none
Спам со своего же домена RRS feed

  • Вопрос

  • Коллеги добрый день.

    Нужна помощь в борьбе со спамом со своего же домена.

    Есть Exchange 2013. Egde нет.

    На сервере так же установлен Kaspersky for Exchange но через него это ограничить не получилось.

    А ситуация в том, что пользователю приходит сообщение от него самого же или от любого другого внутреннего пользователя.

    Исходник сообщения (адреса изменены):

    Received: from servername.domain.com (192.168.27.5) by servername.domain.com
     (192.168.27.5) with Microsoft SMTP Server (TLS) id 15.0.1210.3 via Mailbox
     Transport; Mon, 6 Apr 2020 21:15:27 +0300
    Received: from servername.domain.com (192.168.27.5) by servername.domain.com
     (192.168.27.5) with Microsoft SMTP Server (TLS) id 15.0.1210.3; Mon, 6 Apr
     2020 21:15:26 +0300
    Received: from ns5.i-net-server.net (213.239.223.80) by servername.domain.com
     (192.168.10.200) with Microsoft SMTP Server (TLS) id 15.0.1210.3 via Frontend
     Transport; Mon, 6 Apr 2020 21:15:26 +0300
    X-No-Auth: unauthenticated sender
    Received: from WIN-PP2PCS1A7LM (localhost.localdomain [127.0.0.1])
    	by ns5.i-net-server.net (Postfix) with ESMTPS id 8077146C22
    	for <domainuser@domain.com>; Mon,  6 Apr 2020 20:15:09 +0200 (CEST)
    Authentication-Results: ns5.i-net-server.net;
            spf=pass (sender IP is 127.0.0.1) smtp.mailfrom=domain_domainuser@domain.com smtp.helo=WIN-PP2PCS1A7LM
    Received-SPF: Fail (servername.domain.com: domain of domain_domainuser@domain.com
     does not designate 213.239.223.80 as permitted sender)
     receiver=servername.domain.com; client-ip=213.239.223.80;
     helo=ns5.i-net-server.net;
    Received-SPF: pass (ns5.i-net-server.net: localhost is always allowed.) client-ip=127.0.0.1; envelope-from=domain_domainuser@domain.com; helo=WIN-PP2PCS1A7LM;
    X-No-Auth: unauthenticated sender
    From: "domain(LHmB)" <domain_domainuser@domain.com>
    Subject: 8 Unseen Letters for   domainuser(LHmB}
    To: <domainuser@domain.com>
    Content-Type: multipart/alternative;
    	boundary="Ja5Z3m=_IvlV2o7pjOSkdNwKG5LAw9oRNe"
    MIME-Version: 1.0
    Date: Tue, 7 Apr 2020 04:15:11 +1000
    Message-ID: <070920200415043CB9D4AF01$61370962E0@domain.com>
    Return-Path: domain_domainuser@domain.com
    X-MS-Exchange-Organization-PRD: domain.com
    X-MS-Exchange-Organization-SenderIdResult: Fail
    X-MS-Exchange-Organization-Network-Message-Id: e97f53b2-2769-42db-8703-08d7da567b24
    X-KSE-ServerInfo: servername.domain.com, 9
    X-KSE-AntiSpam-Interceptor-Info: scan successful
    X-KSE-AntiSpam-Version: 5.8.18, Database issued on: 04/06/2020 17:53:56
    X-KSE-AntiSpam-Status: KAS_STATUS_NOT_DETECTED
    X-KSE-AntiSpam-Method: none
    X-KSE-AntiSpam-Rate: 45
    X-KSE-AntiSpam-Info: Lua profiles 152638 [Apr 06 2020]
    X-KSE-AntiSpam-Info: LuaCore: 349 349 d65c60e8fdc2500001bb02a6099b0134c74276a5
    X-KSE-AntiSpam-Info: Version: 5.8.18.0
    X-KSE-AntiSpam-Info: Envelope from: domain_domainuser@domain.com
    X-KSE-AntiSpam-Info: {rep_avail}
    X-KSE-AntiSpam-Info: {Track_fdetd}
    X-KSE-AntiSpam-Info: {Tracking_content_type, alternative}
    X-KSE-AntiSpam-Info: {Tracking_phishing_bb, bb1}
    X-KSE-AntiSpam-Info: domain.com:7.1.1;AIGX3M9mKm1TKD07dwDz4snOrkbZB6WManh03lwzUsxuokWjwqqaKl.fccfc.org:7.1.1;127.0.0.199:7.1.2;d41d8cd98f00b204e9800998ecf8427e.com:7.1.1;ns5.i-net-server.net:7.1.1;213.239.223.80:7.1.2
    X-KSE-AntiSpam-Info: Auth:dmarc=none header.from=domain.com;spf=fail
     smtp.mailfrom=domain.com;dkim=none
    X-KSE-AntiSpam-Info: {fromrtbl complete}
    X-KSE-AntiSpam-Info: {spf:fail;mailfrom:domain.com}
    X-KSE-AntiSpam-Info: {bec_spf}
    X-KSE-AntiSpam-Info: BEC_PROBABLE
    X-KSE-AntiSpam-Info: ApMailHostAddress: 213.239.223.80
    X-KSE-AntiSpam-Info: Rate: 45
    X-KSE-AntiSpam-Info: Status: not_detected
    X-KSE-AntiSpam-Info: Method: none
    X-KSE-Antiphishing-Info: Clean
    X-KSE-Antiphishing-Method: None
    X-KSE-Antiphishing-Bases: 04/06/2020 17:55:00
    X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
    X-KSE-AttachmentFiltering-Interceptor-Info: white sender email list
    X-KSE-Antivirus-Interceptor-Info: scan successful
    X-KSE-Antivirus-Info: Clean, bases: 06.04.2020 15:22:00
    X-MS-Exchange-Organization-AVStamp-Mailbox: KasprLab;63663;0;0
    X-MS-Exchange-Organization-AuthSource: servername.domain.com
    X-MS-Exchange-Organization-AuthAs: Anonymous
    

    Как это можно запретить? Но оставить возможность анонимной отправки принтерами и т.п.

    7 апреля 2020 г. 13:29

Ответы

Все ответы

  • 1. Для анонимной отправки принтеров нужно делать отдельный коннектор и ограничивать его только конкретными IP.

    2. Пробовали правило создать -> если письмо снаружи и адрес отправителя = ваш smtp-домен, то дропать такие письма?

    7 апреля 2020 г. 14:11
  • 1. Так сейчас и сделано.

    2. Можно подробнее по этому правилу?

    Отправитель находиться - "вне организации"
    
    и
    
    Домен отправителя - "domain.com"

    Так?

    8 апреля 2020 г. 6:12
  • Да, всё верно, можете снаружи via telnet/openssl написать письмо самому себе от себя же или подождать следующей спам-рассылки.

    Письма можно для начала не дропать, а пересылать в отдельный пя для анализа.

    8 апреля 2020 г. 6:16
  • Правило добавил. Пока себя в СК.

    По итогу отфильтровало сообщения отправляемые от внутренних сервисов - redmine, 1c.

    Коннектор получения создан:

    • настройки удаленной сети - ip адреса серверов и клиентов 1С.
    • привязки сетевого адаптера - локальный ip почтового сервера и 25 порт.
    • безопасность:
    8 апреля 2020 г. 6:39