none
Некорректно работает спам-фильтр. Режет отправителей из белых списков. RRS feed

  • Вопрос

  • Всем добрый день!

    Имеется сервер в домене, на котором крутится Exchange Server 2007 версии 08.00.0685.018. Для отсечения спама на сервере включены фильтры по отправителю (отсекаются домены, с которых заведомо не будет писем, к примеру *.jp), фильтрация содержимого, белый список IP-адресов, чёрный список IP-адресов.

    Собственно, проблема с фильтром содержимого (проверяет, типа, по крутым алгоритмам текст письма и определяет, спам это, или нет). Он, видимо, считает себя самым главным, и проверяет письма с адресов, с которых указано явным образом пропускать письма (наши контрагенты). И мало того, что проверяет, так и считает их спамом с соответствующими действиями -- блокирует их!

    Пытался сказать, что так делать не надо разными способами. Начал с такого:

          Set-contentFilterConfig -bypassedSenderDomains kontragent1.ru

          Set-contentFilterConfig -bypassedSenderDomains kontragent2.ru   и т.д.

    Но на это указание фильтр не реагирует. Всё равно фильтрует письма. В логах имеем

    2010-09-13T10:10:43.402Z,08CD20C0A812A0F7,<ip-address>:25,195.193.142.2:48347,195.193.142.2,<85000D1060593B49989F665834CF1C4601DC4953@CARCS202.CA.RC.CORP>,<NAME@kontragent1.ru>;,<name_user>@<наш домен.ru>,1,Content Filter Agent,OnEndOfData,QuarantineMessage,550 5.2.1 Content Filter agent quarantined this message,SclAtOrAboveQuarantineThreshold,9

    Пробовал задавать в лоб не фильтровать по конкретному адресу отправителя  Set-ContentFilterConfig -BypassedSenders name@kontragent.ru -- та же ботва. Консоль кушает команду, ни на что не ругается, но само указание доблестно игнорирует.

    Пробовал другими командами (не очень понял, в чём принципиальная разница у них, но отчего бы не поробовать)

    Set-SenderIDConfig -BypassedSenderDomains domain1.com, domain2.com

    Set-SenderIDConfig -BypassedRecipients user1@domain1.com, user2@domain2.com

    Результат всё такой же. Консоль воспринимает команду, но результатов как не было, так и нет. Такая вот загогулина...

    Пытался прописать домены наших контрагентов в белый список IP-адресов. Вот они, стоят в нём. Но почта с них всё равно проверяется фильтром содержимого, хоть тресни. :(

    Сейчас приходится разбираться со всеми письмами вручную. Создал почтовый ящик, куда валится все письма, которые признаны спамом, и выискиваю среди них кошерные. Сильно утомительное занятие...

    Плиз, подскажите, куда копать!

     

    • Перемещено Hengzhe Li 12 марта 2012 г. 6:26 forum merge (От:Exchange Server 2007)
    13 сентября 2010 г. 11:44

Все ответы

  • "Set-contentFilterConfig -bypassedSenderDomains kontragent2.ru   и т.д"

    - должно приводить к установке scl в значение -1, посмотрите - это так? в заголовках поглядите

    13 сентября 2010 г. 14:18
  • Спасибо за ответ! :)

     А в каких заголовках это смотреть? Ничего похожего не нашёл...

    14 сентября 2010 г. 6:44
  • в заголовках письма - напр в МС оутлуке прав кнопкой - парамтеры письма - как пример, если IP сервера отправителя в белом списке -

    X-MS-Exchange-Organization-Antispam-Report: IPOnAllowList
    X-MS-Exchange-Organization-SCL: -1

    14 сентября 2010 г. 7:58
  • Хм...

    Строка X-MS-Exchange-Organization-SCL: -1 в заголовке письма присутствует.

    А вот про антиспам ничего не говорится. Т.е. строки X-MS-Exchange-Organization-Antispam-Report: IPOnAllowList   --  НЕТ.

    14 сентября 2010 г. 8:21
  • Хм...

    Строка X-MS-Exchange-Organization-SCL: -1 в заголовке письма присутствует.


    Get-IPAllowListConfig |fl enabled - что говорит?

    по топологии, как у вас устроено - сервер один единственный, принимает почту из интернета сам? или на него кто-то релеит её?

    14 сентября 2010 г. 12:18
  • Говорит вот что:
    Name                                        : ContentFilterConfig
    RejectionResponse                     : Message rejected due to content restrictions
    OutlookEmailPostmarkValidationEnabled : True
    BypassedRecipients                    : {}
    QuarantineMailbox                     : spam@mydomen.local
    SCLRejectThreshold                    : 9
    SCLRejectEnabled                      : False
    SCLDeleteThreshold                    : 9
    SCLDeleteEnabled                      : False
    SCLQuarantineThreshold             : 9
    SCLQuarantineEnabled                : True
    BypassedSenders                       : {name-kontragent@yandex.ru}     -- Последний, которого я заводил
    BypassedSenderDomains            : {kontragent.com}                        -- последний доменный адрес, которого я заводил
    Enabled                                    : True
    ExternalMailEnabled                   : True
    InternalMailEnabled                   : False
    AdminDisplayName                      :
    ExchangeVersion                       : 0.1 (8.0.535.0)
    DistinguishedName                     : CN=ContentFilterConfig,CN=Message Hygie
                                            ne,CN=Transport Settings,CN=mydomen,CN=M
                                            icrosoft Exchange,CN=Services,CN=Config
                                            uration,DC=mydomen,DC=local
    Identity                              : ContentFilterConfig
    Guid                                  : 2d2136f2-217d-4140-92ac-d62910c7cc5b
    ObjectCategory                   : Mydomen.local/Configuration/Schema/ms-Exch-Message-Hygiene-Content-Filter-Config
    ObjectClass                        : {top, msExchAgent, msExchMessageHygieneContentFilterConfig}
    WhenChanged                    : 14.09.2010 15:49:36
    WhenCreated                      : 12.10.2007 19:36:48
    OriginatingServer                : Controller.Mydomen.local
    IsValid                               : True

    По топологии всё просто, сервер один-единственный, почту получает от ISA-server`а (пробрасываются все почтовые протоколы на Exchange).

     

    Не знаю, как посмотреть, что есть в списке непроверяемых на спам контрагентов и их доменов. Вижу только последние из заведённых, да и то они всё равно проверяются фильтром контента. И, разумеется, доблестно блокируются! :)

    14 сентября 2010 г. 13:07
  • 1. Покажите всё-таки Get-IPAllowListConfig

    2. Добавлять адреса в список надо с помощью нехитрых манипуляций - иначе в списке остаётся только последнее добавленное

    $list = (Get-ContentFilterConfig).BypassedSenderDomains
    $list.add("domain.ru")
    set-contentfilterconfig -bypassedsenderdomains:$list

    затем смотрим Get-ContentFilterConfig - и видим уже два домена в BypassedSenderDomains и т.п.

    http://www.petri.co.il/using-exchange-2007-management-shell-configure-content-filtering-part2.htm

    14 сентября 2010 г. 14:01
  • Ё! Таких хитростей неочевидных не знал. Gran merci за подсказку. Завтра продолжу эксперименты и выложу результаты.
    14 сентября 2010 г. 14:31
  • Не удержался, продолжил борьбу сегодня. :)

    Результат получился неожиданным. По крайней мере, для меня.

    Итак, добавил в список почтовые домены наших контрагентов. Всего их 28 штук. Интересная подробность. Некоторые домены там уже были (около 4-х штук). Т.е при добавлении в список этих доменов система выдавала сообщение "Exception calling "Add" with "1" arguments(s): "Значение "domen.ru" уже присутствует в коллекции". Получается, они попали в список путём, так сказать, "обычной" команды  Set-contentFilterConfig -bypassedSenderDomains domen.ru. Тогда почему остальные не попали??

    Ну ладно, список есть. Командуем применить этот список. И... обламываемся. Получаем ошибку:

    Set-contentFilterConfig: Операция Active Directory над controller.mydomen.local не выполнена. Данная ошибка не допускает повторения попытки. Дополнительные сведения: Пределы администрирования для этого запроса были превышены.

    Отклик Active Directory: 00002024: SvcErr: DSID-02080490, problem 5008 (ADMIN_LIMIT-EXCEEDED), data -1112

    At line:1 char 24 + set-ContentFilterConfig <<<< -bypassedSenderdomains:$list

     

    Как я понимаю, я во что-то упёрся. Какое-то ограничение?? Nicht versteen! :(

     

    14 сентября 2010 г. 16:41
  • Да, config в результате поменялся, что логично.

    По команде Get-IPAllowListConfig видим следующее:

    Name                : IPAllowListConfig
    Enabled             : True
    ExternalMailEnabled : True
    InternalMailEnabled : False
    AdminDisplayName    :
    ExchangeVersion     : 0.1 (8.0.535.0)
    DistinguishedName   : CN=IPAllowListConfig,CN=Message Hygiene,CN=Transport Sett
                          ings,CN=August,CN=Microsoft Exchange,CN=Services,CN=Confi
                          guration,DC=mydomen,DC=local
    Identity            : IPAllowListConfig
    Guid                : 9407e804-1d14-4013-bf22-dff6fed7d87f
    ObjectCategory      : mydomain.local/Configuration/Schema/ms-Exch-Message-Hygiene
                          -IP-Allow-List-Config
    ObjectClass         : {top, msExchAgent, msExchMessageHygieneIPAllowListConfig}
    WhenChanged         : 16.10.2008 16:44:17
    WhenCreated         : 12.10.2007 19:36:48
    OriginatingServer   : confroller.mydomain.local
    IsValid             : True

    14 сентября 2010 г. 16:48
  • лимит записей, если не ошибаюсь, 100 до SP1 и 800 после SP1 - кстати говоря, у вас версия 08.00.0685.018 - это совсем без сервис-паков, а уже 3-й давно вышел - может вам обновиться?

    15 сентября 2010 г. 8:57
  • Да вот, сам думаю... :-)  Хотя, с другой стороны, даже до сотни записей мне далеко.

    Но отработаем и этот вариант. Заодно и посмотрим, в этом дело или нет.

    15 сентября 2010 г. 11:01
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Daniil Khabarov, MSFT  Follow MSTechnetForum on Twitter
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Посетите Блог Инженеров
    28 октября 2010 г. 10:45
    Модератор