none
спам внутри организации RRS feed

Ответы

  • ...

    Не, не, не. Предоставил как было, могу подкрепить скрином!

    Вот это мне категорически непонятно и странно. Каким божьим духом сообщение попало с postfix'а на Exchange? Кроме как по SMTP? Пример моих заголовков навскидку -

    Received: from VMX2.matfmc.ru (192.168.200.214) by MX12.matfmc.ru
     (172.20.0.168) with Microsoft SMTP Server (TLS) id 14.3.319.2; Fri, 17 Feb
     2017 09:23:57 +0000
    Received: from smtp1014.usndr.com (185.18.53.49) by vmx2.matfmc.ru
     (213.171.36.250) with Microsoft SMTP Server id 14.3.319.2; Fri, 17 Feb 2017
     09:23:55 +0000

    - для любого сообщения снаружи, в качестве последнего by ... всегда присутствует один из внутренних серверов Exchange (VMX2 в моём примере - функциональный аналог Вашего postfix'а, там только SMTP с антиспамом, MX12 один из внутренних серверов).

    Значица, смотрю на часть SpamAssassina, да?

    Безусловно да. При его наличии в качестве промежуточного узла в заголовках, работать должен именно он. И это специализированное решение, раз уж оно по факту есть, имеет смысл разобраться именно с ним.

    И лишний раз :), для борьбы с "легальными спамерами", в первую очередь, обратить внимание именно на фильтрацию подключений по IP. Это "первый рубеж" защиты, и весьма эффективный при должном использовании.


    S.A.


    • Изменено Safronov A. _ 19 февраля 2017 г. 15:22
    19 февраля 2017 г. 15:03

Все ответы

  • Зачем вам два соединителя отправки?

    Соединитель получения SMTP Relay создавали для каких целей? На нем PermissionGroups AnonymousUsers.

    Зачем на соединителе Outbound Proxy Frontend разрешили анонимусов?


    • Изменено Egor Vasilev 16 февраля 2017 г. 8:08
    16 февраля 2017 г. 8:01
  • а точная версия эксча какая? какой CU последний стоит?
    17 февраля 2017 г. 6:35
  • а точная версия эксча какая? какой CU последний стоит?
    Версия 15.0.1076.9, CU 8
    17 февраля 2017 г. 7:14
  • Приветствую, в логах на SpamAssassin видно откуда (ip) приходят письма?
    17 февраля 2017 г. 7:27
  • Приветствую, в логах на SpamAssassin видно откуда (ip) приходят письма?
    Я могу скинуть лог за вчера, но дело в том, что писем, которые упали в ящик, в логах не видать.
    17 февраля 2017 г. 7:42
  • Я верно понимаю, в логах Exchange видно что письма пришли с ip SpamAssassin, а в логах SpamAssassin этих писем нет?
    17 февраля 2017 г. 7:45
  • ок, в smtp логах на Exchange смотрели откуда приходят (возможно под кем то авторизуются) эти спам письма?
    17 февраля 2017 г. 8:04
  • Попробуйте открыть лог в notepad++ , выделите строки относящиеся к этой сессии например нажав 2 раза на 12716.

    Интересует имя конектора через который Exchange получил письмо, использовалась авторизация или нет.

    Может быть сможете выложить скрин или текст лога сюда (если необходимо уберите личные данные)?

    UPD Может есть какие то еще ошибки/сообщения в этой сессии.

    • Изменено AlexunderG 17 февраля 2017 г. 8:58
    17 февраля 2017 г. 8:58
  • Возьмите какой то 1 email (например emmawmm@minderse.eu) и попробуйте отследить его перемещения, предполагаю что он есть только в SmtpReceive потому что получен из интернета, но если найдете в SmtpSend то это еще интереснее.

    17 февраля 2017 г. 9:20

  • Судя по выводу в 1м посте:

    Identity                                : DIFCO-MX01\Default Frontend DIFCO-MX01

    Bindings                                : {[::]:25, 0.0.0.0:25}

    PermissionGroups                        : AnonymousUsers, ExchangeServers, ExchangeLegacyServers

    RemoteIPRanges                          : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}

    Получается что DIFCO-MX01\Default Frontend DIFCO-MX01 принимает письма не только от антиспама но и в обход него от любых ip адресов, причем Анонимно.

    Вам нужно на этом конекторе, вместо 0.0.0.0-255.255.255.255 задать только ip SpamAssassin чтобы вся почта шла в начале на Антиспам, а уже потом с него на Exchange.

    PSНадеюсь в DNS у вас записаны верные ip которые ведут на SpamAssassin.

    17 февраля 2017 г. 9:34
  • Я имел ввиду глобальные DNS и MX запись в частности.

    Кстати в SMTP логе пишут что письмо пришло с ip 10.2.2.87 это я так понимаю SpamAssassin, те все же нужно копать логи уже на нем.

    17 февраля 2017 г. 11:05
  • На него пришло с интернета mail.minderse.eu 85.25.226.216 (этот домен Blacklisted by MAILSPIKE BL), те всю цепочку проследили.

    Соответственно осталось "научить" SpamAssassin отбивать подобный SPAM либо задействовать (или если уже задействованы, то закрутить гайки) антиспам агенты на Exchange.


    • Изменено AlexunderG 17 февраля 2017 г. 11:25
    17 февраля 2017 г. 11:24
  • Домен agotour.ru входит в тучу черных списков

    те он явно должен был быть заблокирован.

    Получается что SpamAssassin бездействует, я его не использую поэтому не смогу сказать в чем причина, но он явно нуждается в тюнинге.

    На счет встроенных агентов антиспама (в Exchange) то там (например) можно добавить RBL провайдеров

    + возможно у Вас там не все агенты включены.

    Покажите Get-TransportAgent

    17 февраля 2017 г. 18:49
  • На счет внутреннего ip в логах, там так же написано что коннектор называется Отправляющий соединитель SMTP Intra-Organization (он отправляет почту на сервера MBX), в smtp логе видно что письмо пришло с 10.2.2.85 на 10.2.2.85 порт 2525, этот порт используется службой транспорта Exchange в случае когда все роли на одном сервере, вот тут можно почитать подробнее. (те такое поведение by design)

    Покажите:

    Get-ContentFilterConfig

    Get-SenderReputationConfig

    Get-SenderIdConfig


    18 февраля 2017 г. 16:31
  • Как интересно читать такие обсуждения :).

    Коллеги, первое, что имеет смысл сделать в такой ситуации, это посмотреть заголовки в самом сообщении (а как-то я не встретил ни одного слова о том, что оно было сделано). В офисах с 2007 (если правильно помню) по 16-й, это открыть конкретное сообщение в отдельном окне, выбрать Файл -> Свойства, и внимательно смотреть содержимое поля "Заголовки Интернета". Там присутствуют IP-адреса всех SMTP-узлов, который приняли участие в его (сообщения) доставке.

    Искать следы сообщения в разнообразных логах MessageTracking, ассасина, SMTP разнообразных узлов, занятие, безусловно, увлекательное, но немножко времязатратное. Не лучше ли анализировать состояние и конфигурацию непосредственно там, через что сообщение очевидно пересылалось?


    S.A.

    19 февраля 2017 г. 9:44

  • Можно попробовать "закрутить" на Exchange:
    Set-ContentFilterConfig -SCLRejectThreshold 6

    Либо тоже самое для карантина, тогда еще ящик для него задайте.
    Опционально можно еще сделать так:
    Set-SenderIdConfig -TempErrorAction reject -SpoofedDomainAction reject

    Но тогда иногда посматривайте в лог, чтобы убедиться что лишнего не блокируете:
    Get-AgentLog -StartDate "02/19/2017 00:00:00 pm"

    Хотя конечно я бы на вашем месте озадачился дейсвенной (внешней) антиспам системой.

    19 февраля 2017 г. 14:56
  • ...

    Не, не, не. Предоставил как было, могу подкрепить скрином!

    Вот это мне категорически непонятно и странно. Каким божьим духом сообщение попало с postfix'а на Exchange? Кроме как по SMTP? Пример моих заголовков навскидку -

    Received: from VMX2.matfmc.ru (192.168.200.214) by MX12.matfmc.ru
     (172.20.0.168) with Microsoft SMTP Server (TLS) id 14.3.319.2; Fri, 17 Feb
     2017 09:23:57 +0000
    Received: from smtp1014.usndr.com (185.18.53.49) by vmx2.matfmc.ru
     (213.171.36.250) with Microsoft SMTP Server id 14.3.319.2; Fri, 17 Feb 2017
     09:23:55 +0000

    - для любого сообщения снаружи, в качестве последнего by ... всегда присутствует один из внутренних серверов Exchange (VMX2 в моём примере - функциональный аналог Вашего postfix'а, там только SMTP с антиспамом, MX12 один из внутренних серверов).

    Значица, смотрю на часть SpamAssassina, да?

    Безусловно да. При его наличии в качестве промежуточного узла в заголовках, работать должен именно он. И это специализированное решение, раз уж оно по факту есть, имеет смысл разобраться именно с ним.

    И лишний раз :), для борьбы с "легальными спамерами", в первую очередь, обратить внимание именно на фильтрацию подключений по IP. Это "первый рубеж" защиты, и весьма эффективный при должном использовании.


    S.A.


    • Изменено Safronov A. _ 19 февраля 2017 г. 15:22
    19 февраля 2017 г. 15:03
  • Понял, займусь внешней)
    19 февраля 2017 г. 17:29
  • Осталось только научиться его допиливать, я понял)
    19 февраля 2017 г. 17:29