO tua e quella te la
    porterai dietro, indipendentemente dal "dove" starai lavorando :)

    La ricerca della risposta a volte è determinata dalla fretta che ti
    mettono dai "piani alti". Non mi è mai mancata la curiosità e il
    cercare di arrangiarmi.

    Conosco ... non credere; non sono nato ieri e non sono stato nella
    "bambagia", ma... c'è modo e modo e comunque, anche per "la
    fretta che ti mettono" c'è rimedio ;)

    Grazie comunque di tutto, invidio la tua preparazione..

    Esperienza ... niente di che, fatta sui testi e sul campo; ma non mi
    fare arrossire per favore, non sono nè sono mai stato il tipo che si
    mette a sbandierare certe cose; uso quello che so quando serve
    e se serve, punto e basta, il resto... sono solo chiacchiere inutili

    Spero di aver risolto i problemi.. Di clienti ne ho diversi, stesse
    configurazioni ma nessuno mi finisce in BL.. almeno fino ad ora!

    Beh... in qualsiasi caso... sono qui; anzi... dimenticavo, sono contento
    del fatto che tu abbia seguito la mia "guida" per configurare il server
    di posta e spero sinceramente che, a parte questa "svista" (suvvia,
    lo avevo ben scritto :D !) relativa alle regole del firewall, il resto
    non
    ti abbia creato problemi ... e, semmai sono, anzi siamo, visto che qui
    c'è una bella community, qui !!!

    lunedì 16 maggio 2011 13:54
  • > P.S. ma bothunter non c'è ancora per windows.. mannaccia..

    Suvvia... credo tu sappia creare ed usare un BootCD  :-D !!

    lunedì 16 maggio 2011 13:55
  • No.. :-D
    Sarà il caldo ma non ci avevo pensato!

    Oppure visto che c'è per MACOS penso che mi comprerò un macbook pro da 2000 euro per l'occasione!

    Grazie ancora, ciao


    Lorenzo
    lunedì 16 maggio 2011 14:03
  • No.. :-D
    Sarà il caldo ma non ci avevo pensato!

    Primo ufficiale !!! Porti il signor Lorenzo nella sentina a smaltire il
    caldo !

    <g>

    Oppure visto che c'è per MACOS penso che mi comprerò un macbook
    pro da 2000 euro per l'occasione!

    Guarda che basta tirare giù la ISO, masterizzarla ed usarla per avviare
    un qualsivoglia "vecchio carretto" (basta pure un P-166); assicurati
    solo
    di connetterlo ad una porta "monitor" dello switch o, in qualsiasi caso,
    in
    modo che possa "vedere" tutto il traffico tra la LAN ed Internet; il
    resto...
    beh... verrà da solo :D

    Grazie ancora, ciao

    Come "grazie e ciao !" azz... dove spedisco la fattura :) ?

    lunedì 16 maggio 2011 14:12
  • Tu scrivi nella tua guida:
    "ho dimenticato una cosa fondamentale; nel caso in cui si abbia a
    disposizione un*UNICO* indirizzo IP (ovviamente... statico) che viene
    usato sia per la navigazione che per la pubblicazione del mail server
    è fondamentale configurare il firewall creando una regola di blocco
    che impedisca alle macchine della LAN l'uscita verso la porta 25/tcp
    di hosts esterni e che permetta tale accesso solo alla macchina sulla
    quale è installato il mailserver "

    Faccio subito la regola sul firewall.. potrebbe essere la causa di
    tutto??

    Per chiarire; se l'IP sul quale è attestato il mailserver è lo stesso
    usato
    dai clients LAN per connettersi ad internet e se quella regola non è
    presente, basta che un client venga infettato da una qualche bestiaccia
    ed inizi a sparar fuori "immondizia" per far finire l'indirizzo IP di
    emissione
    in blacklist e, siccome l'indirizzo è lo STESSO usato per il
    mailserver...

    Quindi... assicurati di filtrare sul firewall ma, subito dopo, controlla
    i logs
    dello stesso, identifica il client o i clients che tentano di uscire
    sulla 25
    e procedi con una pulizia a fondo con candeggio e centrifuga :D

    • Contrassegnato come risposta Anca Popa lunedì 23 maggio 2011 07:40
    martedì 17 maggio 2011 07:39
  • Ottima strategia...

    Mi collego subito a verificare il log ma credo che la macchina incriminatal'ho già rimossa da un paio di settimane..

    Ciao


    Lorenzo
    martedì 17 maggio 2011 12:25
  • DOMANDA:

    Ho scoperto oggi che un software creato ad hoc per l'azienda utilizza l'SMTP del provider (smtp.isp.it) non autenticato per spedire la posta (utilizzando chiaramente l'IP pubblico che utilizza Exchange) ad utenti interni (purtroppo sono mesi che hanno sollecitato il programmatore a far si che si autentichi in exchange invece di utilizzare un SMTP esterno... sempre che si possa fare..).

    Potrebbe questo comportamento secondo te essere motivo di blacklist??

    Grazie.


    Lorenzo
    martedì 17 maggio 2011 13:08
  • DOMANDA:

    Ho scoperto oggi che un software creato ad hoc per l'azienda utilizza
    l'SMTP del provider (smtp.isp.it) non autenticato per spedire la posta
    (utilizzando chiaramente l'IP pubblico che utilizza Exchange) ad
    utenti interni (purtroppo sono mesi che hanno sollecitato il
    programmatore a far si che si autentichi in exchange invece di
    utilizzare un SMTP esterno...).

    Potrebbe questo comportamento secondo te essere motivo di blacklist??

    SE (grosso SE) quel s/w invia solo delle "rare" emails ad indirizzi
    pienamente validi e verificati, la risposta è NO; in qualsiasi caso
    l'approccio è totalmente (scusa il francese IDIOTA); quel s/w va
    configurato in modo da spedire tramite il vostro mailserver e NON
    tramite un qualsiasi server "in giro per il mondo"; assicurati che sia
    riconfigurato o, se ciò non fosse possibile, che il codice venga
    corretto in modo opportuno e, se ancora ciò non fosse possibile,
    il mio consiglio è quello di cercarti un altro s/w dato che in tal caso
    chi ha scritto quello che usi non capisce nulla di email nè "internet"
    in senso lato

    martedì 17 maggio 2011 13:12
  • Forse è la soluzione più comoda per il programmatore.

    L'smtp utilizzato comunque è quello del provider della connessione (NGI).

    Finora il servizio mi è sempre sembrato in generale molto serio, ciò non significa come dici tu che sia la pratica più corretta.


    Lorenzo
    martedì 17 maggio 2011 13:21
  • Forse è la soluzione più comoda per il programmatore.

    Non ha senso :) vedi, se metti insieme del codice che permette
    di inviare delle emails, la prima cosa da fare (visto che il s/w sarà
    usato in diverse realtà) è assicurarsi di poter utilizzare qualsiasi
    mailserver venga usato "dall'azienda" nella quale andrai ad
    installare il tuo s/w in modo da evitare problemi (es. SPF) e da
    garantire che il s/w in questione funzioni come necessario; se
    questo non è il caso, evidentemente chi ha scritto quel s/w non
    aveva le necessarie conoscenze... ed a questo punto tralascio
    per ovvii motivi, qualsivoglia ulteriore considerazione

    L'smtp utilizzato comunque è quello del provider della connessione
    (NGI).

    Non ha alcuna rilevanza; se uno ha un proprio mailserver autorizzato
    (SPF, senderID... etc...) all'invio di emails, un s/w che voglia inviare
    dei
    messaggi DEVE usare tale mailserver e NON quello che "preferisce"
    chi ha scritto il programma... suvvia !!! Non siamo mica nel 1997 !!

    martedì 17 maggio 2011 13:35
  • Caro ObiWan,

    sai quanti tecnici (a 80 € l'ora...) negli ultimi anni mi hanno detto: "Beh... metti *lì* l'SMTP del provider...!"


    Lorenzo
    martedì 17 maggio 2011 13:37
  • Caro ObiWan,

    Caro ? Azz... non ho neanche presentato il conto !!

    sai quanti tecnici (a 80 € l'ora...) negli ultimi anni mi hanno
    detto: "Beh... metti l'SMTP del provider...!"

    Normale, un teNNico prezzolato di solito "tira corto" e non
    si preoccupa di capire ammodino le cose, gli basta che
    "tutto funzioni"... per il momento... in modo da potersene
    andare sapendo che "funziona" e presentarti il conto...
    ma tra quello ed una config fatta come si deve ce ne
    corre... e ce ne corre MOLTO !!!

    martedì 17 maggio 2011 13:54
  • Ciao Lorenzo,

    Il tuo quesito è ancora aperto. Potresti per cortesia farci sapere se sei riuscito a risolvere ed eventualmente segnare i post che ti hanno aiutato? Il tuo feedback sarà utile per gli altri utenti che seguono la discussione.

    Ti ringrazio in anticipo della tua collaborazione.

    Saluti,


    Anca Popa Follow ForumTechNetIt on Twitter

    Come calcolare la dimensione della Rubrica offline (OAB)

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    venerdì 20 maggio 2011 11:39
  • Ciao,

    il quesito era ancora aperto perchè il programmatore (di cui sopra) latita ed i tempi per verificare se il problema si è risolto sono lunghi da verificare (non so quando e se mi metteranno in blacklist).

    Comunque sia ritengo che ObiWan mi abbia indirizzato sulla strada giusta e il problema sia risolto. Almeno lo spero!

    Grazie.. Ciao


    Lorenzo
    lunedì 23 maggio 2011 07:53
  • Ciao,

    il quesito era ancora aperto perchè il programmatore (di cui sopra) latita ed i tempi per verificare se il problema si è risolto sono lunghi da verificare (non so quando e se mi metteranno in blacklist).

    Comunque sia ritengo che ObiWan mi abbia indirizzato sulla strada giusta e il problema sia risolto. Almeno lo spero!

    Grazie.. Ciao


    Lorenzo

    Allora... per quanto riguarda il programma al quale fai riferimento e che invia emails, se il s/w in questione NON è (spero) installato sul vostro "mailserver" ma su un computer "a parte", per risolvere il problema senza modificare il programma ti basterebbe usare un piccolo trucco; in pratica, supponendo che il s/w utilizzi "smtp.ngi.it" per l'invio delle email, ti basterà accedere come "admin" al computer sul quale tale s/w è installato ed editare il file %systemroot%\system32\drivers\etc\hosts inserendo in tale file una riga di questo tipo

    192.168.1.100 smtp.ngi.it
    

    ovviamente al posto di "192.168.1.100" dovrai immettere l'indirizzo IP LAN del tuo Exchange, a questo punto ti basterà riavviare il computer in questione (in teoria dovrebbe essere sufficiente riavviare il s/w ma... tanto per star tranquilli un reboot non guasterà) e da quel momento il s/w si connetterà al tuo exchange per l'invio delle email dato che... il file hosts forzerà la risoluzione di "smtp.ngi.it" all'IP del tuo exchange :D

    Tornando al discorso blacklists... potresti per cortesia controllare se nel tuo exchange hai configurato gli indirizzi "abuse" e "postmaster" (vanno benone anche come "alias") e se tali indirizzi puntano ad una mailbox che venga letta regolarmente da qualcuno ? Vedi, nel caso di problemi (es. spamming) di norma, diverse blacklists inviano PRIMA una email ad uno di tali indirizzi cercando di contattare l'admin ed in mancanza di una risposta in tempi ragionevoli... procedono al listing dell'IP, quindi è importante avere quei due indirizzi ed è importante leggere le emails che arrivano agli stessi

    ciao

     

    lunedì 23 maggio 2011 08:09
  • ma... tanto per star tranquilli un reboot non guasterà) e da quel
    momento il s/w si connetterà al tuo exchange per l'invio delle
    email dato che... il file hosts forzerà la risoluzione di

    "smtp.ngi.it"

    all'IP del tuo exchange :D

    Dimenticavo; a questo punto ti converrà tenere d'occhio i logs
    del tuo exchange per verificare se vi siano errori di invio o se
    risulti del traffico "strano" da parte del s/w in questione

    lunedì 23 maggio 2011 08:17
  • Ottimo suggerimento per l'SMTP: purtroppo però non è fattibile perchè il sw è così strutturato:

    - DB centralizzato su server (non sul mailserver)

    - sw installato solo sui client che interrogano il DB

    In pratica vengono (venivano...) rilasciate delle release che ogni utente deve installarsi autonomamente sul client aggiornando il programma all'ultima versione.

    Pertanto il trucco del fiel hosts dovrebbe essere fatto su tutti i PC su cui è installato il sw.


    Lorenzo
    lunedì 23 maggio 2011 08:24
  • - DB centralizzato su server (non sul mailserver)

    - sw installato solo sui client che interrogano il DB

    In pratica vengono (venivano...) rilasciate delle release che ogni
    utente deve installarsi autonomamente sul client aggiornando il
    programma all'ultima versione.

    Pertanto il trucco del fiel hosts dovrebbe essere fatto su tutti i PC
    su cui è installato il sw.

    Uhm... potresti provare creando tre regole nel firewall ossia

    1. Blocca uscita SMTP per tutti

    2. Consenti uscita SMTP solo all'IP di exchange

    3. Consenti a tutti uscita SMTP ma SOLO verso il server NGI

    in tal modo i clients potranno spedire posta SOLO utilizzando
    il tuo mailserver O il mailserver di NGI il che ti permetterà di
    stare comunque al riparo da virus che inizino ad inviare spam
    direct-to-mx; in alternativa (ma c'è da valutare l'impatto di una
    cosa del genere) potresti modificare il DNS locale inserendo
    nello stesso una zona primaria standard di nome smtp.ngi.it
    (assumendo che sia quello il nome host) e creando nella zona
    un singolo record senza nome che punti all'IP LAN del tuo
    server exchange... occhio però, la cosa potrebbe crearti dei
    problemi di spedizione email da exchange verso NGI !!

    Un terzo approccio potrebbe essere quello di usare un logon
    script che provveda ad effettuare la modifica del file hosts sui
    clients; in tal caso ti basterà applicare le regole 1 e 2 al tuo
    firewall senza aggiungere l'eccezione 3

    lunedì 23 maggio 2011 10:17
  • Grazie Ben,

    credo di riuscire a provare la tua "scappatoia" mercoledì.. attualmente sto gestendo un disaster recovery da un altro cliente :-( :-(

    L'unica cosa che non ho capito è il punto 3...
    Poi volevo capire, se secondo te, se metto sul firewall una regola LAN to LAN affinchè per la porta 25 tutti i PC utilizzando smtp.ngi.it abbiano il forward verso la 25 del server Exchange che poi è l'unica macchina attualmente autorizzata ad uscire con la 25.


    Lorenzo
    martedì 24 maggio 2011 08:44
  • L'unica cosa che non ho capito è il punto 3...

    L'idea è quella di consentire l'invio a "qualsiasi SMTP esterno" solo
    al tuo exchange e, di contro, consentire l'invio diretto verso il server
    SMTP di "ngi" (del provider) a tutti gli hosts in modo da permettere
    al programma di funzionare

    Poi volevo capire, se secondo te, se metto sul firewall una regola
    LAN to LAN affinchè per la porta 25 tutti i PC utilizzando smtp.ngi.it
    abbiano il forward verso la 25 del server Exchange che poi è l'unica
    macchina attualmente autorizzata ad uscire con la 25.

    sicuramente potrebbe essere una soluzione ed a questo punto non
    avresti bisogno del "punto 3" :D

    martedì 24 maggio 2011 13:11
  • Ciao Obiwan,

    mi sono preso qualche giorno per fare dei test. La porta 25 è tuttora bloccata per tutti gli IP ad eccezione del server exchange (infatti il software gestionale non riesce più ad inviare mail...).

    Oggi sono finito di nuovo nella stessa blacklist. Suggerimenti?

    Grazie. Ciao


    Lorenzo
    lunedì 30 maggio 2011 08:05
  • Oggi però sul sito di CBL mi compare anche questo:

    http://www.symantec.com/business/support/index?page=content&id=TECH131119&locale=en_US

    In effetti ho questo antivirus.. Verifico.


    ******

    Allora.. ho verificato l'antivirus e tolto tutte le notifiche via mail (almeno spero).

    Avendo un prodotto della Symantec per il backup che mi notifica per ogni processo schedulato ho cambiato la mail di mittente (che si autentica su exchange) e destinatario da MIODOMINIO.IT a MIODOMINIO.LOCAL

    In teoria ora il messaggio nemmeno dovrebbe uscire o comunque essere ignorato dall'antispam in quanto mittente e destinatario fanno parte dell'organizzazione.

    Speriamo!

    lunedì 30 maggio 2011 08:07
  • Tornando al discorso blacklists... potresti per cortesia controllare se nel tuo exchange hai configurato gli indirizzi "abuse" e "postmaster" (vanno benone anche come "alias") e se tali indirizzi puntano ad una mailbox che venga letta regolarmente da qualcuno ? Vedi, nel caso di problemi (es. spamming) di norma, diverse blacklists inviano PRIMA una email ad uno di tali indirizzi cercando di contattare l'admin ed in mancanza di una risposta in tempi ragionevoli... procedono al listing dell'IP, quindi è importante avere quei due indirizzi ed è importante leggere le emails che arrivano agli stessi

    Verificato anche questo: in realtà in ambiente SBS (2008) la gestione degli indirizzi da te indicati viene già configurata per un gruppo di distribuzione di default "reporting and abuse group" (ora non ricordo il nome di preciso).

    Ho impostato alias differenti e messo sul mio utente gli indirizzi da te citati. Spero che non mi riempi la casella...
    Lorenzo
    lunedì 30 maggio 2011 08:37
  • Oggi però sul sito di CBL mi compare anche questo:

    http://www.symantec.com/business/support/index?page=content&id=TECH131119&locale=en_US


    In effetti ho questo antivirus.. Verifico.

    Uhmmmmm

    "When the Symantec Protection Center email notification is sent via the
    Internet"

    ora, quanto sopra significa che il tuo antivirus è configurato in modo
    "errato";
    mi spiego, diversi produttori di antivirus implementano un meccanismo
    che
    è una ... cretinata (mi scuso per il termine ma è così); in pratica tali
    prodotti
    nel momento in cui identificano una email "infetta" bloccano la stessa
    ed
    inviano al mittente una mail del tipo "la vostra email è stata bloccata
    dato
    che conteneva il virus xyz" ... ora, considerando che le mail contenenti
    virus (o spam di vario genere) nel 99.999% dei casi usano indirizzi
    email
    fasulli, è facile capire come, inviare "notifiche" di questo genere
    significhi
    semplicemente sparar fuori email a gente che non ha mai inviato il virus
    in questione il che, ovviamente, oltre a causare inconvenienti ad altri,
    è
    anche causa di blacklisting. Onde ovviare al problema ti consiglio di
    disabilitare quanto prima tale INSANA feature limitandoti a rifiutare le
    emails infette senza però inviare notifiche o, se proprio vuoi inviare
    le notifiche in questione... inviale al TUO indirizzo postmaster e non
    "in
    giro per il mondo"; per ulteriori dettagli, ti consiglio di leggere
    questo

    http://www.dontbouncespam.org/

    e, già che ci siamo, di dare anche un'occhiata a questi

    http://blogs.dotnethell.it/obiwan/Mettere-in-piedi-un-mailserver__9791.aspx

    http://blogs.dotnethell.it/obiwan/Microsoft-Exchange-e-lo-spam__11282.aspx

    che potrebbero fornirti lo spunto per ulteriori controlli al fine di
    accertarti
    che il tuo mailserver sia stato messo in piedi "come si deve"

    ciao

    lunedì 30 maggio 2011 08:45
  • Non credo che il bounce c'entri qualcosa..

    In effetti Symantec di default non notifica mai i mittenti di mail infette né attacca alcunchè alle mail in uscita.

    Piuttosto secondo me sono i report inviati dal programma con il riepilogo settimanale a causare rogne.

    Li ho disattivati. La cosa strana è che la stessa piattaforma (S.O. e antivirus) con le stesse impostazioni su altri 2 clienti non ha mai dato problemi di blacklist. Boh!


    Lorenzo
    lunedì 30 maggio 2011 10:40
  • Non credo che il bounce c'entri qualcosa..

    Non è detto, non è detto :)

    In effetti Symantec di default non notifica mai i mittenti di mail
    infette né attacca alcunchè alle mail in uscita.

    Sei proprio sicuro al 100% che NON vengano generati bounces ?

    Piuttosto secondo me sono i report inviati dal programma con il
    riepilogo settimanale a causare rogne.

    Uhm... scusa ma... tali reports settimanali vengono inviati a degli
    indirizzi esterni ?

    lunedì 30 maggio 2011 11:20
  • Sei proprio sicuro al 100% che NON vengano generati bounces ?
    Uhm... scusa ma... tali reports settimanali vengono inviati a degli
    indirizzi esterni ?


    Si, sono sicuro...

    In effetti ora che ho controllato il report che arriva(va) alla mia casella Gmail (ora corretto) e da un indirizzo tipo SPC_Server@gmail.com :-o

    Forse ho trovato l'arcano.. E' il software Symantec che fa casino figurando come account Gmail e pertanto blacklistato..


    Lorenzo
    lunedì 30 maggio 2011 14:24
  • In effetti ora che ho controllato il report che arriva(va) alla mia
    casella Gmail (ora corretto) e da un indirizzo
    tipoSPC_Server@gmail.com <mailto:SPC_Server@gmail.com> :-o

    Ahia :)

    Forse ho trovato l'arcano.. E' il software Symantec che fa casino
    figurando come account Gmail e pertanto blacklistato..

    Beh... guarda, se vuoi/devi inviare quei reports ad un account esterno
    secondo me ti conviene fare in questo modo; supponendo che il
    nome del dominio "servito" da exchange sia example.com

    1. crea un alias di nome "noreply@example.com" facendo in modo
        che l'alias punti alla mailbox "postmaster" o comunque ad una
        mailbox esistente (e letta regolarmente da un essere umano :D)

    2. configura l'antivirus per usare l'indirizzo di cui sopra come
    mittente
        per qualsivoglia email inviata

    3. crea una mailbox locale di nome (es.) "antivirus@example.com"

    4. imposta la mailbox di cui sopra per inoltrare tutti i messaggi in
        arrivo a qualsivoglia indirizzo esterno

    in questo modo, eventuali errori di spedizione dei reports verranno
    recapitati a "noreply" ossia a "postmaster" e saranno notati (sempre
    che la casella in questione venga controllata :D) mentre, nel caso di
    problemi di qualsivoglia altro genere, utilizzando il meccanismo di
    cui sopra, sarai in grado di usare il message tracking ed i logs per
    capire cosa stia accadendo e... correggere eventuali problemi :)

    lunedì 30 maggio 2011 14:36
  • La cosa strana è capire perchè la mail sembrerebbe (lo so che non è così.. ) venire da SPC_Server@gmail.com

    Per risolvere il problema ho messo l'account del dominio gestito.

    Avevo messo il mio gmail perchè sul blackberry arrivano quasi subito con gmail mentre per gli altri domini è tutto in ritardo di 5/10 minuti..


    Lorenzo
    lunedì 30 maggio 2011 14:42
  • La cosa strana è capire perchè la mail sembrerebbe (lo so che non è
    così.. ) venire daSPC_Server@gmail.com <mailto:SPC_Server@gmail.com>

    Non molto strano; sospetto (non ne ho la certezza) che il "coso" (lo
    scanner)
    utilizzi l'indirizzo email immesso SIA come mittente che come
    destinatario :P

    Per risolvere il problema ho messo l'account del dominio gestito.

    Ottimo

    Avevo messo il mio gmail perchè sul blackberry arrivano quasi
    subito con gmail mentre per gli altri domini è tutto in ritardo di
    5/10 minuti..

    Uhm beh... in tal caso

    http://www.venukb.com/2010/03/26/how-to-fix-the-delay-in-receiving-hotmail-mail-on-blackberry/

    :)

    lunedì 30 maggio 2011 15:32