Имеется такая проблема:
Exchange 2003 SP2, GFI MailEssential 12.
Идет фильтрация спама, отлавливает около 95%.
Но около месяца назад начал появляться спам, который проходит всю защиту GFI.
Принцип спам письма :
http://pic.ipicture.ru/uploads/081225/thumbs/WSTXC6qCvq.jpg (http://ipicture.ru/Gallery/Viewfull/10747708.html)
Т.е. письмо ЯКОБЫ посылается человеку от самого себя.


Во вложении само письмо в msg формате. Открыв его блокнотом среди кракозябр видим следующее:

Received: from ancal.com.ar ([121.133.149.149] RDNS failed) by kts.kna.ru with Microsoft SMTPSVC(6.0.3790.3959);
Thu, 25 Dec 2008 10:29:35 +1000
To: <kirpichev@domain.ru>
Subject: We need you here, now!
From: <kirpichev@domain.ru>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Return-Path: kirpichev@domain.ru

Код HTML страницы:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>

</HEAD>
<BODY><a href="http://ironindicate.com/" target="_blank">
<img src="http://ironindicate.com/8dvs9.jpg" border=0 alt="Having trouble viewing this email?
Click here to view as a webpage."></a></BODY></HTML>

В теле письма просто HTML-ка с URL на картинку, которая подгружается при открытии письма.
Байес и другие фильтры, связанные с текстом такой спам не распознают, т.к. в письме нет ни одного слова. В черных списках этих адресов нет(все время разные). Опция в фильтре про Embedded GIF не срабатывает, там bmp либо jpg. Может у кого нибудь есть идея, как отлавливать данный спам?

([121.133.149.149] RDNS failed) »
А проверка на RDNS включена?
Я Пашу Нагаева попиннаю, он говорит у него есть идея как с этим бороться. Проблема в том, что фактически RFC не нарушается, и в поле From: которое идет после DATA, можно набить что угодно. И берется значение From именно оттуда, а не из Mail From:, вот такое вот дело... Лех, я поковыряю GFI, может победим. Сейчас со временем засада полная.

А проверка на RDNS включена? »
не всегда в этих письмах RDNS Failed, приведенный пример скорее исключение из правила.
фактически RFC не нарушается, и в поле From: которое идет после DATA, можно набить что угодно »
Вот потому оно и проходит все фильтры, что по RFC все в порядке :)

В Exchange 2007 при использовании транспортных агентов на Edge это точно режется, по крайней мере Виктор Иванидзе (http://ivasoft.biz) писал агента. И клятвенно обещал, что для пользователей из России этот агент будет бесплатным. А вот в Exchange 2003 как-то кисло с этим.
А ты чего все на 2003-м сидишь, мигрируй уже потихоньку :)

А ты чего все на 2003-м сидишь, мигрируй уже потихоньку »
Причин много.
1 - моя контора не знает слова "лицензионное ПО".
2 - Нет дистрибы 2007 Exchange с ключом(см. п.1).
3 - Нет дополнительного сервера для постепенного мигрирования.

У меня возникла такой вопрос/мысль:
GFI обрабатывает письма, приходящие извне. А если я в черный список включу свой адрес? т.е. в черном списке будет стоять *@kts.kna.ru, и теоретически, раз GFI считает, что это я, то и не будет пропускать эти письма. А извне отправить письмо от имени своего почтовика я не могу никак(кроме как через telnet).
Или же в таком случае GFI будет рубить ВСЮ почту, в том числе и внутреннюю?

Хм. выставил тестово в черный список GFI свой ящик, поставил приоритет модуля черного списка первым для обработки. Письмо через telnet до ящика из моей организации не дошло, обрубилось модулем. Внутри сети почта от меня прошла нормально. Я нашел решение проблемы? или мне кажется? :)

Мда. мне только кажется. Письмо наружу тоже не выпускается с ящика из черного списка....

Да не пройдет такой фокус:) Иди уже Новый год встречай. А после праздников садись писать обработчик на SMTP. По-моему это единственный вариант.

Ну нифига себе, обработчик на SMTP. Я писал под ISA, для сети, и прочей фиговинки, так теперь еще и за протоколы что ли браться? :)

Я, конечно, ничего не понимаю в почтовых серверах, но разве нельзя просто создать какой-нибудь фильтр "Если from: == to: => отложить в спам".
В Гугловской почте каждое шестое письмо в спаме написал я сам себе :)

Можно конечно, и люди пишут. Странно, что большинство программ, использующихся для фильтрации спама не имеют такого функционала... Есть целая категория, т.н. SMTP Event Sink, мало мне понятная пока (надеюсь). Именно там принимается решение и контролируется весь процесс приема и передачи.

А зачем GFI, при отправке наружу, проверяет находится ли отпровитель в черном списке или нет? Мне кажется это излишней нагрузкой на сервер. Если эту опцию отключить, то решение вполне приемлимое.

А зачем GFI, при отправке наружу, проверяет находится ли отпровитель в черном списке или нет? Мне кажется это излишней нагрузкой на сервер. Если эту опцию отключить »
В упор не вижу, где это можно отключить :)

В упор не вижу, где это можно отключить »
Я чисто риторически... :)

Delirium,
Такая же точно проблема один в один. Борюсь с таким спамом используя GFI MailSecurity.

Telepuzik, если не сложно, уточни, что именно в MailSecurity необходимо выставить для избавления от подобного спама.

В "Content Checking" создал правило, на закладке "Subject" забиваю заголовки писем, на закладке "Body" забиваю слова чаще всего встречающиеся в теле писем. Примерно 80 % такого спама блокируется.

Такой принцип у меня используется в GFI Mail Essentials. Чувствую, придется на досуге заняться написанием модуля для SMTP.....

Предложение коллеги Telepuzik - обходной путь. Работать будет, конечно. Но слишком много телодвижений. Delirium, посмотри в GFI ME в сторону Custom Blacklist и сверку SMTP FROM и MIME FROM. Сам я не делал подобного, и времени, КАК ВСЕГДА в минусе, но ты все-таки программист, в отличие от меня, должен разобраться.