none
Не работает анти спам. RRS feed

  • Вопрос

  • Доброе время суток, пытаюсь защищаться от спама....

    Топология:

    Внешка<>edge2010+tmg+fpe<>exchange2013<>внутренняя

    Добавляю в тмг фильтрация файлов файл "666.zip" и фильтрацию по тексту "354" отправляю с mail.ru сообщение с заголовком 354 и содержимым 666.zip и оно приходит на почту целое и невредимое... такое чувство что анти спам вообще не работает...

    Прошу помощи

    25 сентября 2014 г. 3:50

Ответы

  • На данный момент используем хардварэ лоад балансер тем самым заменив им ТМГ. Но в этой закладке у меня небыло активировано ничего. Просто открывал нужные порты в ТМГ, тем самым Exchange жил совей жизнью ТМГ своей. Правда все FPE изменения надо делать на всех серверах отдельно.  
    • Помечено в качестве ответа Zybastik 30 сентября 2014 г. 4:57
    29 сентября 2014 г. 6:23
  • Антиспам на FPE

    • Помечено в качестве ответа Zybastik 30 сентября 2014 г. 4:57
    29 сентября 2014 г. 9:23

Все ответы

  • День добрый.

    Ваш пост не несет никакой информации.

    Где лог SMTP сессии приема этого письма.

    Где тело письма передачи сообщения.

    На основании чего вам помогать. ))))


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    25 сентября 2014 г. 5:39
    Модератор
  • Ставте 2 фильтра в FPE. Один для темы письма второй для файла. Для темы письма настраивайте фильтр:

    Policy Management ->Filters->Filter List нажимаем Create… и выбираем   Subject line  ну а далее сами справитесь.

    Для приложения все там-же но вместо   Subject выбираем File описание тут

    http://technet.microsoft.com/ru-ru/library/cc483024.aspx

    25 сентября 2014 г. 5:51
  • Лог из C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive

    2014-09-25T02:27:03.414Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,1,local_ip:25,ex2013_ip:62471,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
    2014-09-25T02:27:03.414Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,2,local_ip:25,ex2013_ip:62471,>,"220 ex_2013.local.ru Microsoft ESMTP MAIL Service ready at Thu, 25 Sep 2014 08:27:02 +0600",
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,3,local_ip:25,ex2013_ip:62471,<,EHLO f139.i.mail.ru,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,4,local_ip:25,ex2013_ip:62471,>,250-ex_2013.local.ru Hello [ex2013_ip],
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,5,local_ip:25,ex2013_ip:62471,>,250-SIZE 104857600,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,6,local_ip:25,ex2013_ip:62471,>,250-PIPELINING,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,7,local_ip:25,ex2013_ip:62471,>,250-DSN,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,8,local_ip:25,ex2013_ip:62471,>,250-ENHANCEDSTATUSCODES,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,9,local_ip:25,ex2013_ip:62471,>,250-STARTTLS,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,10,local_ip:25,ex2013_ip:62471,>,250-X-ANONYMOUSTLS,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,11,local_ip:25,ex2013_ip:62471,>,250-AUTH NTLM,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,12,local_ip:25,ex2013_ip:62471,>,250-X-EXPS GSSAPI NTLM,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,13,local_ip:25,ex2013_ip:62471,>,250-8BITMIME,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,14,local_ip:25,ex2013_ip:62471,>,250-BINARYMIME,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,15,local_ip:25,ex2013_ip:62471,>,250-CHUNKING,
    2014-09-25T02:27:03.445Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,16,local_ip:25,ex2013_ip:62471,>,250 XRDST,
    2014-09-25T02:27:03.492Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,17,local_ip:25,ex2013_ip:62471,<,STARTTLS,
    2014-09-25T02:27:03.492Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,18,local_ip:25,ex2013_ip:62471,>,220 2.0.0 SMTP server ready,
    2014-09-25T02:27:03.492Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,19,local_ip:25,ex2013_ip:62471,*,,Sending certificate
    2014-09-25T02:27:03.492Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,20,local_ip:25,ex2013_ip:62471,*,CN=ex_2013,Certificate subject
    2014-09-25T02:27:03.492Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,21,local_ip:25,ex2013_ip:62471,*,CN=ex_2013,Certificate issuer name
    2014-09-25T02:27:03.492Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,22,local_ip:25,ex2013_ip:62471,*,6F2F4D37D7CD898A44C91BFC62A69520,Certificate serial number
    2014-09-25T02:27:03.492Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,23,local_ip:25,ex2013_ip:62471,*,3A64317417F8BFA63B189ACBD7FF2D73FA9D25BF,Certificate thumbprint
    2014-09-25T02:27:03.492Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,24,local_ip:25,ex2013_ip:62471,*,ex_2013;ex_2013.local.ru,Certificate alternate names
    2014-09-25T02:27:03.648Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,25,local_ip:25,ex2013_ip:62471,*,,TLS negotiation succeeded
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,26,local_ip:25,ex2013_ip:62471,<,EHLO f139.i.mail.ru,
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,27,local_ip:25,ex2013_ip:62471,*,,Client certificate chain validation status: 'EmptyCertificate'
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,28,local_ip:25,ex2013_ip:62471,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate'
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,29,local_ip:25,ex2013_ip:62471,>,250-ex_2013.local.ru Hello [ex2013_ip],
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,30,local_ip:25,ex2013_ip:62471,>,250-SIZE 104857600,
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,31,local_ip:25,ex2013_ip:62471,>,250-PIPELINING,
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,32,local_ip:25,ex2013_ip:62471,>,250-DSN,
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,33,local_ip:25,ex2013_ip:62471,>,250-ENHANCEDSTATUSCODES,
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,34,local_ip:25,ex2013_ip:62471,>,250-AUTH NTLM,
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,35,local_ip:25,ex2013_ip:62471,>,250-X-EXPS GSSAPI NTLM,
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,36,local_ip:25,ex2013_ip:62471,>,250-8BITMIME,
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,37,local_ip:25,ex2013_ip:62471,>,250-BINARYMIME,
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,38,local_ip:25,ex2013_ip:62471,>,250-CHUNKING,
    2014-09-25T02:27:03.679Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,39,local_ip:25,ex2013_ip:62471,>,250 XRDST,
    2014-09-25T02:27:03.726Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,40,local_ip:25,ex2013_ip:62471,<,MAIL FROM:<failoarsi@mail.ru> SIZE=162429,
    2014-09-25T02:27:03.726Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,41,local_ip:25,ex2013_ip:62471,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions
    2014-09-25T02:27:03.726Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,42,local_ip:25,ex2013_ip:62471,*,08D1A451E3179096;2014-09-25T02:27:03.414Z;1,receiving message
    2014-09-25T02:27:03.726Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,43,local_ip:25,ex2013_ip:62471,<,RCPT TO:<user@local.ru>,
    2014-09-25T02:27:03.726Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,44,local_ip:25,ex2013_ip:62471,<,DATA,
    2014-09-25T02:27:03.726Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,45,local_ip:25,ex2013_ip:62471,>,250 2.1.0 Sender OK,
    2014-09-25T02:27:03.726Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,46,local_ip:25,ex2013_ip:62471,>,250 2.1.5 Recipient OK,
    2014-09-25T02:27:03.726Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,47,local_ip:25,ex2013_ip:62471,>,354 Start mail input; end with <CRLF>.<CRLF>,
    2014-09-25T02:27:03.789Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,48,local_ip:25,ex2013_ip:62471,*,,Proxy destination(s) obtained from OnProxyInboundMessage event
    2014-09-25T02:27:04.272Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,49,local_ip:25,ex2013_ip:62471,>,"250 2.6.0 <1411612022.700584232@f139.i.mail.ru> [InternalId=17244293693607, Hostname=ex_2013.local.ru] Queued mail for delivery",
    2014-09-25T02:27:04.350Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,50,local_ip:25,ex2013_ip:62471,<,QUIT,
    2014-09-25T02:27:04.350Z,ex_2013\Default Frontend ex_2013,08D1A451E3179096,51,local_ip:25,ex2013_ip:62471,>,221 2.0.0 Service closing transmission channel,

    25 сентября 2014 г. 7:01
  • Каков результат команды FSCUtility /status ? Файл в папке инсталяции FPE


    Можете так-же включить Pipeline Tracing http://technet.microsoft.com/en-us/library/bb125018(v=exchg.150).aspx и посмотреть, что происходит с письмом.
    • Изменено Arturs_B 25 сентября 2014 г. 7:35
    25 сентября 2014 г. 7:31
  • PS C:\Program Files (x86)\Microsoft Forefront Protection for Exchange Server> .\
    FSCUtility /status
    
      ----------------------------------------------------------------------
      Служебная программа Microsoft Forefront Protection Admin - v 11.0.0713.0
      (c) Корпорация Майкрософт (Microsoft Corp.). Все права защищены.
    
    Изучение среды...
        Регистрация IMLogic IM Manager НЕ обнаружена
        Регистрация Microsoft Live Communications Server НЕ обнаружена
        Регистрация Microsoft System Attendant НЕ обнаружена
        Регистрация Exchange Information Store НЕ обнаружена
        Регистрация Microsoft Internet Mail Service НЕ обнаружена
        Регистрация Microsoft SMTP Service НЕ обнаружена
        Обнаружена регистрация Microsoft Exchange Transport Service
        Регистрация Microsoft IIS Admin Service НЕ обнаружена
        Регистрация Microsoft SharePoint Portal Server НЕ обнаружена
        Обнаружена регистрация FSC Monitor
        Обнаружен компонент файла FSC Monitor
        Обнаружена регистрация FSC Controller
        Обнаружен компонент файла FSC Controller
        Обнаружена регистрация FSE IMC
        Обнаружен компонент файла FSE IMC
        Регистрация FSSP Controller НЕ обнаружена
        Регистрация FSOC RTC Proxy НЕ обнаружена
        Регистрация FSE CCR Service НЕ обнаружена
        Зависимость Information Store от FSCController не обнаружена
        Обнаружено, что Exchange Transport Service находится в зависимости от FSEIMC
    
    
      Тестирование служб...
    
        Служба              Обнаружено    Состояние
        -------------------------------------------------
        IMLogRelayService   Нет
        FSOCRTCProxy        Нет
        RtcSrv              Нет
        FSCMonitor          Да           Выполняется
        FSCController       Да           Выполняется
        FSEIMC              Да           Остановлено
        MSExchangeIS        Нет
        MSExchangeSA        Нет
        MSExchangeIMC       Нет
        SMTPSVC             Нет
        MSExchangeTransport Да           Выполняется
        IISAdmin            Нет
        W3Svc               Да           Выполняется
        MSDMSERV            Нет
        FSSPController      Нет
        FSEMailPickup       Да           Выполняется
        FSECCRService       Нет
      Состояние:  Microsoft Forefront Protection интегрирована.

    25 сентября 2014 г. 7:54
  • какие критерии фильтра файла?

    25 сентября 2014 г. 8:24
  • Для файла:

    Имя списка фильтров: 666.zip
    Тип фильтра: Файл
    Проверка транспорта на сервере-концентраторе или пограничном транспортном сервере: Включено
    Действие: Удалить
    Файлы на карантине: Да
    Уведомления: Использовать параметры уведомлений

    критерий:

    666
    666.zip

    типы выбрал уже все.

    По ключевому слову:

    Имя списка фильтров: 354
    Тип фильтра: Ключевое слово
    Мин. число уникальных ключевых слов: 1
    Направления сообщений: Входящий;Исходящий;Внутренний
    Проверка транспорта на сервере-концентраторе или пограничном транспортном сервере: Включено
    Действие: Удалить
    Файлы на карантине: Да
    Уведомления: Использовать параметры уведомлений

    критерий:

    354

    25 сентября 2014 г. 9:02
  • Письмо:

    от failoarsi@mail.ru

    тема:354

    текст в теме:354

    Вложение:666.zip

    25 сентября 2014 г. 9:04
  • Покажите пожалуйста вкладку

    About product licensing

    Forefront Protection 2010 for Exchange Server (FPE) is installed at first as a fully functional 120-day evaluation version. After 120 days, the evaluation version of FPE ceases to clean, delete, or purge detected malware files or filter matches. That is, the action for these features is reset to Skip detect. Allowed senders filter lists and spam functionality (including spam scanning, DNS block lists, and the backscatter feature) are disabled, and scan engines no longer update.


    MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.

    25 сентября 2014 г. 9:37
    Модератор
  • Попробуйте сделать вот такой фильтр:

    И смотрите поймает ли он эти сообщения. skip detect обезательно что-бы просто фиксировал событие а не удалял письма

    25 сентября 2014 г. 9:49
  • Лицензия не пробная, срок не кончился.

    Посмотрел в логи, он видит исходящее, а входящее не просматривает, как быть?

    Фильтры старые оба отрабатывают на исходящую...

    хотя направление стоит:Направления сообщений: Входящий;Исходящий;Внутренний

    26 сентября 2014 г. 1:44
  • попробуйте в фильтре указать <in>*.zip

    <in> явно указывает на то что должно срабатывать на входе.

    плюс проверте настройки вот тут:

    • Изменено Arturs_B 26 сентября 2014 г. 7:41
    26 сентября 2014 г. 7:38
  • Не получается даже правило уже создать, т.е. добавляю правило, в окошке оно весит...сохраняю.. ещё секунды 3-5 оно висит, обновляю и оно пропадает...

    Хм... полагаю настройки эти были сделаны мною же в ТМГ, в логах написано:

    Компонентом Forefront TMG обнаружены изменения конфигурации Microsoft Exchange Server или Microsoft Forefront Protection и повторно применена конфигурация политики электронной почты на сервере "servers".

    • Изменено Zybastik 26 сентября 2014 г. 9:22
    26 сентября 2014 г. 9:05
  • Когда у меня был ТМГ я не делал интеграцию почты в нем. Меньше проблем. Пускал только OWA через него.
    26 сентября 2014 г. 11:56
  • Хм, можешь показать вот это у себя...Arturs_B?

    

    27 сентября 2014 г. 5:30
  • На данный момент используем хардварэ лоад балансер тем самым заменив им ТМГ. Но в этой закладке у меня небыло активировано ничего. Просто открывал нужные порты в ТМГ, тем самым Exchange жил совей жизнью ТМГ своей. Правда все FPE изменения надо делать на всех серверах отдельно.  
    • Помечено в качестве ответа Zybastik 30 сентября 2014 г. 4:57
    29 сентября 2014 г. 6:23
  • Рас у тебя балансер, то полагаю у тебя всё разбито на 4пк? (даг, касы+балансы) а фильтруешь спам чем?
    29 сентября 2014 г. 7:31
  • Антиспам на FPE

    • Помечено в качестве ответа Zybastik 30 сентября 2014 г. 4:57
    29 сентября 2014 г. 9:23