Лучший отвечающий
Разобраться как пришло письмо

Вопрос
-
Нескольким пользователям в сети пришли спамовые сообщения, from: левыйящик@rambler.ru to:fdfdf@mydomain.com, при этом ящика (пользователя, контакта, группы) fdfdf не существует в exchange. Каким образом письмо могло быть переслано этим пользователям?
- Перемещено Tina_Tian 18 марта 2012 г. 8:23 forum merge (От:Exchange Server 2003/2000/5.5)
18 июня 2010 г. 8:15
Ответы
-
Для некурящих продолжим...
RFC можно не читать, достаточно текста полегче.
Итак, факты:
1. 7 серверов Exchange и Sendmail как SMTP-шлюз (видимо добавлен от скуки)
2. Типовой спам с подтасовкой заголовков.
3. Вы не знаете как такое могло произойти (возможно, видите это первый раз)
Выводы - кто-то сломал антиспам фильтр в отлаженной системе или же вы только что приступили к ее обслуживанию.
В любом случае необходимо проверять/прикручивать на Sendmail механизмы проверки существования получателя, проверки PTR и A-записи отправляющей стороны, greylisting, DNSBL, SURBL, проверку SPF, tarpit delay и т.д. Это позволит максимально снизить вероятность попадания к вам спама.
Или сносить Sendmail (под эгидой снижения стоимости владения зоопарком) и выполнять все тоже самое на Exchange, к которому просто можно купить за $300 ORF и он практически сделает все за вас.
- Помечено в качестве ответа Sergey Aslanov 21 июня 2010 г. 6:57
18 июня 2010 г. 20:23Модератор
Все ответы
-
Сергей, опишите, пожалуйста, вашу инфраструктуру Exchange.18 июня 2010 г. 8:25Модератор
-
7 серваков внутри сети, в интернет выходят через sendmail. Что еще нужно описать?18 июня 2010 г. 13:12
-
да, как "здрасьте" он могло прийти. надо прочувствовать разницу между заголовками smtp-сессии и заголовками письма. RFC нужные покурить... понять разницу между "RCPT TO" сессии и заголовком "TO" письма...18 июня 2010 г. 13:44
-
Для некурящих продолжим...
RFC можно не читать, достаточно текста полегче.
Итак, факты:
1. 7 серверов Exchange и Sendmail как SMTP-шлюз (видимо добавлен от скуки)
2. Типовой спам с подтасовкой заголовков.
3. Вы не знаете как такое могло произойти (возможно, видите это первый раз)
Выводы - кто-то сломал антиспам фильтр в отлаженной системе или же вы только что приступили к ее обслуживанию.
В любом случае необходимо проверять/прикручивать на Sendmail механизмы проверки существования получателя, проверки PTR и A-записи отправляющей стороны, greylisting, DNSBL, SURBL, проверку SPF, tarpit delay и т.д. Это позволит максимально снизить вероятность попадания к вам спама.
Или сносить Sendmail (под эгидой снижения стоимости владения зоопарком) и выполнять все тоже самое на Exchange, к которому просто можно купить за $300 ORF и он практически сделает все за вас.
- Помечено в качестве ответа Sergey Aslanov 21 июня 2010 г. 6:57
18 июня 2010 г. 20:23Модератор -
или сносить Exchange и по человечески настроить sendmail (я предпочитаю exim)
по сути своей у вас неправильно работающий антиспам фильтр (если он есть...)
можно зайти сюда http://www.sendmail.org/m4/anti_spam.html
blog.wadmin.ru18 июня 2010 г. 21:34