| User | Post |
|
13:12
Август 25, 2010
|
Alexxx
| | |
| Guest
| | |
|
|
Post edited 09:36 – Август 25, 2010 by Alexxx
Post edited 09:45 – Август 25, 2010 by Alexxx
Приветствую коллеги необходим совет по борьбе со спамом
Сервер Exchange 2003 с коннектором на postfix
в smtp логах часто встречаю исходящие письма с несуществующего адреса на адрес другого домена
2010-08-25 04:09:35 IP_Relay OutboundConnectionResponse SMTPSVC1 EXSRV – 25 – – 220+Relay+ESMTP+Postfix 0 0 28 0 15 SMTP – – – -
2010-08-25 04:09:35 IP_Relay OutboundConnectionCommand SMTPSVC1 EXSRV – 25 EHLO – EXSRV 0 0 4 0 15 SMTP – – – -
2010-08-25 04:09:35 IP_Relay OutboundConnectionResponse SMTPSVC1 EXSRV – 25 – – 250-Relay 0 0 14 0 15 SMTP – – – -
2010-08-25 04:09:35 IP_Relay OutboundConnectionCommand SMTPSVC1 EXSRV – 25 MAIL – FROM:nataliad@flor-latina.com +SIZE=3358615 0 0 4 0 15 SMTP – – – -
2010-08-25 04:09:35 IP_Relay OutboundConnectionResponse SMTPSVC1 EXSRV – 25 – – 250+2.1.0+Ok 0 0 12 0 15 SMTP – – – -
2010-08-25 04:09:35 IP_Relay OutboundConnectionCommand SMTPSVC1 EXSRV – 25 RCPT – TO:+ORCPT=rfc822;elena.glukhovskaya@sismedia.ru 0 0 4 0 15 SMTP – – – -
2010-08-25 04:09:35 IP_Relay OutboundConnectionResponse SMTPSVC1 EXSRV – 25 – – 250+2.1.5+Ok 0 0 12 0 15 SMTP – – – -
2010-08-25 04:09:35 IP_Relay OutboundConnectionCommand SMTPSVC1 EXSRV – 25 DATA – – 0 0 4 0 15 SMTP – – – -
2010-08-25 04:09:35 IP_Relay OutboundConnectionResponse SMTPSVC1 EXSRV – 25 – – 354+End+data+with+. 0 0 35 0 15 SMTP – – – -
2010-08-25 04:09:35 relay_postfix SMTPSVC1 EXSRV_IP 0 QUIT – relay_postfix 240 1843 128 1504 1672 SMTP
Как с этим бороться?
в настройках стоит только Recipient Filter на AD работает проверял
Релеи открыты только для определенных внутренних хостов
авторизация smtp anonymous без галки resolve, basic, Integrated authenticated users
У клиентов и на сервере стоят антивирусы.
|
|
|
09:20
Август 26, 2010
|
Pavel Nagaev
| | Novorossiysk | |
| Admin
| posts 1594 | |
|
|
Вы на posfix импортируете список адресов в AD? чтобы он все подряд не принимал до собавки *@domain.ru
Recipient Filter на AD не эффективно, получателей надо на Postfix проверять.
Что в этих письмах, может это NDR спам?
|
|
|
|
|
11:51
Август 26, 2010
|
Alexxx
| | |
| Guest
| | |
|
|
Не могу понять откуда эти письма отсылаются ? вариант с червем конечно допускаю но маловероятно.
Хотелось бы пресекать это на уровне Exchange дабы уменьшить нагрузку
Нет это не NDR
На postfixe стоит антиспам
По поводу импорта адресов на postfix не вижу смысла поскольку это исходящая почта, а она должна приходить любому адресату
Вот как реализовать схему фильтрации на исходящую почту по отправителю, чтобы к примеру они были только из нашего домена?
|
|
|
12:27
Август 26, 2010
|
Pavel Nagaev
| | Novorossiysk | |
| Admin
| posts 1594 | |
|
|
postfix только для отправки используется?
|
|
|
|
|
15:34
Август 26, 2010
|
Alexxx
| | |
| Guest
| | |
|
|
нет и принимает тоже но только в качестве антиспама.
|
|
|
15:38
Август 26, 2010
|
Pavel Nagaev
| | Novorossiysk | |
| Admin
| posts 1594 | |
|
|
Поскольку postfix не берет адреса из AD, он принимает ВСЕ сообщения для домена @domain.ru. Поэтому Exchange приходится отбивать ненайденных пользователей, но тогда postfix должен отправлять наружу сообщения. Кстати, а в свойствах 2003 SMTP virtual server галочка включена о применении фильтра о проверке в AD?
|
|
|
|
|
15:40
Август 26, 2010
|
Alexxx
| | |
| Guest
| | |
|
|
Ну конечно стоит я проверял это фильтр user unknown.
|
|
|
15:44
Август 26, 2010
|
Alexxx
| | |
| Guest
| | |
|
|
Вопрос как выяснить откуда идет этот исходящий спам не прибегая к сниферам ?
|
|
|
15:45
Август 26, 2010
|
Pavel Nagaev
| | Novorossiysk | |
| Admin
| posts 1594 | |
|
|
смотреть трекинг и смтп логи. Можно логирование на сервере поднять на SMTP события.
|
|
|
|
|
15:50
Август 26, 2010
|
Alexxx
| | |
| Guest
| | |
|
|
По трекингу можно только отследить где застряло сообщение
смтп лог я в начальном посте указал, что по нему можно выяснить ? )
Диагностинг логинг повышенный, но вроде он тоже мало чем поможет в выявлении реальног отправителя или хоста отправителя.
|
|
|
16:00
Август 26, 2010
|
Pavel Nagaev
| | Novorossiysk | |
| Admin
| posts 1594 | |
|
|
В логах видно IP адрес, это письмо пришло с какой-то машины в систему или с сервера, а так-же нужно знать природу этих писем и содержимое. Если это сервер, то проанализировать сообщения, полученные до этого. Мне кажется, что это или ндры или все же не проверяет Exchange получателя.
Чтобы дальше помочь, нужна схема сети с IP адресами серверов и содержимое уходящих писем, Internet заголовок в них
|
|
|
|
|
16:06
Август 26, 2010
|
Alexxx
| | |
| Guest
| | |
|
|
Это письмо попало в очередь на исходящий коннектор на постфикс, откуда оно попало не знаю
Как мне выяснить природу и содержимое писем ?
Этот получатель есть он у меня как контакт а вот отправитель неизвестен.
Как мне добыть содержимое исходящих писем ?
|
|
|
16:19
Август 26, 2010
|
Alexxx
| | |
| Guest
| | |
|
|
Еще непонятно в свойствах 2003 SMTP virtual server логирование стоит расширенное и стоят все галки почему в смтп логе нету IP клиента а есть только то что в первом посте ?
|
|
|
09:10
Май 26, 2011
|
мазафака
| | |
| Guest
| | |
|
|
Открываем Exchange Systems manager First administrative group server (name server) Routing group first routing group Connectors Диспетчер соединений Свойства Address Space если стоит галочка Allow messages to be relayed to these domain то снимите её
|
|
|
09:10
Май 26, 2011
|
мазафака
| | |
| Guest
| | |
|
|
Открываем Exchange Systems manager First administrative group server (name server) Routing group first routing group Connectors Диспетчер соединений Свойства Address Space если стоит галочка Allow messages to be relayed to these domain то снимите её
|
|
Записи
Форум
