none
Заблокировать спамера RRS feed

  • Вопрос

  • Коллеги, доброго дня.

    Пользователю приходят письма от самого себя.Подскажите можно ли заблокировать данного отправителя .

    Письмо приходит от разных ip  ( 10.77.90.232 Edge)

    Get-MessageTrackingLog -eventid "receive" -ResultSize Unlimited -Sender "volkova@rate.ru" -Recipient "volkova@rate.ru" -start "8/10/2017" -end "9/19/2017" | fl serverip,clientip


    ServerIp : 10.77.90.232
    ClientIp : 27.72.1.102

    ServerIp : 10.77.90.232
    ClientIp : 27.64.87.46

    ServerIp : 10.77.90.232
    ClientIp : 203.205.62.17

    ServerIp : 10.77.90.232
    ClientIp : 190.143.19.199

    ServerIp : 10.77.90.232
    ClientIp : 160.178.243.87

    ServerIp : 10.77.90.232
    ClientIp : 116.99.218.124

    ServerIp : 10.77.90.232
    ClientIp : 115.78.119.115

    =================

    MessageSubject
    --------------
    You Can Make 1.500 USD Per Day
    You Can Make 1.500 USD Per Day
    You Can Make 1.500 USD Per Day
    You Can Make 1.500 USD Per Day
    Earn 200.000 USD Per Month So Easy
    Earn 200.000 USD Per Month So Easy
    Earn 200.000 USD Per Month So Easy
    Earn 200.000 USD Per Month So Easy
    Earn 200.000 USD Per Month So Easy
    Earn 200.000 USD Per Month So Easy
    Earn 200.000 USD Per Month So Easy
    Earn 200.000 USD Per Month So Easy
    Eran 150.000 Do|i@r$ Per Mnoth So Ea$y
    Eran 150.000 Do|i@r$ Per Mnoth So Ea$y

    ===========================





    • Изменено Adlukashin 19 сентября 2017 г. 7:02
    19 сентября 2017 г. 6:58

Ответы

  • Блокировать свой собственный домен?
    Вы ожидаете получение писем, которые извне приходят с именем вашего домена? Если нет, то я уже написал - блокируйте домен, это обычная практика.

    MCSAnykey

    • Предложено в качестве ответа dmz_m 19 сентября 2017 г. 8:05
    • Помечено в качестве ответа Adlukashin 22 сентября 2017 г. 9:08
    19 сентября 2017 г. 8:02

Все ответы

  •   Если я не ошибаюсь , то Content Filter agent во встроенном антиспаме умеет фильтровать по словам и фразам.

       А вообще должен быть настроен антиспам, большинство умеют блокировать такой фишинг.

      https://technet.microsoft.com/en-us/library/cc526520.aspx
    • Изменено dmz_m 19 сентября 2017 г. 7:07
    19 сентября 2017 г. 7:06
  • Напишет мне спамер, заблокирую тему, создаст новую и опять напишет...
    19 сентября 2017 г. 7:12
  • Вы с какой целью принимаете письма извне, отправленные якобы от вашего домена? Блокируйте его, делов-то.

    MCSAnykey

    19 сентября 2017 г. 7:14
  •     Ну тогда копать в сторону где проверяется валидность отправителя. Где адрес отправителя сопоставляется с сервером откуда прилетает письмо. У Вас Антиспам стоит? сторонний? какой? или может родной настроен?

      Блокируйте IP. Подход может быть разный.
    • Изменено dmz_m 19 сентября 2017 г. 7:18
    19 сентября 2017 г. 7:15
  • не этот случай антиспам как правило умеет автоматом по тригерам детектить неправильную почту

    The opinion expressed by me is not an official position of Microsoft

    19 сентября 2017 г. 7:19
  • Как не странно стоит GFI mail essentional + Exchange Content Filter и они не банят.

    В заголовке письма нашел следующее. 

    Письмо при этом падает во входящие

    ================================

    Subject: Eran 150.000 Do|i@r$ Per Mnoth So Ea$y
    Content-Type: text/plain; charset="ISO-8859-1";

    X-MS-Exchange-Organization-SCL: -1

    X-MS-Exchange-Organization-PRD: rate.ru
    Received-SPF: PermError (V12RUCTDMSC2003.CTDRUS.loc: domain of volkova@rate.ru used an invalid SPF mechanism)

    X-MS-Exchange-Organization-Network-Message-Id: fb53630d-763a-4b45-4ba8-08d4fe73bdf6
    X-MS-Exchange-Organization-Antispam-Report: ContentFilterConfigBypassedSender
    X-MS-Exchange-Organization-SCL: -1X-MS-Exchange-Organization-SenderIdResult: PERMERROR
    X-GFI-SMTP-Submission: 1



    • Изменено Adlukashin 19 сентября 2017 г. 7:59
    19 сентября 2017 г. 7:29
  • Вы с какой целью принимаете письма извне, отправленные якобы от вашего домена? Блокируйте его, делов-то.

    Блокировать свой собственный домен?

    • Изменено Adlukashin 19 сентября 2017 г. 7:58
    19 сентября 2017 г. 7:58
  •      Я предполагаю, что Get-SenderIDConfig вернет Enable?
    19 сентября 2017 г. 8:00
  • Блокировать свой собственный домен?
    Вы ожидаете получение писем, которые извне приходят с именем вашего домена? Если нет, то я уже написал - блокируйте домен, это обычная практика.

    MCSAnykey

    • Предложено в качестве ответа dmz_m 19 сентября 2017 г. 8:05
    • Помечено в качестве ответа Adlukashin 22 сентября 2017 г. 9:08
    19 сентября 2017 г. 8:02
  • Блочьте транспортным правилом,

    вот тут Дима писал уже как сделать.

    И вытащите свой домен из BypassedSenders контент фильтра.

    19 сентября 2017 г. 8:14
  • [PS] C:\Windows\system32>Get-SenderIDConfig


    SpoofedDomainAction   : StampStatus
    TempErrorAction       : StampStatus
    BypassedRecipients    : {}
    BypassedSenderDomains : {}
    Name                  : SenderIdConfig
    Enabled               : True
    ExternalMailEnabled   : True
    InternalMailEnabled   : False
    AdminDisplayName      :
    ExchangeVersion       : 0.1 (8.0.535.0)
    DistinguishedName     : CN=SenderIdConfig,CN=Message
    Identity              : SenderIdConfig
    Guid                  : 36bbc9b6-92ac-4aef-ad0d-1ac2
    ObjectCategory        : CN=ms-Exch-Message-Hygiene-S
    ObjectClass           : {top, msExchAgent, msExchMes
    WhenChanged           : 1/22/2017 3:40:23 PM
    WhenCreated           : 1/22/2017 3:40:23 PM
    WhenChangedUTC        : 1/22/2017 12:40:23 PM
    WhenCreatedUTC        : 1/22/2017 12:40:23 PM
    OrganizationId        :
    Id                    : SenderIdConfig
    OriginatingServer     : localhost
    IsValid               : True
    ObjectState           : Unchanged
    19 сентября 2017 г. 8:19
  • Блокировать свой собственный домен?

    Вы ожидаете получение писем, которые извне приходят с именем вашего домена? Если нет, то я уже написал - блокируйте домен, это обычная практика.

    объясните какой домен блокировать если домен отправитель мой домен? rate.ru шлет письма в rate.ru , кого тут блокировать?

    19 сентября 2017 г. 8:20
  • Свой домен блокировать из вне организации транспортным правилом, как выше постом указал.

    И если в выводе

    Get-ContentFilterConfig | Format-List Bypassed*

    где то ваш домен тут фигурирует, убирайте его через конструкцию с remove, тоже линк в посте выше приводил.

    19 сентября 2017 г. 9:01
  • ==========

    Get-ContentFilterConfig | Format-List Bypassed*

    BypassedRecipients    : {}
    BypassedSenders       : {Admin@rate.ru}
    BypassedSenderDomains : {rate.com, *.rias.com}

    ========

    Не помогло....

    Опять пришло спам письмо, только теперь спам не с самого себя, а с ящика которого нету... некий sales@rate.ru

    [PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>Get-MessageTrackingLog -eventid "receive" -ResultSize Unlimited -Sender "sales@rate.ru" -Recipient "e.volkova@rate.ru" -start "9/25/2017" -end "9/28/2017" | fl


    RunspaceId              : e245dea2-760b-4176-b5fa-e45ee5e04fdc
    Timestamp               : 9/26/2017 12:02:23 PM
    ClientIp                : 10.77.90.232
    ClientHostname          : V12RUCTDMSC2003.CTDRUS.loc
    ServerIp                : 10.77.90.236
    ServerHostname          : V12RUCTDMSC2006
    SourceContext           : 08D5021678F62ED7;2017-09-26T09:02:23.185Z;0
    ConnectorId             : V12RUCTDMSC2006\Default V12RUCTDMSC2006
    Source                  : SMTP
    EventId                 : RECEIVE
    InternalMessageId       : 25490630901778
    MessageId               : <CAGRenqh0sWUJzPDAknqKN=mK1Rc9dtWYipa4ifMY3HmrWGyKCg@mail.gmail.com>
    Recipients              : {e.volkova@rate.ru}
    RecipientStatus         : {}
    TotalBytes              : 9095
    RecipientCount          : 1
    RelatedRecipientAddress :
    Reference               :
    MessageSubject          : INVOICE
    Sender                  : sales@rate.ru
    ReturnPath              : sales@rate.ru
    Directionality          : Incoming
    TenantId                :
    OriginalClientIp        : 27.7.133.56
    MessageInfo             : 11A:
    MessageLatency          :
    MessageLatencyType      : None
    EventData               : {[FirstForestHop, V12RUCTDMSC2006.CTDRUS.loc], [DeliveryPriority, Normal], [AccountForest,
                                     CTDRUS.loc]}

    ----------------------

    Решил сделать транспортное правило ? по этому формату 

     пильните транспортное правило. ЕСЛИ снаружи организации И наш домен, ТО действие, набросать 5 очков SCL и отправить отчет об этом страшном деле на ящик ответственного.

    Проверьте пожалуйста так оно должно выглядеть!?



    • Изменено Adlukashin 28 сентября 2017 г. 12:56
    28 сентября 2017 г. 12:55
  • Не совсем.

    Если отправитель (а не получатель) находится вне организации

    В остальном да.

    28 сентября 2017 г. 13:24