Лучший отвечающий
Защита от спама по проверке существования адреса отправителя

Вопрос
-
99% процентов спама идет с несуществующих адресов.
Можно ли как-то сделать, чтоб перед получением, адрес отправителя (или сервер хотя бы) проверялся на существование?
ящиков всего 30, железо хорошее, нагрузка небольшая.
сейчас защита только:
блеклисты - spamcop
фильтрация отправителя - не принимать с пустой графой ОТ
фильтрация получателя - не принимать, если нет в адрес книге.
если телнетом заходить, и пробовать отправить на несущ. юзера, посылает.
Вообщем-то на всех ящиках (iivanov - например) спама нет, но очень много спама на info, hr, admin итп.
начальство не желает избегать популярных имен....- Перемещено Hengzhe Li 18 марта 2012 г. 5:10 forum merge (От:Exchange Server 2007)
7 ноября 2008 г. 13:48
Ответы
-
Вы упорно не хотите читать help к Forefront?
Reverse DNS check здесь подразумевается в одном из видов запросов, а именно - HELO lookup: Из HELO части сессии достается имя сервера отправителя, и по этой зоне DNS делается прямой запрос. Полученный IP адрес сверяется с тем что в самой сессии (а спамеры, бывает, меняют имя домена отправителя в заголовке, подставляя известные брэнды типа "google.com", "microsoft.com", "yandex.ru" etc), и если они не совпадают - сообщение получает плохой рейтинг, и должно быть прибито.
PS: При установке FF антиспам механизмы включены по умолчанию, дальше остается только дополнительно поднастроить их под свои нужны/особенности, настроек и в правду немного.
23 ноября 2008 г. 21:40
Все ответы
-
Sender Reputation Filter делает reverse dns lookup. должен прибивать,
проведите get-transportagent на ET, убедитесь что он у вас не отключен.
И купите уже себе наконец-то какой-нибудь серьезный антиспам-антивирь, "один в поле не трактор" - одним только спамкопом всех вопросов не решить.
- Предложено в качестве ответа MsExchange 17 февраля 2009 г. 19:15
8 ноября 2008 г. 3:01 -
это какой например? унас форевронт сервер стоит для Эксченджа
9 ноября 2008 г. 7:46 -
Forefront - очень хороший антивирус-антиспам (я его деплоил нескольким даже бальшим-бальшим клиентам, одному с 3 ET в каждом из 9 больших офисов, и тремя десятками только HT - все довольны), удивительно как вам удалось так его поставить/настроить чтобы он пропускал такой тупой и банальный спам. Вы проверили какие у вас транспортные агенты включены? Как у вас развернут FF?
MS сама сидит на FF, спросите здесь у сотрудников MS - сколько писем спама в неделю они встречают в своем ящике.- Предложено в качестве ответа MsExchange 17 февраля 2009 г. 19:15
9 ноября 2008 г. 20:44 -
Identity Enabled Priority
-------- ------- --------
Transport Rule Agent True 1
Journaling Agent True 2
AD RMS Prelicensing Agent False 3
Connection Filtering Agent True 4
Content Filter Agent True 5
Sender Id Agent True 6
Sender Filter Agent True 7
Recipient Filter Agent True 8
Protocol Analysis Agent True 9
FSE Routing Agent True 10Вы проверили какие у вас транспортные агенты включены?
Это где в Exchange или в FF? (ткните плиз куда смотреть)
+ я не могу понять, почему спам, посланный на рассылку hr@ (с наружи открыто для 3 имен) приходит мне на admin@?
если кинуть тестовое письмо на hr@, мне ничего не приходит.
запрет на посыл на пользователей вне книги - включен.
10 ноября 2008 г. 7:06 -
Сегодня опять спам пришло письмо на admin@ , хотя шло на info@
Received: from mail.cgwele.ru (85.84.71.29) by mail.mydomain.ru (192.168.79.151) with Microsoft SMTP Server id 8.1.311.2; Tue, 11 Nov 2008
11:04:48 +0300
From: =?koi8-r?B?79LHwc7J2sHDydEgxM/L1c3FztTPz8LP0s/UwQ==?= <ycdhfhe@indus.ru>
To: <info@mydomain.ru >
Subject: =?koi8-r?B?8NLB18nMzyDExczP18/HzyDc1MnLxdTB?=
Date: Tue, 11 Nov 2008 11:04:58 +0300
MIME-Version: 1.0
Content-Type: text/plain; format=flowed; charset="koi8-r"; reply-type=original
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
Message-ID: <6e8f01c943d4$3076f580$9416a8c0@29.858471.dynamic.clientes.euskaltel.es>
X-Mailer: Microsoft Outlook Express 6.00.2900.3138
Return-Path: ycdhfhe@indus.ru
X-MS-Exchange-Organization-PRD: indus.ru
X-MS-Exchange-Organization-SenderIdResult: None
Received-SPF: None (mail.mydomain.ru : ycdhfhe@indus.ru does not designate
permitted sender hosts)1) почему приходит мне на admin?
2) проверка репутации отправителя включена, но получается он не проверяет mail.cgwele.ru ? такого домена вообще нет., а письмо пришло.
11 ноября 2008 г. 8:32 -
Вы не заголовки сообщения смотрите - там написать ( частично) можно любую (практически) белиберду - вы лог приемника смотрите11 ноября 2008 г. 10:36
-
Sergey Krylov написано: Вы не заголовки сообщения смотрите - там написать ( частично) можно любую (практически) белиберду - вы лог приемника смотрите лог приемника?
это получающий соединитель (включить логирование?)
кстати, а где он лог этот должен появиться?
C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\ProtocolLog\SmtpReceive
тут?
еще:
что делать? кто-то с разных ip и адресов каждый день спамит по одним и тем же несуществующим адресам.. но info и hr попадают.. хорошо еще некоторый Spamcop отфутболивает
список:
victor
td
post
ira
irina
vladimir
info
hr
:-)
кусок лога:
2008-11-11T15:00:35.966Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,info@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,2008-11-11T15:00:41.278Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,hr@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:00:46.606Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,marketing@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:00:51.981Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,marketing@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:00:57.341Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,info@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:01:02.669Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,hr@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:01:07.997Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,hr@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:01:13.325Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,td@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:01:18.653Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,victor@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:01:23.981Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,elena@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:01:29.325Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,ira@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:01:34.653Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,vladimir@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:01:39.966Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,admin@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:01:45.294Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,irina@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:01:50.606Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,mail@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:01:55.935Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,ma@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:02:01.247Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,post@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:02:03.888Z,08CB11223842D27E,192.168.79.151:25,217.79.216.190:57173,217.79.216.190,<OF7D496F1E.C687E48B-ONC32574FE.0052854C-C32574FE.0052B1BC@bene.com>,Elena.Zagainaya@bene.com,Elena.Zagainaya@bene.com;,mnastich@mydomain.ru,1,Content Filter Agent,OnEndOfData,AcceptMessage,,SCL,not available: policy is disabled.,
2008-11-11T15:02:06.575Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,info@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
2008-11-11T15:02:11.903Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,marketing@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,
11 ноября 2008 г. 14:44 -
Да - получающий соединитель11 ноября 2008 г. 15:29
-
Code Snippet
[PS] C:\>Get-TransportServer | get-messagetrackinglog -Recipients:1@1.ru -Sender "2@2.ru -Start "12.11.2008 10:01:00" -End "12.11.2008 10:11:00" |fl
12 ноября 2008 г. 5:12 -
Timestamp : 11.11.2008 21:08:42
ClientIp : 87.7.5.100
ClientHostname :
ServerIp : 192.168.79.151
ServerHostname : mail
SourceContext : 08CB11223842D2E0;2008-11-11T18:07:32.528Z;0
ConnectorId : MAIL\Default MAIL
Source : SMTP
EventId : RECEIVE
InternalMessageId : 1054
MessageId : <9f0901c94428$991b17c0$f561a8c0@host1005dynamic.787r.
retail.telecomitalia.it>
Recipients : {hr@mydomain.ru, admin@mydomain.ru, info@mydomain.ru, marketing@mydomain.ru}
RecipientStatus : {}
TotalBytes : 23414
RecipientCount : 4
RelatedRecipientAddress :
Reference :
MessageSubject : Покупка авто с мех поломками
Sender : sunwxxd@goon.ru
ReturnPath : sunwxxd@goon.ru
MessageInfo : 00A:
Timestamp : 11.11.2008 21:14:18
ClientIp : 79.32.76.25
ClientHostname :
ServerIp : 192.168.79.151
ServerHostname : mail
SourceContext : 08CB11223842D2E2;2008-11-11T18:12:29.403Z;0
ConnectorId : MAIL\Default MAIL
Source : SMTP
EventId : RECEIVE
InternalMessageId : 1058
MessageId : <87cc01c94429$5402fe40$35d3a8c0@host2576dynamic.3279r
.retail.telecomitalia.it>
Recipients : {info@mydomain.ru, hr@mydomain.ru, marketing@mydomain.ru, admin@mydomain.ru}
RecipientStatus : {}
TotalBytes : 25768
RecipientCount : 4
RelatedRecipientAddress :
Reference :
MessageSubject : Строить стало легче
Sender : xofgwz@goon.ru
ReturnPath : xofgwz@goon.ru
MessageInfo : 00A:
я стою в копии, правильно? как избавиться от этого спамера?
домен существует, адрес поддельный.... блокировать весь домен - нельзя.
можно ли все-таки сделать проверку на существование именно ящика в домене, с которого идет письмо?
12 ноября 2008 г. 7:44 -
тут все сказано
Code SnippetRecipients : {hr@mydomain.ru, admin@mydomain.ru, info@mydomain.ru, marketing@mydomain.ru}
по поводу проверки sender , у вас может быть больше проблем чем пользы.
А так на сколько я знаю средствами Exch нельзя.. надо стороний софт
12 ноября 2008 г. 8:58 -
подскажите, пожалуйста, в ForeFront где настраивается антиспам?
в общих настройках?
что дает команда выполнить обратый поиск ДНС?
больше про анти-спам я ничего не нашел.
12 ноября 2008 г. 9:33 -
Вы упорно не хотите читать help к Forefront?
Reverse DNS check здесь подразумевается в одном из видов запросов, а именно - HELO lookup: Из HELO части сессии достается имя сервера отправителя, и по этой зоне DNS делается прямой запрос. Полученный IP адрес сверяется с тем что в самой сессии (а спамеры, бывает, меняют имя домена отправителя в заголовке, подставляя известные брэнды типа "google.com", "microsoft.com", "yandex.ru" etc), и если они не совпадают - сообщение получает плохой рейтинг, и должно быть прибито.
PS: При установке FF антиспам механизмы включены по умолчанию, дальше остается только дополнительно поднастроить их под свои нужны/особенности, настроек и в правду немного.
23 ноября 2008 г. 21:40