none
Exchange 2010 выборочно "отбивает" вполне себе хорошие письма RRS feed

  • Вопрос

  • Коллеги, добрый день.

    с прошлой недели пользователи жалуются на неполучение почты из солидных организаций - банков, госкомпаний и т.п.

    трафик к нам идет через Чекпойнт, с отключенным антиспам модулем.

    далее он попадает на транспортный сервер, где анализируется Касперским и Ексченч сервером.

    Инженеры из лаборатории Касперского проверли анализ и уверены, что их продукт пропускает почту.

    Как понять, В exchange дело или нет и исправить ошибку?

    С чего начать траблшутинг?

    пример отбивки:

    =================================================================
    = Вас приветствует почтовая система MDaemon на mail.klimov.ru = =================================================================

    Следующее сообщение:

    Session-ID: 808916 (относящийся к данной попытке доставки)
    Queue-ID: pd35000308461.msg
    Message-ID: !&!AAAAAAAAAAAuAAAAAAAAANNwSxoaaw5MhiV0w+CK4JEBANJ0B9BBr4BLozY2kRY1lYsAAAAToVgAABAAAABuNZRSfr95RpKmHlmiYY3DAQAAAAA=@klimov.ru

    не может быть доставлено указанным получателям:

    goriachkina@reductor-pm.com (неисправимая ошибка)

    несмотря на одну или несколько безуспешных попыток выполнения этого действия.

    Дальнейшие попытки отправки предприниматься не будут, сообщение удалено из очереди.

    Заголовки оригинального сообщения могут отображаться в конце этого отчета. Информацию о сообщениях DSN см. здесь http://www.altn.com/dsn/.

    Цитируйте приведенные выше идентификаторы Queue-ID, Session-ID и Message-ID при любых разбирательствах, касающихся данного сообщения.

    ========================
    = Расшифровка сеанса =
    ========================

    Session 808916; child 0001
    Parsing message <xxxxxxxxxxxxxxxxxxxxxxxx\pd35000308461.msg>
    * From: ivlev@klimov.ru
    * To: goriachkina@reductor-pm.com
    * Subject: FW: Адрес Редуктор-пм
    * Size (bytes): 30200
    * Message-ID: <!&!AAAAAAAAAAAuAAAAAAAAANNwSxoaaw5MhiV0w+CK4JEBANJ0B9BBr4BLozY2kRY1lYsAAAAToVgAABAAAABuNZRSfr95RpKmHlmiYY3DAQAAAAA=@klimov.ru>
    Resolving MX record for reductor-pm.com (DNS Server: 172.20.2.21)...
    * P=000 S=001 D=reductor-pm.com TTL=(126) MX=[mail.reductor-pm.com]
    * P=005 S=000 D=reductor-pm.com TTL=(126) MX=[mail1.reductor-pm.com]
    Attempting SMTP connection to mail.reductor-pm.com
    Resolving A record for mail.reductor-pm.com (DNS Server: 172.20.2.21)...
    * D=mail.reductor-pm.com TTL=(1415) A=[178.161.142.29]
    Attempting SMTP connection to 178.161.142.29:25
    Waiting for socket connection...
    * Connection established 172.20.2.20:59607 --> 178.161.142.29:25
    Waiting for protocol to start...
    <-- 220 *****************************************************************************************
    --> EHLO mail.klimov.ru
    <-- 250-mail.reductor-pm.com Hello [84.52.111.242]
    <-- 250-SIZE 28917760
    <-- 250-PIPELINING
    <-- 250-DSN
    <-- 250-ENHANCEDSTATUSCODES
    <-- 250-XXXXXXXA
    <-- 250-XXXXXXXXXXXXXB
    <-- 250-AUTH
    <-- 250-XXXXXXXXXXC
    <-- 250-8BITMIME
    <-- 250-BINARYMIME
    <-- 250-XXXXXXXD
    <-- 250-XXXXXXE
    <-- 250 XXXXXXF
    --> MAIL From:<prvs=1963c9f160=ivlev@klimov.ru> SIZE=30200
    <-- 250 2.1.0 Sender OK
    --> RCPT To:<goriachkina@reductor-pm.com>
    <-- 250 2.1.5 Recipient OK
    --> DATA
    <-- 354 Start mail input; end with <CRLF>.<CRLF>
    Sending <xxxxxxxxxxxxxxxxxxxxxxxx\pd35000308461.msg> to [178.161.142.29]
    Transfer Complete
    <-- 554 Spam. Email Session ID: 953902882
    --> QUIT

    ===========================
    = Конец расшифровки =
    ===========================

    4 марта 2019 г. 11:31

Ответы

  • Если вы специально не активировали транспортных агентов, то эксч особо участвовать не будет в процессе анализа писем на предмет спама. 

    Судя по отбивке (если она пришла тому, кто пытался отправить к вам письмо), это скорее всего вернул ваш чекпоинт. Гляньте действительно ли он отключен. Попробуйте добавить отправителя в белый список для теста.

    4 марта 2019 г. 12:03
  • У вас нестандартный текст в отбивке: обычно Exchange указывает там Enhanced Status Code (три числа, разделенных точками, первое из них для отбивки будет 5)

    Поэтому, во-первых посмотрите лог  (в подпапке TransportRoles\Logs\ProtocolLog\SmtpReceive папки Exchange по умолчанию) на своем транспортном сервере - дошло ли это подключение до вашего сервера (если лога нет - его надо включить - выбрать Verbose в качестве Logging level в свойствах Receive Connector - и попросить прислать ещё отбивку).

    Если там сессии, которую ззарегистрировал отправитель, нет или она внезапно разорвалась без отправки ответа 554 - разбирайтесь с Checkpoint (возможно там внезапно включился отключенный модуль антиспама). Если за него отвечает другой человек, то отсутствие или внезапный разрыв сессии на сервере будет хорошим аргументом для него, чтобы искать ошибку у себя.

    Если видите сессию целиком, как её видит отправитель, то надо бы найти, какой фильтр вызвал отбивку. У стандартных фильтров спама Exchange нестандартные отбивки могут быть настроены в Content Filter или Attachment Filter - см. свойство RejectResponse в выдаче соотвественно Get-ContentFilterCOnfig или Get-AttachmentListFilterConfig

    Если ответ идет не оттуда, то придётся разбираться со сторонним транспортным модулем, который выхвал отбивку (если продукт от Касперского реализован как транспортный модуль, то это может быть он).

    PS Звездочки вместо баннера (в самом начале сессии) как раз свидетельствуют о том, что межсетевой экран, как мимнимум, просматривает эту сессию на уровне протокола SMTP.


    Слава России!





    4 марта 2019 г. 12:16

Все ответы

  • Если вы специально не активировали транспортных агентов, то эксч особо участвовать не будет в процессе анализа писем на предмет спама. 

    Судя по отбивке (если она пришла тому, кто пытался отправить к вам письмо), это скорее всего вернул ваш чекпоинт. Гляньте действительно ли он отключен. Попробуйте добавить отправителя в белый список для теста.

    4 марта 2019 г. 12:03
  • У вас нестандартный текст в отбивке: обычно Exchange указывает там Enhanced Status Code (три числа, разделенных точками, первое из них для отбивки будет 5)

    Поэтому, во-первых посмотрите лог  (в подпапке TransportRoles\Logs\ProtocolLog\SmtpReceive папки Exchange по умолчанию) на своем транспортном сервере - дошло ли это подключение до вашего сервера (если лога нет - его надо включить - выбрать Verbose в качестве Logging level в свойствах Receive Connector - и попросить прислать ещё отбивку).

    Если там сессии, которую ззарегистрировал отправитель, нет или она внезапно разорвалась без отправки ответа 554 - разбирайтесь с Checkpoint (возможно там внезапно включился отключенный модуль антиспама). Если за него отвечает другой человек, то отсутствие или внезапный разрыв сессии на сервере будет хорошим аргументом для него, чтобы искать ошибку у себя.

    Если видите сессию целиком, как её видит отправитель, то надо бы найти, какой фильтр вызвал отбивку. У стандартных фильтров спама Exchange нестандартные отбивки могут быть настроены в Content Filter или Attachment Filter - см. свойство RejectResponse в выдаче соотвественно Get-ContentFilterCOnfig или Get-AttachmentListFilterConfig

    Если ответ идет не оттуда, то придётся разбираться со сторонним транспортным модулем, который выхвал отбивку (если продукт от Касперского реализован как транспортный модуль, то это может быть он).

    PS Звездочки вместо баннера (в самом начале сессии) как раз свидетельствуют о том, что межсетевой экран, как мимнимум, просматривает эту сессию на уровне протокола SMTP.


    Слава России!





    4 марта 2019 г. 12:16