Principale utente con più risposte
Exchange 2007 (SBS) invalid HELO?? Blacklisted

Domanda
-
Ciao a tutti,
sono un paio di settimane che combatto contro CBL (http://cbl.abuseat.org/) perchè ogni tanto mi piazza il mail server (SBS2008 - Exchange 2007) nella sua blacklist.Rimuovo da apposita utility l'IP del mail server e dopo una mezz'ora ritorna NOT LISTED.
Non capisco perchè CBL mi metta il server in blacklist, è l'unico che lo fa!!
Dice che il mio mail server o è infetto (e non è vero) o che è mal configurato.
Nella sezione NAMING PROBLEMS (http://cbl.abuseat.org/namingproblems.html) sembrerebbe che l'HELO del mio SBS connector di Exchange 2007 non sia corretto (secondo loro).In telnet il mio server risponde: 220 remote.miodominio.it Microsoft ESMTP MAIL Service ready at data ed ora
Dite che l'HELO non sia legale/corretto?
Il reverse dns dell'IP pubblico restituisce correttamente l'host remote.miodominio.it
Per la configurazione del mail server ho seguito la guida di Obiwan!
Grazie mille, ciao
Lorenzo
Lorenzo
Risposte
-
AAAHHHHRRR.. forse ho capito...
Vedi... ti eri inalberato inutilmente, non esiste alcun tipo di
difficoltà nel dire chiaramente..etc... ma... realizzare per tuo
conto quale possa essere il problema ha un valore MOLTO
più alto e, credo, in futuro, non dimenticherai un "dettaglio"
di questo genere... ora... capisci perchè non ti ho fornito la
soluzione bella e cotta :D ?"ho dimenticato una cosa fondamentale; nel caso in cui si abbia a
disposizione un*UNICO* indirizzo IP (ovviamente... statico) che viene
usato sia per la navigazione che per la pubblicazione del mail server
è fondamentale configurare il firewall creando una regola di blocco
che impedisca alle macchine della LAN l'uscita verso la porta 25/tcp
di hosts esterni e che permetta tale accesso solo alla macchina sulla
quale è installato il mailserver "
Faccio subito la regola sul firewall.. potrebbe essere la causa di
tutto??Beh, si, ma in tal caso questo significa che hai sulla rete una o più
macchine infette e, sinceramente, credo sia il caso di dare un'occhiata
alla rete; ora... considerando che hai deciso di impostare la regola di
cui si parla (vedere [1] e [2]) sul firewall, credo che possa essere una
buona idea controllare i logs del firewall e del server SMTP onde poter
trovare gli hosts compromessi e procedere alla pulizia dei sistemi ed
alla castraz... ehm... istruzione degli utenti al fine di assicurarsi
che ciò
non accada in futuro[1]
http://blogs.dotnethell.it/obiwan/Mettere-in-piedi-un-mailserver__9791.aspx[2]
http://blogs.dotnethell.it/obiwan/Microsoft-Exchange-e-lo-spam__11282.aspx- Contrassegnato come risposta lorenzo77vr lunedì 23 maggio 2011 07:51
-
Tu scrivi nella tua guida:
"ho dimenticato una cosa fondamentale; nel caso in cui si abbia a
disposizione un*UNICO* indirizzo IP (ovviamente... statico) che viene
usato sia per la navigazione che per la pubblicazione del mail server
è fondamentale configurare il firewall creando una regola di blocco
che impedisca alle macchine della LAN l'uscita verso la porta 25/tcp
di hosts esterni e che permetta tale accesso solo alla macchina sulla
quale è installato il mailserver "
Faccio subito la regola sul firewall.. potrebbe essere la causa di
tutto??Per chiarire; se l'IP sul quale è attestato il mailserver è lo stesso
usato
dai clients LAN per connettersi ad internet e se quella regola non è
presente, basta che un client venga infettato da una qualche bestiaccia
ed inizi a sparar fuori "immondizia" per far finire l'indirizzo IP di
emissione
in blacklist e, siccome l'indirizzo è lo STESSO usato per il
mailserver...Quindi... assicurati di filtrare sul firewall ma, subito dopo, controlla
i logs
dello stesso, identifica il client o i clients che tentano di uscire
sulla 25
e procedi con una pulizia a fondo con candeggio e centrifuga :D- Contrassegnato come risposta Anca Popa lunedì 23 maggio 2011 07:40
Tutte le risposte
-
Usando un tool online (MXTOOLBOX) risulta:
SMTP TEST:
HELO please-read-policy.mxtoolbox.com
250 remote.miodominio.it Hello [xx.xx.xxx.xxx] [156 ms]
MAIL FROM: supertool@mxtoolbox.com
250 2.1.0 Sender OK [140 ms]
RCPT TO: test@example.com
550 5.7.1 Unable to relay [5148 ms]
QUIT
221 2.0.0 Service closing transmission channel [156 ms]
Lorenzo -
sono un paio di settimane che combatto contro CBL
(http://cbl.abuseat.org/) perchè ogni tanto mi piazza
il mail server (SBS2008 - Exchange 2007) nella sua
blacklist.Non so chi sia il disgraziato che sta ancora usando CBL
per il filtraggio, sinceramente non credo che sia una
qualche organizzazione seria dato che a causa di un tot
di falsi positivi, CBL non è utilizzabile in "blocking" ormai
da parecchio tempoRimuovo da apposita utility l'IP del mail server e dopo una
mezz'ora ritorna NOT LISTED.Beh si, il delisting è automatico ma non serve a nulla se
non risolvi prima il problema che ha causato il listing
dato che dopo un pochino... tornerai in "hit parade" :-DDice che il mio mail server o è infetto (e non è vero) o che è mal
configurato.L'IP sul quale è attestato il mailserver è lo stesso usato dai
clients della LAN per uscire su internet ?Inoltre hai abilitato il "recipient filtering" e disabilitato l'invio
automatico
di messaggi da parte dell'eventuale scanner antivirus ? -
sono un paio di settimane che combatto contro CBL
(http://cbl.abuseat.org/) perchè ogni tanto mi piazza
il mail server (SBS2008 - Exchange 2007) nella sua
blacklist.Non so chi sia il disgraziato che sta ancora usando CBL
per il filtraggio, sinceramente non credo che sia una
qualche organizzazione seria dato che a causa di un tot
di falsi positivi, CBL non è utilizzabile in "blocking" ormai
da parecchio tempoooops... mi sono confuso con un'altra lista :) no... CBL è ok
anzi, è inclusa in zen.spamhaus.org... uffa, quando inizio ad
avere fame è meglio che mangi prima di scrivere :)fammi comunque sapere per il resto
-
L'IP sul quale è attestato il mailserver è lo stesso usato dai
clients della LAN per uscire su internet ?Inoltre hai abilitato il "recipient filtering" e disabilitato l'invio
automatico
di messaggi da parte dell'eventuale scanner antivirus ?
Allora: l'IP pubblico è uno solo sia per il mail server che per tutti i PC/server della rete.
Non capisco però quale sia la difficoltà di dire in modo chiaro e trasparente cosa ha determinato l'inserimento nella loro blacklist..
Mi sembra assurdo.. Ho utilizzato tutti i tuoi consigli, c'è un test online per verificare la corretta impostazione del mail server (oltre ai test da me già eseguiti)?
Il recipient filtering è abilitato (blocca le mail per gli utenti non esistenti).
L'invio automatico dell'antivirus dovrebbe essere disabilitato (ho Mail Security for MS Exchange di Symantec). Proverò a verificare meglio ma non mi risulta che invii messaggi tipo "ehi amico sei infetto e quindi non accetto la tua mail..".
Lorenzo -
AAAHHHHRRR.. forse ho capito...
Tu scrivi nella tua guida:
"ho dimenticato una cosa fondamentale; nel caso in cui si abbia a disposizione un UNICO indirizzo IP (ovviamente... statico) che viene usato sia per la navigazione che per la pubblicazione del mail server è fondamentale configurare il firewall creando una regola di blocco che impedisca alle macchine della LAN l'uscita verso la porta 25/tcp di hosts esterni e che permetta tale accesso solo alla macchina sulla quale è installato il mailserver "
Faccio subito la regola sul firewall.. potrebbe essere la causa di tutto??
Lorenzo -
AAAHHHHRRR.. forse ho capito...
Vedi... ti eri inalberato inutilmente, non esiste alcun tipo di
difficoltà nel dire chiaramente..etc... ma... realizzare per tuo
conto quale possa essere il problema ha un valore MOLTO
più alto e, credo, in futuro, non dimenticherai un "dettaglio"
di questo genere... ora... capisci perchè non ti ho fornito la
soluzione bella e cotta :D ?"ho dimenticato una cosa fondamentale; nel caso in cui si abbia a
disposizione un*UNICO* indirizzo IP (ovviamente... statico) che viene
usato sia per la navigazione che per la pubblicazione del mail server
è fondamentale configurare il firewall creando una regola di blocco
che impedisca alle macchine della LAN l'uscita verso la porta 25/tcp
di hosts esterni e che permetta tale accesso solo alla macchina sulla
quale è installato il mailserver "
Faccio subito la regola sul firewall.. potrebbe essere la causa di
tutto??Beh, si, ma in tal caso questo significa che hai sulla rete una o più
macchine infette e, sinceramente, credo sia il caso di dare un'occhiata
alla rete; ora... considerando che hai deciso di impostare la regola di
cui si parla (vedere [1] e [2]) sul firewall, credo che possa essere una
buona idea controllare i logs del firewall e del server SMTP onde poter
trovare gli hosts compromessi e procedere alla pulizia dei sistemi ed
alla castraz... ehm... istruzione degli utenti al fine di assicurarsi
che ciò
non accada in futuro[1]
http://blogs.dotnethell.it/obiwan/Mettere-in-piedi-un-mailserver__9791.aspx[2]
http://blogs.dotnethell.it/obiwan/Microsoft-Exchange-e-lo-spam__11282.aspx- Contrassegnato come risposta lorenzo77vr lunedì 23 maggio 2011 07:51
-
Ciao,
credo comunque sia doverosa più trasparenza. Se un giorno il loro "coso" funziona male come faccio a capire se è un mio problema?Di macchine infette ne avevo una (già sistemata e LA utente è molto sfitinzia ;-D per cui non le ho detto più di tanto né cmq posso fisicamente castra****!)
La soddisfazione nel trovare la soluzione al problema avrebbe un valore molto più alto se a ciò corrispondesse uno stipendio dignitoso..GRAZIE INTANTO. Se ci saranno novità in merito ti farò sapere..
Ciao
Lorenzo -
Ciao,
Ciao :) !
credo comunque sia doverosa più trasparenza. Se un giorno il loro
"coso" funziona male come faccio a capire se è un mio problema?Si ma "loro" come fanno a sapere che "tu sei tu" e che non si tratti
invece di uno spammer conclamato ed inveterato che sta soltanto
cercando di fare in modo che la propria immondizia passi ?Di macchine infette ne avevo una (già sistemata e LA utente è
molto sfitinzia ;-D per cui non le ho detto più di tanto né cmq
posso fisicamente castra****!)Beh... castr... no, però credo tu abbia abbastanza knowledge da
essere in grado di trovare un altro metodo <g> :DSeriamente, se c'era (o, considerando PBL, più probabilmente
c'E' - o ci sono) una o più macchine compromesse, credo che
sia il caso di dare un'occhiata a quel che "gira" su quella rete,
allo scopo, visto che le giornate sono composte da 24 ore e
considerando che un "admin" di solito non è che le passi facendo
elioterapia <g>, credo che potresti recuperare un vecchio carretto
(basta anche un Pentium-I :D) metterci dentro un pochino di RAM,
un paio di schede di rete ed usarlo per far girare questo simpatico
coso qui http://www.bothunter.net/ al fine di scoprire chi realmente
stia avvalendosi della tua connessione internet :)La soddisfazione nel trovare la soluzione al problema avrebbe un
valore molto più alto se a ciò corrispondesse uno stipendiodignitoso..
Sei in errore, mi dispiace dirtelo, vedi, il trovare una soluzione ad un
dato problema accresce il TUO bagaglio di conoscenze, il tutto a
prescindere dal salario o quant'altro e... considera che il bagaglio di
conoscenze lo porterai SEMPRE con te, indipendentemente dal tipo
di lavoro, dalla mansione e dal salario, anzi... sapere come far fronte
ad un dato problema o come configurare correttamente un dato sistema
al fine di evitare problemi (o di risolverli - ma in quel caso
evidentemente
chi aveva configurato il sistema non aveva le conoscenze) HA un valore
e, di nuovo, se ti avessi detto "fai questo, questo e questo", credi che
in un futuro ti saresti ricordato della cosa :) - vedi, non è
"trolling", anzi,
al contrario, cerco solo di insegnarti a pescare ... invece di regalarti
un
pesce :D -
Resta da capire perchè su 103 blacklist interrogate solo quella mi mette in Blacklist..
Il filtro lo potrebbero fare bloccando la verifica per connessioni effettuate solo dall'IP incriminato. Forse la faccio facile ma a volte è tutto così complicato.
Relativamente al discorso "stipendio" capisco la tua posizione. Ma avendo vissuto le esperienze in prima persona non lo condivido. A chiacchere ci sono tecnici che ne sanno il doppio di me ma nei fatti la metà della metà. Conta spesso solo l'intelligenza di chi ascolta.
La ricerca della risposta a volte è determinata dalla fretta che ti mettono dai "piani alti". Non mi è mai mancata la curiosità e il cercare di arrangiarmi.
Grazie comunque di tutto, invidio la tua preparazione..
Spero di aver risolto i problemi.. Di clienti ne ho diversi, stesse configurazioni ma nessuno mi finisce in BL.. almeno fino ad ora!
Lorenzo -
-
Resta da capire perchè su 103 blacklist interrogate solo
quella mi mette in Blacklist.. Il filtro lo potrebbero fare bloccando
la verifica per connessioni effettuate solo dall'IP incriminato.
Forse la faccio facile ma a volte è tutto così complicato.FRENA TUTTO: come sarebbe ? Se sei in CBL almeno in "teoria"
dovresti essere anche (si ok, non tu, l'IP) listato su "zen" ! Uffa..
certo
che se si postassero gli IP sarebbe tutto più facile, alla fine della
fiera non è mica un segreto, anzi, in quel modo uno potrebbe anche
fare qualche ulteriore verifica ... vabbè :PRelativamente al discorso "stipendio" capisco la tua posizione.
Ma avendo vissuto le esperienze in prima persona non lo condivido.
A chiacchere ci sono tecnici che ne sanno il doppio di me ma nei fatti
la metà della metà. Conta spesso solo l'intelligenza di chi ascolta.No, scusa se te lo dico, ma credo tu non abbia afferrato quello che
ho cercato di dire; per farla breve, se ti capita la "castagna bollente"
questa è una rogna, per carità, ma... se e quando sistemerai la cosa
l'esperienza che ti sarai fatta... sarà TUA e SOLO tua e quella te la
porterai dietro, indipendentemente dal "dove" starai lavorando :)La ricerca della risposta a volte è determinata dalla fretta che ti
mettono dai "piani alti". Non mi è mai mancata la curiosità e il
cercare di arrangiarmi.Conosco ... non credere; non sono nato ieri e non sono stato nella
"bambagia", ma... c'è modo e modo e comunque, anche per "la
fretta che ti mettono" c'è rimedio ;)Grazie comunque di tutto, invidio la tua preparazione..
Esperienza ... niente di che, fatta sui testi e sul campo; ma non mi
fare arrossire per favore, non sono nè sono mai stato il tipo che si
mette a sbandierare certe cose; uso quello che so quando serve
e se serve, punto e basta, il resto... sono solo chiacchiere inutiliSpero di aver risolto i problemi.. Di clienti ne ho diversi, stesse
configurazioni ma nessuno mi finisce in BL.. almeno fino ad ora!Beh... in qualsiasi caso... sono qui; anzi... dimenticavo, sono contento
del fatto che tu abbia seguito la mia "guida" per configurare il server
di posta e spero sinceramente che, a parte questa "svista" (suvvia,
lo avevo ben scritto :D !) relativa alle regole del firewall, il resto
non
ti abbia creato problemi ... e, semmai sono, anzi siamo, visto che qui
c'è una bella community, qui !!! -
-
-
No.. :-D
Sarà il caldo ma non ci avevo pensato!Primo ufficiale !!! Porti il signor Lorenzo nella sentina a smaltire il
caldo !<g>
Oppure visto che c'è per MACOS penso che mi comprerò un macbook
pro da 2000 euro per l'occasione!Guarda che basta tirare giù la ISO, masterizzarla ed usarla per avviare
un qualsivoglia "vecchio carretto" (basta pure un P-166); assicurati
solo
di connetterlo ad una porta "monitor" dello switch o, in qualsiasi caso,
in
modo che possa "vedere" tutto il traffico tra la LAN ed Internet; il
resto...
beh... verrà da solo :DGrazie ancora, ciao
Come "grazie e ciao !" azz... dove spedisco la fattura :) ?
-
Tu scrivi nella tua guida:
"ho dimenticato una cosa fondamentale; nel caso in cui si abbia a
disposizione un*UNICO* indirizzo IP (ovviamente... statico) che viene
usato sia per la navigazione che per la pubblicazione del mail server
è fondamentale configurare il firewall creando una regola di blocco
che impedisca alle macchine della LAN l'uscita verso la porta 25/tcp
di hosts esterni e che permetta tale accesso solo alla macchina sulla
quale è installato il mailserver "
Faccio subito la regola sul firewall.. potrebbe essere la causa di
tutto??Per chiarire; se l'IP sul quale è attestato il mailserver è lo stesso
usato
dai clients LAN per connettersi ad internet e se quella regola non è
presente, basta che un client venga infettato da una qualche bestiaccia
ed inizi a sparar fuori "immondizia" per far finire l'indirizzo IP di
emissione
in blacklist e, siccome l'indirizzo è lo STESSO usato per il
mailserver...Quindi... assicurati di filtrare sul firewall ma, subito dopo, controlla
i logs
dello stesso, identifica il client o i clients che tentano di uscire
sulla 25
e procedi con una pulizia a fondo con candeggio e centrifuga :D- Contrassegnato come risposta Anca Popa lunedì 23 maggio 2011 07:40
-
-
DOMANDA:
Ho scoperto oggi che un software creato ad hoc per l'azienda utilizza l'SMTP del provider (smtp.isp.it) non autenticato per spedire la posta (utilizzando chiaramente l'IP pubblico che utilizza Exchange) ad utenti interni (purtroppo sono mesi che hanno sollecitato il programmatore a far si che si autentichi in exchange invece di utilizzare un SMTP esterno... sempre che si possa fare..).
Potrebbe questo comportamento secondo te essere motivo di blacklist??
Grazie.
Lorenzo -
DOMANDA:
Ho scoperto oggi che un software creato ad hoc per l'azienda utilizza
l'SMTP del provider (smtp.isp.it) non autenticato per spedire la posta
(utilizzando chiaramente l'IP pubblico che utilizza Exchange) ad
utenti interni (purtroppo sono mesi che hanno sollecitato il
programmatore a far si che si autentichi in exchange invece di
utilizzare un SMTP esterno...).
Potrebbe questo comportamento secondo te essere motivo di blacklist??SE (grosso SE) quel s/w invia solo delle "rare" emails ad indirizzi
pienamente validi e verificati, la risposta è NO; in qualsiasi caso
l'approccio è totalmente (scusa il francese IDIOTA); quel s/w va
configurato in modo da spedire tramite il vostro mailserver e NON
tramite un qualsiasi server "in giro per il mondo"; assicurati che sia
riconfigurato o, se ciò non fosse possibile, che il codice venga
corretto in modo opportuno e, se ancora ciò non fosse possibile,
il mio consiglio è quello di cercarti un altro s/w dato che in tal caso
chi ha scritto quello che usi non capisce nulla di email nè "internet"
in senso lato -
Forse è la soluzione più comoda per il programmatore.
L'smtp utilizzato comunque è quello del provider della connessione (NGI).
Finora il servizio mi è sempre sembrato in generale molto serio, ciò non significa come dici tu che sia la pratica più corretta.
Lorenzo -
Forse è la soluzione più comoda per il programmatore.
Non ha senso :) vedi, se metti insieme del codice che permette
di inviare delle emails, la prima cosa da fare (visto che il s/w sarà
usato in diverse realtà) è assicurarsi di poter utilizzare qualsiasi
mailserver venga usato "dall'azienda" nella quale andrai ad
installare il tuo s/w in modo da evitare problemi (es. SPF) e da
garantire che il s/w in questione funzioni come necessario; se
questo non è il caso, evidentemente chi ha scritto quel s/w non
aveva le necessarie conoscenze... ed a questo punto tralascio
per ovvii motivi, qualsivoglia ulteriore considerazioneL'smtp utilizzato comunque è quello del provider della connessione
(NGI).Non ha alcuna rilevanza; se uno ha un proprio mailserver autorizzato
(SPF, senderID... etc...) all'invio di emails, un s/w che voglia inviare
dei
messaggi DEVE usare tale mailserver e NON quello che "preferisce"
chi ha scritto il programma... suvvia !!! Non siamo mica nel 1997 !! -
-
Caro ObiWan,
Caro ? Azz... non ho neanche presentato il conto !!
sai quanti tecnici (a 80 € l'ora...) negli ultimi anni mi hanno
detto: "Beh... metti lì l'SMTP del provider...!"Normale, un teNNico prezzolato di solito "tira corto" e non
si preoccupa di capire ammodino le cose, gli basta che
"tutto funzioni"... per il momento... in modo da potersene
andare sapendo che "funziona" e presentarti il conto...
ma tra quello ed una config fatta come si deve ce ne
corre... e ce ne corre MOLTO !!! -
Ciao Lorenzo,
Il tuo quesito è ancora aperto. Potresti per cortesia farci sapere se sei riuscito a risolvere ed eventualmente segnare i post che ti hanno aiutato? Il tuo feedback sarà utile per gli altri utenti che seguono la discussione.
Ti ringrazio in anticipo della tua collaborazione.
Saluti,
Come calcolare la dimensione della Rubrica offline (OAB)
Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.
-
Ciao,
il quesito era ancora aperto perchè il programmatore (di cui sopra) latita ed i tempi per verificare se il problema si è risolto sono lunghi da verificare (non so quando e se mi metteranno in blacklist).
Comunque sia ritengo che ObiWan mi abbia indirizzato sulla strada giusta e il problema sia risolto. Almeno lo spero!
Grazie.. Ciao
Lorenzo -
Ciao,
il quesito era ancora aperto perchè il programmatore (di cui sopra) latita ed i tempi per verificare se il problema si è risolto sono lunghi da verificare (non so quando e se mi metteranno in blacklist).
Comunque sia ritengo che ObiWan mi abbia indirizzato sulla strada giusta e il problema sia risolto. Almeno lo spero!
Grazie.. Ciao
LorenzoAllora... per quanto riguarda il programma al quale fai riferimento e che invia emails, se il s/w in questione NON è (spero) installato sul vostro "mailserver" ma su un computer "a parte", per risolvere il problema senza modificare il programma ti basterebbe usare un piccolo trucco; in pratica, supponendo che il s/w utilizzi "smtp.ngi.it" per l'invio delle email, ti basterà accedere come "admin" al computer sul quale tale s/w è installato ed editare il file %systemroot%\system32\drivers\etc\hosts inserendo in tale file una riga di questo tipo
192.168.1.100 smtp.ngi.it
ovviamente al posto di "192.168.1.100" dovrai immettere l'indirizzo IP LAN del tuo Exchange, a questo punto ti basterà riavviare il computer in questione (in teoria dovrebbe essere sufficiente riavviare il s/w ma... tanto per star tranquilli un reboot non guasterà) e da quel momento il s/w si connetterà al tuo exchange per l'invio delle email dato che... il file hosts forzerà la risoluzione di "smtp.ngi.it" all'IP del tuo exchange :D
Tornando al discorso blacklists... potresti per cortesia controllare se nel tuo exchange hai configurato gli indirizzi "abuse" e "postmaster" (vanno benone anche come "alias") e se tali indirizzi puntano ad una mailbox che venga letta regolarmente da qualcuno ? Vedi, nel caso di problemi (es. spamming) di norma, diverse blacklists inviano PRIMA una email ad uno di tali indirizzi cercando di contattare l'admin ed in mancanza di una risposta in tempi ragionevoli... procedono al listing dell'IP, quindi è importante avere quei due indirizzi ed è importante leggere le emails che arrivano agli stessi
ciao
-
ma... tanto per star tranquilli un reboot non guasterà) e da quel
momento il s/w si connetterà al tuo exchange per l'invio delle
email dato che... il file hosts forzerà la risoluzione di"smtp.ngi.it"
all'IP del tuo exchange :D
Dimenticavo; a questo punto ti converrà tenere d'occhio i logs
del tuo exchange per verificare se vi siano errori di invio o se
risulti del traffico "strano" da parte del s/w in questione -
Ottimo suggerimento per l'SMTP: purtroppo però non è fattibile perchè il sw è così strutturato:
- DB centralizzato su server (non sul mailserver)
- sw installato solo sui client che interrogano il DB
In pratica vengono (venivano...) rilasciate delle release che ogni utente deve installarsi autonomamente sul client aggiornando il programma all'ultima versione.
Pertanto il trucco del fiel hosts dovrebbe essere fatto su tutti i PC su cui è installato il sw.
Lorenzo -
- DB centralizzato su server (non sul mailserver)
- sw installato solo sui client che interrogano il DB
In pratica vengono (venivano...) rilasciate delle release che ogni
utente deve installarsi autonomamente sul client aggiornando il
programma all'ultima versione.
Pertanto il trucco del fiel hosts dovrebbe essere fatto su tutti i PC
su cui è installato il sw.Uhm... potresti provare creando tre regole nel firewall ossia
1. Blocca uscita SMTP per tutti
2. Consenti uscita SMTP solo all'IP di exchange
3. Consenti a tutti uscita SMTP ma SOLO verso il server NGI
in tal modo i clients potranno spedire posta SOLO utilizzando
il tuo mailserver O il mailserver di NGI il che ti permetterà di
stare comunque al riparo da virus che inizino ad inviare spam
direct-to-mx; in alternativa (ma c'è da valutare l'impatto di una
cosa del genere) potresti modificare il DNS locale inserendo
nello stesso una zona primaria standard di nome smtp.ngi.it
(assumendo che sia quello il nome host) e creando nella zona
un singolo record senza nome che punti all'IP LAN del tuo
server exchange... occhio però, la cosa potrebbe crearti dei
problemi di spedizione email da exchange verso NGI !!Un terzo approccio potrebbe essere quello di usare un logon
script che provveda ad effettuare la modifica del file hosts sui
clients; in tal caso ti basterà applicare le regole 1 e 2 al tuo
firewall senza aggiungere l'eccezione 3 -
Grazie Ben,
credo di riuscire a provare la tua "scappatoia" mercoledì.. attualmente sto gestendo un disaster recovery da un altro cliente :-( :-(
L'unica cosa che non ho capito è il punto 3...
Poi volevo capire, se secondo te, se metto sul firewall una regola LAN to LAN affinchè per la porta 25 tutti i PC utilizzando smtp.ngi.it abbiano il forward verso la 25 del server Exchange che poi è l'unica macchina attualmente autorizzata ad uscire con la 25.
Lorenzo -
L'unica cosa che non ho capito è il punto 3...
L'idea è quella di consentire l'invio a "qualsiasi SMTP esterno" solo
al tuo exchange e, di contro, consentire l'invio diretto verso il server
SMTP di "ngi" (del provider) a tutti gli hosts in modo da permettere
al programma di funzionarePoi volevo capire, se secondo te, se metto sul firewall una regola
LAN to LAN affinchè per la porta 25 tutti i PC utilizzando smtp.ngi.it
abbiano il forward verso la 25 del server Exchange che poi è l'unica
macchina attualmente autorizzata ad uscire con la 25.sicuramente potrebbe essere una soluzione ed a questo punto non
avresti bisogno del "punto 3" :D -
Ciao Obiwan,
mi sono preso qualche giorno per fare dei test. La porta 25 è tuttora bloccata per tutti gli IP ad eccezione del server exchange (infatti il software gestionale non riesce più ad inviare mail...).
Oggi sono finito di nuovo nella stessa blacklist. Suggerimenti?
Grazie. Ciao
Lorenzo -
Oggi però sul sito di CBL mi compare anche questo:
http://www.symantec.com/business/support/index?page=content&id=TECH131119&locale=en_US
In effetti ho questo antivirus.. Verifico.
******
Allora.. ho verificato l'antivirus e tolto tutte le notifiche via mail (almeno spero).
Avendo un prodotto della Symantec per il backup che mi notifica per ogni processo schedulato ho cambiato la mail di mittente (che si autentica su exchange) e destinatario da MIODOMINIO.IT a MIODOMINIO.LOCAL
In teoria ora il messaggio nemmeno dovrebbe uscire o comunque essere ignorato dall'antispam in quanto mittente e destinatario fanno parte dell'organizzazione.
Speriamo! -
Tornando al discorso blacklists... potresti per cortesia controllare se nel tuo exchange hai configurato gli indirizzi "abuse" e "postmaster" (vanno benone anche come "alias") e se tali indirizzi puntano ad una mailbox che venga letta regolarmente da qualcuno ? Vedi, nel caso di problemi (es. spamming) di norma, diverse blacklists inviano PRIMA una email ad uno di tali indirizzi cercando di contattare l'admin ed in mancanza di una risposta in tempi ragionevoli... procedono al listing dell'IP, quindi è importante avere quei due indirizzi ed è importante leggere le emails che arrivano agli stessi
Ho impostato alias differenti e messo sul mio utente gli indirizzi da te citati. Spero che non mi riempi la casella...
Lorenzo -
Oggi però sul sito di CBL mi compare anche questo:
http://www.symantec.com/business/support/index?page=content&id=TECH131119&locale=en_US
In effetti ho questo antivirus.. Verifico.Uhmmmmm
"When the Symantec Protection Center email notification is sent via the
Internet"ora, quanto sopra significa che il tuo antivirus è configurato in modo
"errato";
mi spiego, diversi produttori di antivirus implementano un meccanismo
che
è una ... cretinata (mi scuso per il termine ma è così); in pratica tali
prodotti
nel momento in cui identificano una email "infetta" bloccano la stessa
ed
inviano al mittente una mail del tipo "la vostra email è stata bloccata
dato
che conteneva il virus xyz" ... ora, considerando che le mail contenenti
virus (o spam di vario genere) nel 99.999% dei casi usano indirizzi
email
fasulli, è facile capire come, inviare "notifiche" di questo genere
significhi
semplicemente sparar fuori email a gente che non ha mai inviato il virus
in questione il che, ovviamente, oltre a causare inconvenienti ad altri,
è
anche causa di blacklisting. Onde ovviare al problema ti consiglio di
disabilitare quanto prima tale INSANA feature limitandoti a rifiutare le
emails infette senza però inviare notifiche o, se proprio vuoi inviare
le notifiche in questione... inviale al TUO indirizzo postmaster e non
"in
giro per il mondo"; per ulteriori dettagli, ti consiglio di leggere
questohttp://www.dontbouncespam.org/
e, già che ci siamo, di dare anche un'occhiata a questi
http://blogs.dotnethell.it/obiwan/Mettere-in-piedi-un-mailserver__9791.aspx
http://blogs.dotnethell.it/obiwan/Microsoft-Exchange-e-lo-spam__11282.aspx
che potrebbero fornirti lo spunto per ulteriori controlli al fine di
accertarti
che il tuo mailserver sia stato messo in piedi "come si deve"ciao
-
Non credo che il bounce c'entri qualcosa..
In effetti Symantec di default non notifica mai i mittenti di mail infette né attacca alcunchè alle mail in uscita.
Piuttosto secondo me sono i report inviati dal programma con il riepilogo settimanale a causare rogne.
Li ho disattivati. La cosa strana è che la stessa piattaforma (S.O. e antivirus) con le stesse impostazioni su altri 2 clienti non ha mai dato problemi di blacklist. Boh!
Lorenzo -
Non credo che il bounce c'entri qualcosa..
Non è detto, non è detto :)
In effetti Symantec di default non notifica mai i mittenti di mail
infette né attacca alcunchè alle mail in uscita.Sei proprio sicuro al 100% che NON vengano generati bounces ?
Piuttosto secondo me sono i report inviati dal programma con il
riepilogo settimanale a causare rogne.Uhm... scusa ma... tali reports settimanali vengono inviati a degli
indirizzi esterni ? -
Sei proprio sicuro al 100% che NON vengano generati bounces ?
Uhm... scusa ma... tali reports settimanali vengono inviati a degli
indirizzi esterni ?
Si, sono sicuro...
In effetti ora che ho controllato il report che arriva(va) alla mia casella Gmail (ora corretto) e da un indirizzo tipo SPC_Server@gmail.com :-o
Forse ho trovato l'arcano.. E' il software Symantec che fa casino figurando come account Gmail e pertanto blacklistato..
Lorenzo -
In effetti ora che ho controllato il report che arriva(va) alla mia
casella Gmail (ora corretto) e da un indirizzo
tipoSPC_Server@gmail.com <mailto:SPC_Server@gmail.com> :-oAhia :)
Forse ho trovato l'arcano.. E' il software Symantec che fa casino
figurando come account Gmail e pertanto blacklistato..Beh... guarda, se vuoi/devi inviare quei reports ad un account esterno
secondo me ti conviene fare in questo modo; supponendo che il
nome del dominio "servito" da exchange sia example.com1. crea un alias di nome "noreply@example.com" facendo in modo
che l'alias punti alla mailbox "postmaster" o comunque ad una
mailbox esistente (e letta regolarmente da un essere umano :D)2. configura l'antivirus per usare l'indirizzo di cui sopra come
mittente
per qualsivoglia email inviata3. crea una mailbox locale di nome (es.) "antivirus@example.com"
4. imposta la mailbox di cui sopra per inoltrare tutti i messaggi in
arrivo a qualsivoglia indirizzo esternoin questo modo, eventuali errori di spedizione dei reports verranno
recapitati a "noreply" ossia a "postmaster" e saranno notati (sempre
che la casella in questione venga controllata :D) mentre, nel caso di
problemi di qualsivoglia altro genere, utilizzando il meccanismo di
cui sopra, sarai in grado di usare il message tracking ed i logs per
capire cosa stia accadendo e... correggere eventuali problemi :) -
La cosa strana è capire perchè la mail sembrerebbe (lo so che non è così.. ) venire da SPC_Server@gmail.com
Per risolvere il problema ho messo l'account del dominio gestito.
Avevo messo il mio gmail perchè sul blackberry arrivano quasi subito con gmail mentre per gli altri domini è tutto in ritardo di 5/10 minuti..
Lorenzo -
La cosa strana è capire perchè la mail sembrerebbe (lo so che non è
così.. ) venire daSPC_Server@gmail.com <mailto:SPC_Server@gmail.com>Non molto strano; sospetto (non ne ho la certezza) che il "coso" (lo
scanner)
utilizzi l'indirizzo email immesso SIA come mittente che come
destinatario :PPer risolvere il problema ho messo l'account del dominio gestito.
Ottimo
Avevo messo il mio gmail perchè sul blackberry arrivano quasi
subito con gmail mentre per gli altri domini è tutto in ritardo di
5/10 minuti..Uhm beh... in tal caso
http://www.venukb.com/2010/03/26/how-to-fix-the-delay-in-receiving-hotmail-mail-on-blackberry/
:)