none
атака спамеров RRS feed

  • Общие обсуждения

  •     Доброго дня!

    Вопрос больше о самом спаме и защиты от него, не обессудте если не в том разделе...

    Домен 2003, эксч2003 + спам-фильтр ORF 4.4

    с не так давнего времени начались следующая фигня:

    Пользователи начались жаловаться что им приходит письмо отбойник, но они говорят что такие письма они не отсылали. Я сперва подумал может бот на клиентах завелся. Но нет, не бот. В логах спам фильтра вижу такой лог 

    Version: 4.4 EVALUATION

    Log Mode: Verbose

    Server: leopard.domain

    Source: SMTPSVC-1

    Time: 20.04.2011 12:11:48

    Class: Pass

    Severity: Information

    Actions: (not available)

    Filtering Point: On Arrival

    HELO/EHLO Domain: (not available)

    Related IP Address: 212.23.86.205

    Message ID: (not available)

    Email Subject: Delivery Status Notification (Failure)

    Sender: (not available)

    Recipient(s): 

      * fil@domain.ru

    Message: 

    Email passed checks.

     

    но fil@domain.ru не отправлял никаких писем на 212.23.86.205

    + в самом отбойнике, сервер которые его формирует, по идеи должен быть мой, при условии если пользователь отсылал письмо, но сервер не мой.....

    Сообщение не было получено одним или несколькими получателями.

     

          Тема: Коллекция фильмов о рыбалке + ТВ передачи

          Отправлено: 20.04.2011 11:35

     

    Невозможно достичь следующих получателей:

     

          temperer-6b23@nhosppharma.ru 20.04.2011 11:35

                Почтовая система не смогла доставить сообщение. Причина сбоя не была указана. Проверьте адрес и повторите попытку.  При повторении сбоя обратитесь к системному администратору.

                <nhosppharma.ru #5.0.0>

     

    в каждом отбойнике разные сервера 

     

    Сообщение не было получено одним или несколькими получателями.

     

          Тема: Коллекция фильмов о рыбалке + ТВ передачи

          Отправлено: 19.04.2011 8:48

     

    Невозможно достичь следующих получателей:

     

          bdsmspam@yandex.ru 19.04.2011 8:49

                Отсутствуют разрешения для отправки сообщений данному получателю.  Обратитесь за помощью к системному администратору.

                < bdsm.cust.rinet.ru #5.7.1 SMTP; 554 5.7.1 Message rejected under suspicion of SPAM mlxW2Tb5-mlxiq31Y>

     

    Кто нибудь сталкивался ? как защититься от такого вида спама ?

    заранее благодарен!

     

    • Изменен тип Yuriy Lenchenkov 10 мая 2011 г. 13:43
    • Перемещено Tina_Tian 18 марта 2012 г. 8:01 forum merge (От:Exchange Server 2003/2000/5.5)
    20 апреля 2011 г. 10:13

Все ответы

  • Общая рекомендация настройте SPF записи для своего домена

    а так же посмотрите на эти ссылки:

    http://www.sgs4business.com/rus/support/knowledge-base/kb-218/kb-240/kb-244/

    http://forum.windowsfaq.ru/showthread.php?t=101922


    MCP/MCSA/MCTS:Exchange
    20 апреля 2011 г. 12:06
  • SPF тест настроен и записи в ДНС тоже есть....

    я не совсем допонимаю как это происходит, 
    это какой вирус-ботнет на клиентской машине рассылает от имени пользователя ? или как ? 
    клиентские машины проверял на вирусы, ничего не найдено. А отбойники пользователям приходят 

    21 апреля 2011 г. 6:36
  • А что с OpenRelay и фильтрацией пользователей не из AD?
    21 апреля 2011 г. 7:02
  • релей открыт только для ИП серверов эксч и для прошедших проверку, фильтрация пользователей через АД

     

    21 апреля 2011 г. 7:58
  • Для входящей почты проверьте, что стоит только галка Anonymous, а все другие убраны
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    24 апреля 2011 г. 5:37
    Модератор
  • Если ваша проблема актуальна, попробуйте воспользоваться  данным советом:

    http://social.technet.microsoft.com/Forums/ru-RU/ocses2007ru/thread/9a100439-47f1-4c7e-b65f-71e7cc925da3

     


    MCP/MCSA/MCTS:Exchange
    30 апреля 2011 г. 18:17
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
  • теперь немного другая проблемка началась, та кстати тоже не решена....

     

    Домен 2003, два сервера эксч2003 exch1 и exch2 + спам-фильтр ORF 4.4 стоит на rpc proxy exch1. ORF настроен так, что спам сообщения он пересылает в общую папку и помечается в теме !!!SPAM!!! 

    с не так давнего времени начались следующая фигня: 

    Пользователи начались жаловаться что им приходит письмо отбойник, но они говорят что такие письма они не отсылали... вот отбойник попавший пользователю:

    Сообщение не было получено одним или несколькими получателями. 

    Тема: !!!SPAM!!! ap@Domain.ru Rolex.com For You -70% 
    Отправлено: 09.06.2011 13:57 

    Невозможно достичь следующих получателей: 

    SPAM !!!СПАМ!!! 09.06.2011 13:57 
    The message reached the recipient's e-mail system, but delivery was refused. Attempt to resend the message. If it still fails, contact your system administrator. 
    <exch2.Domain #5.2.1> 

     

    У нас в ORF слово Rolex заблочено. 
    а вот и сам лог ORF:

     

    Version: 4.4 EVALUATION 
    Log Mode: Verbose 
    Server: exch1.domain 
    Source: SMTPSVC-1 
    Time: 09.06.2011 13:56:37 
    Class: Blacklist 
    Severity: Information 
    Actions: Tag Subject + Redirect Email 
    Filtering Point: On Arrival 
    HELO/EHLO Domain: (not available) 
    Related IP Address: 195.62.62.247 
    Message ID: (not available) 
    Email Subject: ap@domain.ru Rolex.com For You -70% 
    Sender: ap@domain.ru 
    Recipient(s): 
      * ap@domain.ru 
    Message: 
    Email blacklisted by the SPF test (sender forged per policy of "domain.ru", SPF result: SoftFail). 

     

    SPF тест заблочил, т.к. ИП не нашего домена + заблочено по слову Rolex в теме письма. 

    Подскажите пожалуйста как избавиться от этих NDR 
    заранее благодарен 

    15 июня 2011 г. 9:42