none
Защита от спама по проверке существования адреса отправителя RRS feed

  • Вопрос

  • 99% процентов спама идет с несуществующих адресов.
    Можно ли как-то сделать, чтоб перед получением, адрес отправителя (или сервер хотя бы) проверялся на существование?

    ящиков всего 30, железо хорошее, нагрузка небольшая.

    сейчас защита только:
    блеклисты - spamcop
    фильтрация отправителя - не принимать с пустой графой ОТ
    фильтрация получателя - не принимать, если нет в адрес книге.

    если телнетом заходить, и пробовать отправить на несущ. юзера, посылает.

    Вообщем-то на всех ящиках (iivanov - например) спама нет, но очень много спама на info, hr, admin итп.
    начальство не желает избегать популярных имен....


    • Перемещено Hengzhe Li 18 марта 2012 г. 5:10 forum merge (От:Exchange Server 2007)
    7 ноября 2008 г. 13:48

Ответы

  • Вы упорно не хотите читать help к Forefront?

     

    Reverse DNS check здесь подразумевается в одном из видов запросов, а именно - HELO lookup: Из HELO части сессии достается имя сервера отправителя, и по этой зоне DNS делается прямой запрос. Полученный IP адрес сверяется с тем что в самой сессии (а спамеры, бывает, меняют имя домена отправителя в заголовке, подставляя известные брэнды типа "google.com", "microsoft.com", "yandex.ru" etc), и если они не совпадают - сообщение получает плохой рейтинг, и должно быть прибито.

     

    PS: При установке FF антиспам механизмы включены по умолчанию, дальше остается только дополнительно поднастроить их под свои нужны/особенности, настроек и в правду немного.

     

    23 ноября 2008 г. 21:40

Все ответы

  • Sender Reputation Filter делает reverse dns lookup. должен прибивать,

    проведите get-transportagent на ET, убедитесь что он у вас не отключен.

    И купите уже себе наконец-то какой-нибудь серьезный антиспам-антивирь, "один в поле не трактор" - одним только спамкопом всех вопросов не решить.

    • Предложено в качестве ответа MsExchange 17 февраля 2009 г. 19:15
    8 ноября 2008 г. 3:01
  • это какой например? унас форевронт сервер стоит для Эксченджа

    9 ноября 2008 г. 7:46
  • Forefront - очень хороший антивирус-антиспам (я его деплоил нескольким даже бальшим-бальшим клиентам, одному с 3 ET в каждом из 9 больших офисов, и тремя десятками только HT - все довольны), удивительно как вам удалось так его поставить/настроить чтобы он пропускал такой тупой и банальный спам. Вы проверили какие у вас транспортные агенты включены? Как у вас развернут FF?

    MS сама сидит на FF, спросите здесь у сотрудников MS - сколько писем спама в неделю они встречают в своем ящике.
    • Предложено в качестве ответа MsExchange 17 февраля 2009 г. 19:15
    9 ноября 2008 г. 20:44
  •  

    Identity                                           Enabled         Priority
    --------                                           -------         --------
    Transport Rule Agent                               True            1
    Journaling Agent                                   True            2
    AD RMS Prelicensing Agent                          False           3
    Connection Filtering Agent                         True            4
    Content Filter Agent                               True            5
    Sender Id Agent                                    True            6
    Sender Filter Agent                                True            7
    Recipient Filter Agent                             True            8
    Protocol Analysis Agent                            True            9
    FSE Routing Agent                                  True            10

     

    Вы проверили какие у вас транспортные агенты включены?

     

    Это где в Exchange или в FF? (ткните плиз куда смотреть)

     

    + я не могу понять, почему спам, посланный на рассылку hr@  (с наружи открыто для 3 имен) приходит мне на admin@?

     

    если кинуть тестовое письмо на hr@, мне ничего не приходит.

    запрет на посыл на пользователей вне книги - включен.

     

     

    10 ноября 2008 г. 7:06
  •  

    Сегодня опять спам пришло письмо на admin@ , хотя шло на info@

     

    Received: from mail.cgwele.ru (85.84.71.29) by mail.mydomain.ru (192.168.79.151) with Microsoft SMTP Server id 8.1.311.2; Tue, 11 Nov 2008
     11:04:48 +0300
    From: =?koi8-r?B?79LHwc7J2sHDydEgxM/L1c3FztTPz8LP0s/UwQ==?= <ycdhfhe@indus.ru>
    To: <info@mydomain.ru >
    Subject: =?koi8-r?B?8NLB18nMzyDExczP18/HzyDc1MnLxdTB?=
    Date: Tue, 11 Nov 2008 11:04:58 +0300
    MIME-Version: 1.0
    Content-Type: text/plain; format=flowed; charset="koi8-r"; reply-type=original
    Content-Transfer-Encoding: 8bit
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
    Message-ID: <6e8f01c943d4$3076f580$9416a8c0@29.858471.dynamic.clientes.euskaltel.es>
    X-Mailer: Microsoft Outlook Express 6.00.2900.3138
    Return-Path: ycdhfhe@indus.ru
    X-MS-Exchange-Organization-PRD: indus.ru
    X-MS-Exchange-Organization-SenderIdResult: None
    Received-SPF: None (mail.mydomain.ru : ycdhfhe@indus.ru does not designate
     permitted sender hosts)

    1) почему приходит мне на admin?

    2) проверка репутации отправителя включена, но получается он не проверяет mail.cgwele.ru ? такого домена вообще нет., а письмо пришло.

     

     

     

    11 ноября 2008 г. 8:32
  • Вы не заголовки сообщения смотрите - там написать ( частично) можно любую (практически) белиберду - вы лог приемника смотрите

     

    11 ноября 2008 г. 10:36
  •  Sergey Krylov написано:
    Вы не заголовки сообщения смотрите - там написать ( частично) можно любую (практически) белиберду - вы лог приемника смотрите

     

     

    лог приемника?

    это получающий соединитель (включить логирование?)

    кстати, а где он лог этот должен появиться?

    C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\ProtocolLog\SmtpReceive

     

    тут?

     

    еще:

    что делать? кто-то с разных ip и адресов каждый день спамит по одним и тем же несуществующим адресам.. но info и hr попадают.. хорошо еще некоторый Spamcop отфутболивает

    список:

    victor

    td

    post

    ira

    irina

    vladimir

    info

    hr

    :-)

     

    кусок лога:


    2008-11-11T15:00:35.966Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,info@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:00:41.278Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,hr@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:00:46.606Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,marketing@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:00:51.981Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,marketing@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:00:57.341Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,info@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:01:02.669Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,hr@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:01:07.997Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,hr@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:01:13.325Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,td@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:01:18.653Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,victor@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:01:23.981Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,elena@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:01:29.325Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,ira@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:01:34.653Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,vladimir@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:01:39.966Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,admin@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:01:45.294Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,irina@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:01:50.606Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,mail@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:01:55.935Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,ma@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:02:01.247Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,post@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:02:03.888Z,08CB11223842D27E,192.168.79.151:25,217.79.216.190:57173,217.79.216.190,<OF7D496F1E.C687E48B-ONC32574FE.0052854C-C32574FE.0052B1BC@bene.com>,Elena.Zagainaya@bene.com,Elena.Zagainaya@bene.com;,mnastich@mydomain.ru,1,Content Filter Agent,OnEndOfData,AcceptMessage,,SCL,not available: policy is disabled.,

    2008-11-11T15:02:06.575Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,info@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

    2008-11-11T15:02:11.903Z,08CB11223842D27D,192.168.79.151:25,79.7.48.103:63708,79.7.48.103,,ryoskgr@goon.ru,,marketing@mydomain.ru,1,Connection Filtering Agent,OnRcptCommand,RejectCommand,"550 5.7.1 Recipient not authorized, your IP has been found on a block list",BlockListProvider,bl.spamcop.net,

     

    или это вирус(спамер)?

    11 ноября 2008 г. 14:44
  • Да - получающий соединитель

     

    11 ноября 2008 г. 15:29
  • Code Snippet

    [PS] C:\>Get-TransportServer | get-messagetrackinglog -Recipients:1@1.ru -Sender "2@2.ru -Start "12.11.2008 10:01:00" -End "12.11.2008 10:11:00" |fl

     

     

    переменые заменитиь на свои.. результат сюда
    12 ноября 2008 г. 5:12
  • Timestamp               : 11.11.2008 21:08:42

    ClientIp                : 87.7.5.100

    ClientHostname          :

    ServerIp                : 192.168.79.151

    ServerHostname          : mail

    SourceContext           : 08CB11223842D2E0;2008-11-11T18:07:32.528Z;0

    ConnectorId             : MAIL\Default MAIL

    Source                  : SMTP

    EventId                 : RECEIVE

    InternalMessageId       : 1054

    MessageId               : <9f0901c94428$991b17c0$f561a8c0@host1005dynamic.787r.

                              retail.telecomitalia.it>

    Recipients              : {hr@mydomain.ru, admin@mydomain.ru, info@mydomain.ru, marketing@mydomain.ru}

    RecipientStatus         : {}

    TotalBytes              : 23414

    RecipientCount          : 4

    RelatedRecipientAddress :

    Reference               :

    MessageSubject          : Покупка авто с мех поломками

    Sender                  : sunwxxd@goon.ru

    ReturnPath              : sunwxxd@goon.ru

    MessageInfo             : 00A:

     

    Timestamp               : 11.11.2008 21:14:18

    ClientIp                : 79.32.76.25

    ClientHostname          :

    ServerIp                : 192.168.79.151

    ServerHostname          : mail

    SourceContext           : 08CB11223842D2E2;2008-11-11T18:12:29.403Z;0

    ConnectorId             : MAIL\Default MAIL

    Source                  : SMTP

    EventId                 : RECEIVE

    InternalMessageId       : 1058

    MessageId               : <87cc01c94429$5402fe40$35d3a8c0@host2576dynamic.3279r

                              .retail.telecomitalia.it>

    Recipients              : {info@mydomain.ru, hr@mydomain.ru, marketing@mydomain.ru, admin@mydomain.ru}

    RecipientStatus         : {}

    TotalBytes              : 25768

    RecipientCount          : 4

    RelatedRecipientAddress :

    Reference               :

    MessageSubject          : Строить стало легче

    Sender                  : xofgwz@goon.ru

    ReturnPath              : xofgwz@goon.ru

    MessageInfo             : 00A:

     

    я стою в копии, правильно? как избавиться от этого спамера?

    домен существует, адрес поддельный.... блокировать весь домен - нельзя.

    можно ли все-таки сделать проверку на существование именно ящика в домене, с которого идет письмо?

     

     

     

    12 ноября 2008 г. 7:44
  •  

    тут все сказано

    Code Snippet

    Recipients              : {hr@mydomain.ru, admin@mydomain.ru, info@mydomain.ru, marketing@mydomain.ru}

     

    по поводу проверки sender , у вас может быть больше проблем чем пользы.

    А так на сколько я знаю средствами Exch нельзя.. надо стороний софт

    12 ноября 2008 г. 8:58
  • подскажите, пожалуйста, в ForeFront где настраивается антиспам?

     

    в общих настройках?

     

    что дает команда выполнить обратый поиск ДНС?

     

    больше про анти-спам я ничего не нашел.

    12 ноября 2008 г. 9:33
  • Вы упорно не хотите читать help к Forefront?

     

    Reverse DNS check здесь подразумевается в одном из видов запросов, а именно - HELO lookup: Из HELO части сессии достается имя сервера отправителя, и по этой зоне DNS делается прямой запрос. Полученный IP адрес сверяется с тем что в самой сессии (а спамеры, бывает, меняют имя домена отправителя в заголовке, подставляя известные брэнды типа "google.com", "microsoft.com", "yandex.ru" etc), и если они не совпадают - сообщение получает плохой рейтинг, и должно быть прибито.

     

    PS: При установке FF антиспам механизмы включены по умолчанию, дальше остается только дополнительно поднастроить их под свои нужны/особенности, настроек и в правду немного.

     

    23 ноября 2008 г. 21:40