Читал я тут на днях Интернет, много думал … и вычитал, что дескать MailSecurity у GFI полная ерунда.  И вспомнилась мне одна давняя история про этот MailSecurity, после которой наша компания купила сей продукт, правда потом от него отказались. Но аргумент для покупки был отличный.  Дело было так… Читать далее …

Как Вы все знаете в 3-5 декабря этого года пройдет ежегодная конференция — «Платформа 2009″, мероприятие, которое просто обязан посетить любой ИТшник. Уровень ИТ специалистов в России растет, уровень докладов тоже. Уже никому не нужны маркетинговые доклады уровня 100, все хотят более полезные, технические доклады.

В этом году Микрософт очень большую надежду возлагает на MVP. Именно MVP помогли сделать доклады для TechDays.ru(на мой взгляд это отличная идея) . Сейчас идет  голосование за доклады на Платформе 2009. Наиболее популярные темы будут представлены на конференции.

Мне довольно тяжело вести встречи «Разговоры об ИТ» по средам, т.к. не видно реакции слушателей. Поэтому я хотел бы почитать вживую и выбрал тему:

Алгоритмы борьбы со спамом и Microsoft Exchange 2007

Тема выбрана не случайно, т.к. спам — это вселенское зло, которое не победили до сих пор и не победят. Борьба сводится не к выбору определенного продукта, а к выбору и настройки целого ряда технологий. О спаме, о причинах его возникновения, о технологиях борьбы со спамом и самое главное — как это все увязать с Exchange 2007 я и хочу поговорить.

В общем,  если тема Вам интересна, если Вы хотите со мной пообщаться вживую — пожалуйста, голосуйте за мой доклад и мы обязательно увидимся на Платформе 2009.

Частенько на форумах по Exchange 2007 звучит вопрос о переполненности очередей сообщениями в домены со странными именами. Если очередь очистить, то эти сообщения появляются вновь. Релей вроде закрыт, но сообщений в очередях огромное количество. Откуда взялись эти сообщения? Пользователи их явно не отправляли. Что делать?

Читать далее …

 Компания GFI Software UK, знакомая каждому почтовому администратору по продуктам безопасности почтовых потоков, а именно GFI Mail Essential и GFI Mail Security, наконец, обратила свое внимание на российский рынок. Вторжение английской компании в Россию ознаменовалось проведением первой партнерской конференции «GFI: Движение с запада на восток», участником которой мне посчастливилось стать.

        Программа состояла из двух секций: для менеджеров подразделений продаж и технических специалистов. Первая секция проходила в первый день, но на нее я не попал, т.к. продажи – это не мой профиль деятельности. Зато ко второй части, которая должна была продлиться два дня, я готовился основательно. Ожидалось участие разработчиков и специалистов службы технической поддержки. Я готовил каверзные вопросы и  потирал руки, в предвкушении получения новой информации.

Читать далее …

Время от времени в форумах ИТ специалисты жалуются на то, что их пользователи получают из некоторых почтовых систем сообщение об ошибке: «#5.5.0 smtp;550 We do not accept mail from dynamic IPs. Please contact support@company.ru>» Что же делать и как ее устранить?

Читать далее …

Greylisting, на мой взгляд, самая перспективная и эффективная технология по борьбе со спамом на сегодняшний день. Вчера я получил очередное подтверждение этому. Не верите?

Читать далее …

Судя по логам, RBL остаются до сих пор одним из самых эффективных способов борьбы со спамом. Но не все RBL работают хорошо, а поведение некоторых заставляет задуматься о мошенничестве, наперсточниках и криминале. Дурацкое сравнение, а вот давайте посмотрим на некоторые вещи.

Вчера получаю жалобу от пользователя на то, что он не может отправить письмо в одну из известнейших компаний в России, которая использует в качестве RBL — растворимый кофе, вместо натурального.

«Сегодня (15.10.2007г.) не удается доставить почту (см.ниже).
Просьба устранить данное ограничение или предоставить мотивированный отказ.»

Что такое «мотивированный отказ» я понятия не имею, но если пользователь хочет, нужно придумывать.

Ошибка такая:

#5.5.0 smtp;571 — MAIL REFUSED — IP (мой сервер) is in RBL black list dnsbl-3.uceprotect.net

Что же, все понятно. IP моего сервера попал в RBL, проверяю здесь: http://www.dnsbl.info и вижу, что только один сервер RBL жалуется на наш IP.

Стал читать внимательнее на сайте http://www.uceprotect.net/en/rblcheck.php и мои волосы начали потихоньку вставать дыбом от такой наглости. UCEPROTECT утверждает, что мой сайт не причем, а во всем виноват провайдер. И знаете какой?

SOVAM-AS Golden Telecom, Moscow, Russia and the Networks 81.211.0.0/17

UCEPROTECT заблокировал всю сеть, все 394752 IP адреса, принадлежащих SOVAM-AS Golden Telecom.  Читаем дальше(красным отметил то, что читать не могу без нервного подергивания ногой):

What means listed at UCEPROTECT-Level 3?
GAME OVER. We and our users have seen enough spam and heared all possible excusions why some lazy providers think to be not responsible for what their customers are doing.

We are not just another blacklist. We really know better. Spam is always a problem tolerated by the provider.

We have very bad news for you: It seems you have chosen the wrong provider.
Your IP was NOT part of a spamrun, but your provider seems to believe that spam is what the internet was made for.
By tolerating your provider doesn’t care about spammers you are also supporting the global spam.
If all people would boycott spammerhaevens, spam-friendly providers wouldn’t even exist.

Please send a compliant to your provider and request him to fix this problem immediatly.
Think about this: You pay him for, that you can use the internet without problems.

If he ignores your complaint or claims he can’t do anything, you should consider to change your provider.
Don’t accept to be fooled. If your provider really wants to stop spam he would install preventive measures.

Can’t you make an exception for me?
We never make exceptions. Requests are futile. Only your provider can fix this problem.

How can my providers total ip-space be removed from UCEPROTECT-Level 3?
After your provider has fixed his problems, the UCEPROTECT-Level 3 listing will be removed automatically and free of charge as soon as the causal Level 1 listings will expire. Every IP listed at Level 1 expires 7 days after we have seen the last abusive action coming from it.
If your provider don’t want to wait for free expiration, he can optionally do Expressdelisting, which is charged a total of 250 EURO.
That is a huge discount compared to our charges for Level 2 or even Level 1 expressdelistings.
It is necessary that problems are fixed in first place, otherwise your providers complete IP-space might end up in Level 3 again within a short timeframe.

Сначала такие громкие слова, а затем дело сводится к получению 250 евро. Ну чем не мошенники.

А теперь давайте подумаем, как можно по легкому срубить денег. Студенты делают свой RBL, который только регистрируется как сервер и ничего не делает. А через время начинают блокировать крупных провайдеров и просить денег. Иногда проще откупиться, а студентам деньги на кефир.

На мой взгляд, подобная ситуация — это просто наглость. Попробовали они заблокировать какого-нибудь крупного провайдера в Штатах, засудили бы.  А кто страдает? Страдают обыкновенные пользователи.

Мы то просто направили почту для проблемного домена через другого провайдера и все, а что вот делать админам, у которых  нет второго провайдера? Правильно, звонить админу в другую организацию и просить добавить свои серверы в белый список.

Обнаружил на сайте certification.ru любопытный пост. Алексей Лобанов (Jim) — автор поста, предлагает свою версию спам фильтра для борьбы со спамом. По его мнению, способ предложенный им наиболее эффективный. Я воздержусь от комментариев, т.к. мне это не интересно. Но идея вполне имеет право на существование и наверняка будет полезна небольшим компаниям, когда нет бюджета на хорошую антиспамовую систему. Самое главное, что это Open Source и если Вас что-то не устраивает, то Вы вполне это можете изменить.

Что сподвигло меня на написание своего скрипта – спам одолел меня окончательно. Как показала статистика, можно от потери пульса придумывать контент-фильтры, но спам в основном сыплется с поддельных адресов. Встроенные средтва Exchange работают не так как хочется, сторонние продукты либо не имеют нужного мне функционала, либо просто дорогие, при этом глючные продукты.

Например, взять технологию Sender ID- в Exchange она есть, но нет защиты от дурака, например, в зоне mail.ru можно увидеть такую запись: v=spf1 ip4:194.67.57.0/24 ip4:194.67.23.0/24 ip4:194.67.45.0/24 ~all. Здесь нет пометки PTR, поэтому для mail.ru технология не работает, админы mail.ru – исправьте 

Мой антиспам имеет защиту от дурака, работает с Sender ID полями mx, ip4, include, пока игнорируте ~all. Сначала проверятеся запись MX, затем Sender ID, остальные Релеи игнорируются, в наши дни вымерли.

Плюсы:

• это как видите Open Source 
• ни при каких ошибках в DNS не зависнет
• поддержваются множестенные записи spf
• записывает действия в журнал Application
• не имеет дыр в безопасности
• не прошедшая проверку почта отправляется в Badmail
• занимает при работе не более 20 килобайт на диске (до 7 файлов)
• работает на Exchange 2003, 2000, либо просто IIS 6 SMTP сервере

Минусы:

• — вынужден использовать файловые операции, из-за того, что не смог перенаправить результаты nslookup в скрипт, а самому квери писать лень, но если у кого-то свыше миллиона писем в день, советую перевести рабочий каталог LOBpath на маленькую флешку
• Данный антиспам не гарантирует получение спама с “белых” почтарей, поэтому дополнительно использую Connection Filtering, советую bl.spamcop.net.

Установка:

скопировать в C:\Inetpub\AdminScripts файлы FILTER.VBS (внизу), smtpreg.vbs (взять в Exchange 2003 SDK),

install.bat (Cscript smtpreg.vbs /add 1 onarrival AntispamLOB CDO.SS_SMTPOnArrivalSink «mail from=*» >reg1.txt
Cscript smtpreg.vbs /setprop 1 onarrival AntispamLOB Sink ScriptName «C:\Inetpub\AdminScripts\FILTER.vbs» >reg2.txt).

Запуcтить install.bat, прерзапустить виртуальный SMTP сервер. Все! Смотрим EventLog 
В качестве вознаграждения просто скажите спасибо 

Скачать скрипт полностью.