none
Exchange 2016 интересный спам RRS feed

  • Вопрос

  • Коллеги, добрый день.

    Спамеры все более изощрены, и бороться с ними самому нету сил (нет хватает фантазии, знаний, etc.).

    Валиться мне на сервер спам, с получателем не содержащим мой почтовый домен, при этом зная что это не на что не влияет, смотрим заголовки и удивляемся

    Received: from Exchange.123.local (192.168.139.11) by Exchange.123.local
     (192.168.139.11) with Microsoft SMTP Server (version=TLS1_2,
     cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.1.669.32 via Mailbox
     Transport; Tue, 16 May 2017 11:48:08 +0300
    Received: from Exchange.123.local (192.168.139.11) by Exchange.123.local
     (192.168.139.11) with Microsoft SMTP Server (version=TLS1_2,
     cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.1.669.32; Tue, 16
     May 2017 11:48:05 +0300
    Received: from mail.zsrck.cn (120.25.89.226) by autodiscover.123.ru
     (192.168.139.11) with Microsoft SMTP Server id 15.1.669.32 via Frontend
     Transport; Tue, 16 May 2017 11:48:05 +0300
    Received: from 12.193.123.52 (unknown [12.193.123.52])
    	by mail.zsrck.cn (Postfix) with SMTP id 56FF0E5800;
    	Mon, 15 May 2017 18:48:42 +0800 (CST)
    Message-ID: <0207B1E2E93D1231EDE8A11FBBBBA40A@la-prevision-meteo.com>
    From: =?windows-1251?B?wuvg5Ojs6PAgwuDx6Ov85eLo9w==?=
    	<mfmak@la-prevision-meteo.com>
    To: =?windows-1251?B?wOvl6vHg7eTw?= <fusion@abritus72.ru>
    Subject: =?windows-1251?B?IM/u8P/k7uog7vDj4O3o5+D26Ogg7uH55ePu?=
    	=?windows-1251?B?IOLu6O3x6u7j7iDz9+Xy4C4gy+j37fvlIOrg?=
    	=?windows-1251?B?8PLu9+ro?=
    Date: Mon, 15 May 2017 13:48:08 +0300
    MIME-Version: 1.0
    Content-Type: multipart/mixed; boundary="5db4d0f642510dbe8a554625c2e8"
    Return-Path: mfmak@la-prevision-meteo.com
    X-MS-Exchange-Organization-Network-Message-Id: 4ce8ba79-6fa5-4c4f-b9b6-08d49c38450d
    X-MS-Exchange-Organization-AVStamp-Mailbox: SYMANTEC;0;0;info
    X-Auto-Response-Suppress: DR, OOF, AutoReply
    X-MS-Exchange-Organization-AuthSource: Exchange.123.local
    X-MS-Exchange-Organization-AuthAs: Anonymous
    X-MS-Exchange-Transport-EndToEndLatency: 00:00:03.0157348
    
    

    Т.е. либо bcc которую скрыли в заголовках, либо еще какие-то пути...как с такими письмами бороться...при этом SMSME последний их пропускает....

    Спасибо за помощь!

Ответы

  • Если включаете родных агентов, посмотрите заранее на эту статью и расставьте приоритеты: https://support.symantec.com/en_US/article.TECH95584.html

    Ну и стоит понимать, чем больше систем вы запустите, тем больше возможных ложно-положительных результатов вы получите и тем напряжней вам будет разбирать проблемные ситуации; может проще спросить симантек, как заблокировать такие письма.


    MCSAnykey

Все ответы

  • Добрый день.

    С etc на Unix серверах делать ничего не нужно, он это и не умеет делать. etc работает до 4 уровня OSI

    Рекомендации, изучите две статьи:

    Статья 1 -AntiSpamAgents, причем Вы сможете решить свою проблему первой статьей., заведите ящик spam, сделайте на него перенаправление

    Статья 2 - SenderID

    Если у Вас все сложно и Вас просто нереальные запросы которые забивают  и кладут  интернет канал, тогда здесь поможет как раз etc/pf.conf - инвентаризируйте весь трафик и делайте его приватизацию, т.е для определенных сервисов определенная  гарантированная пропускная способность.




  • Возможно глядя на заголовки, могло показаться что у меня стоит linux, но это не так.

    у меня стоит по сути голый Exchange 2016 и на нем стоит symantec mail security for microsoft exchange

    но про встроеный антиспам на чанге, я знаю, имеет-ли смысл настраивать и его...когда один уже есть?

  • Просто у спамеров в контакте fusion@abritus72.ru в атрибуте TargetAddress прописан на самом деле ваш мейл sambI4@contoso.com, поэтому такие заголовки и такая ситуация: вроде шлют туда, а приходит это дело вам.

    Почему симантек это дело пропускает, спросить наверное нужно симантек.


    MCSAnykey

  • Да я настоятельно рекомендую установить AntiSpam agent добавить провайдеров. Все таки две защиты это лучше чем просто один Symantec, тем более уже есть наглядные проблемы 

     AntiSpam agent это мощный инструмент для гигиены Вашего MS Exchange не пренебрегайте им.

    Про etc/pf.conf я имел ввиду Ваш GateWay




  • gateway еще только в планах, т.к. миграция пользователей компании происходит частями.

    про AntiSpam понял, пойду подниму.

    Спасибо коллеги.

  • Если включаете родных агентов, посмотрите заранее на эту статью и расставьте приоритеты: https://support.symantec.com/en_US/article.TECH95584.html

    Ну и стоит понимать, чем больше систем вы запустите, тем больше возможных ложно-положительных результатов вы получите и тем напряжней вам будет разбирать проблемные ситуации; может проще спросить симантек, как заблокировать такие письма.


    MCSAnykey