none
Content filter che non filter... Exch 2010Sp1 RRS feed

  • Domanda

  • Buon venerdì

    I miei Utenti verificano un blocco di spam specifico che salta i controlli di un Exchange 2010 Sp1 monolitico esposto direttamente su Internet.

    In particolare il log del transport agent evidenzia un bel bypasssender :(

    Noto qualcosa di strano negli header del messaggio; con mioutente e miodominio ho evidenziato le informazioni interne al server.

    Inutile dire che non è nei sender permessi!

    Spero di sbagliare:

    Received: from host-92-241-92-2-customer.wanex.net (92.241.92.2) by
     crmailer.cambiasorisso.it (172.20.1.46) with Microsoft SMTP Server id
     14.1.355.2; Fri, 9 Dec 2011 14:25:13 +0100
    Message-ID: <4EE20C33.805010@awemail.com>
    Date: Fri, 9 Dec 2011 17:25:13 +0400
    From: <miamail@miodominio.it>
    To: <miamail@miodominio.it>
    Subject: Lavoro a distanza.
    Return-Path: 0-l76.byovset@awemail.com
    X-MS-Exchange-Organization-AuthSource: mioserver.miodominio.local
    X-MS-Exchange-Organization-AuthAs: Anonymous
    X-MS-Exchange-Organization-PRD: miodominio.it
    X-MS-Exchange-Organization-SenderIdResult: Neutral
    Received-SPF: Neutral (mioserver.miodominio.local: 92.241.92.2 is neither
     permitted nor denied by domain of miamail@miodominio.it)
    X-MS-Exchange-Organization-Antispam-Report: ContentFilterConfigBypassedSender
    X-MS-Exchange-Organization-SCL: -1

     

    venerdì 9 dicembre 2011 13:57

Risposte

  • Ricontrollando, ho scoperto che il tuo dominio (si, il tuo dominio vero :D) pubblica già un record SPF, ma purtroppo la sintassi dello stesso è tale da renderlo totalmente INUTILE; il record SPF attuale è il seguente

     

    @ IN TXT "v=spf1 mx ip4:85.18.84.32/27 ptr:blackberry.com ?all"
    

     

    ora, quel "?all" finale, in parole povere,  significa "ignorate totalmente il record SPF che sto pubblicando e lasciate passare qualsiasi cosa considerandola valida" il che, come penso sia comprensibile, rende del tutto inutile la pubblicazione del record in questione; se vuoi usare SPF, utilizza "-all" o, al limite, "~all" ma NON "?all" dato che equivale a NON pubblicare il record SPF (vedi qui per chiarimenti)

     



    • Modificato ObiWan venerdì 9 dicembre 2011 14:45
    • Contrassegnato come risposta Anca Popa giovedì 15 dicembre 2011 09:51
    venerdì 9 dicembre 2011 14:40

Tutte le risposte

  • Received: from host-92-241-92-2-customer.wanex.net (92.241.92.2) by
     crmailer.cambiasorisso.it (172.20.1.46) with Microsoft SMTP Server id
     14.1.355.2; Fri, 9 Dec 2011 14:25:13 +0100
    Message-ID: <4EE20C33.805010@awemail.com>
    Date: Fri, 9 Dec 2011 17:25:13 +0400
    From: <miamail@miodominio.it>
    To: <miamail@miodominio.it>
    Subject: Lavoro a distanza.
    Return-Path: 0-l76.byovset@awemail.com
    X-MS-Exchange-Organization-AuthSource: mioserver.miodominio.local
    X-MS-Exchange-Organization-AuthAs: Anonymous
    X-MS-Exchange-Organization-PRD: miodominio.it
    X-MS-Exchange-Organization-SenderIdResult: Neutral
    Received-SPF: Neutral (mioserver.miodominio.local: 92.241.92.2 is neither
     permitted nor denied by domain of miamail@miodominio.it)
    X-MS-Exchange-Organization-Antispam-Report: ContentFilterConfigBypassedSender
    X-MS-Exchange-Organization-SCL: -1

    Ok, il tuo exchange ha ricevuto una email proveniente dall'indirizzo IP 92.241.92.2 (DM Company, Georgia, AS15491) e che ha utilizzato come envelope sender (MAIL FROM) un indirizzo email relativo alla tua stessa organizzazione; inoltre, se non ho visto male, il dominio "interno" del tuo exchange non è "dominio.it" ma "dominio.local" ... se quanto sopra è corretto, per ovviare al problema dovrai modificare la zona DNS per il dominio pubblico, ossia per "dominio.it" aggiungendo (o facendo aggiungere) alla stessa i seguenti records

     

    @  IN TXT "v=spf1 mx -all"
    @  IN TXT "spf2.0/mfrom mx -all"
    
    

     

    fatto ciò dovrai attivare in Exchange il "SenderID filtering" in modo che alla ricezione di un messaggio email, il tuo exchange vada a verificare gli eventuali records SPF/SenderID per il dominio mittente controllando se l'host che sta inviando la mail in questione sia autorizzato a tale invio e rifiutando il messaggio in caso contrario; l'effetto di quanto sopra sarà quello di rifiutare emails "fasulle" con indirizzi del tuo dominio provenienti da servers esterni; per ulteriori dettagli, ti consiglio la lettura di questo documento e dei vari documenti collegati che spiegano il funzionamento di SPF/SenderID

     

    • Modificato ObiWan venerdì 9 dicembre 2011 14:36
    venerdì 9 dicembre 2011 14:30
  • Ricontrollando, ho scoperto che il tuo dominio (si, il tuo dominio vero :D) pubblica già un record SPF, ma purtroppo la sintassi dello stesso è tale da renderlo totalmente INUTILE; il record SPF attuale è il seguente

     

    @ IN TXT "v=spf1 mx ip4:85.18.84.32/27 ptr:blackberry.com ?all"
    

     

    ora, quel "?all" finale, in parole povere,  significa "ignorate totalmente il record SPF che sto pubblicando e lasciate passare qualsiasi cosa considerandola valida" il che, come penso sia comprensibile, rende del tutto inutile la pubblicazione del record in questione; se vuoi usare SPF, utilizza "-all" o, al limite, "~all" ma NON "?all" dato che equivale a NON pubblicare il record SPF (vedi qui per chiarimenti)

     



    • Modificato ObiWan venerdì 9 dicembre 2011 14:45
    • Contrassegnato come risposta Anca Popa giovedì 15 dicembre 2011 09:51
    venerdì 9 dicembre 2011 14:40
  • Intanto diciamo che l'IP è un perfetto sconosciuto che non c'entra nulla con noi. E l'SPF dovremmo averlo corretto; farò controllare i parametri comunque.

    Comunque si l'AD è .local, ma il dominio email è .it (a dire il vero 2 o 3 dominii finiscono sul mio exchange)

    Uhmm ho scoperto una cosa... Poi il record dell'agentlog è il seguente (metto un crlf così si legge meglio). il mio utente figura tra i sender!

    Questo mi ha fatto pensare (strano!) e controllare: la Set-ContentFilterConfig *include* il miodominio.it!!!!

    Tolto e problema risolto :)

    2011-12-09T13:25:13.977Z,08CE84699A04E374,172.20.1.46:25,92.241.92.2:5652,92.241.92.2,

    <4EE20C33.805010@awemail.com>,0-l76.byovset@awemail.com,miouser@miodominio.it;

    ,miouser@miodominio.it,1,Content Filter Agent,OnEndOfData,AcceptMessage,,SCL,not available: content filtering was bypassed.,

     

    Chissà. Probabilmente per saltare la gestione dell'antispam sui msg interni all'organizzazione...

    Grazie per le dritte.

    p.s. c'era un obiwan in reti.locali... usenet... quando internet e i mulini erano bianchi...

    venerdì 9 dicembre 2011 14:50
  • Intanto diciamo che l'IP è un perfetto sconosciuto che non c'entra nulla con noi. E l'SPF dovremmo averlo corretto; farò controllare i parametri comunque.

    Credo sia opportuno, visto come è configurato il record SPF che ho visto (vedi sopra) credo proprio che sia il caso di ricontrollare per benino le cose, dato che, se anche gli altri records SPF sono fatti in quel modo, tanto vale toglierli, visto che con "?all" non servono assolutamente a nulla

    p.s. c'era un obiwan in reti.locali... usenet... quando internet e i mulini erano bianchi...

    Si... e c'è ancora, sia qui sia su usenet :)

     

    • Modificato ObiWan venerdì 9 dicembre 2011 15:03
    venerdì 9 dicembre 2011 15:02
  • ... già non difficile reversare... scrivo col mio nome tra l'altro... Se poi lascio in chiaro un degli header! lmao

     

    rigrazie per la dritta

    p.s. ma c'è un modo per non far passare dall'antispam gli indirizzi interni al server?

    venerdì 9 dicembre 2011 15:14