Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Exchange Server (http://forum.oszone.net/forumdisplay.php?f=76)
-   -   [решено] Входящий спам на несуществующие адреса (http://forum.oszone.net/showthread.php?t=119344)

Imko 07-10-2008 11:21 917775

[решено] Входящий спам на несуществующие адреса
 
MS Exchange 2003 SP2, единственный в домене.
С весны этого года стал наблюдать заметное увеличение входящего трафика.
Проанализировав трафик, я нашел что это все спам, при чем на несуществующие адреса моего домена.
Т.е. Exchange сначало принимал письмо а потом уже смотрел кому оно собственно предназначается.
Пересмотрев форумы и статьи, я нашел ответ, и установил фильтрацию по получателю.
Установил флаг "Filter recipients who are not in The Directory" в MessageDilivery, и соотвественно. включил фильтрацию в SMTP Virtual Server.
Стало просто замечательно: входящий трафик уменьшился в 4 раза.
НО теперь отправитель получает NDR что " user not found". - (это я проверил экспериментально)
таким образом я могу тупо нарваться на сканирование на существование адресов моего домена.
Вопрос: как заставить Exchange не посылать подобные NDR ?

PS В разделе Connectors - Internet флаг System Messages отключен.

AdWeb 07-10-2008 13:59 917878

если не ошибаюсь гдет в доках о настройке ексченджа было описано о необходимости изменения параметра в реестре, меняется время ответа если адресата не существует, точно не помню возможно на сайте http://www.redline-software.com/rus/

Oleg Krylov 07-10-2008 15:14 917932

Отключение NDR, на самом деле, грубое нарушение RFC. А если человек просто ошибся в написании адреса? По Вашему, он никогда об этом не узнает.
Существует штатное решение по борьбе с т.н. Directory Harvesting'ом (Поиском валидных адресов по NDR), и это решение - tar pitting (Замедление ответов SMTP-сервера). Как включить - тут: http://support.microsoft.com/default.aspx?kbid=842851
Второй вариант: использование хорошего спам-фильтра.

AdWeb 07-10-2008 19:58 918180

tar pitting (Замедление ответов SMTP-сервера)
вот это и имел ввиду

Imko 07-10-2008 22:11 918280

За ответы, спасибо.
Когда писали правила smtp спама как класса не было ))
На фоне всеувеличивающегося спама, я готов пожертвовать дружелюбностью к респонденту.
Пусть правильно пишет адрес.
Деструктивные черты спама не только в засорении ящиков (которые можно чистить различными спам-фильтрами), есть еще одна - увеличение входящего трафика и соответственно увеличение сумм в счетах от провайдера.
Вариант с отложенным ответом не совсем хорош: атакующий робот может работать с базой данных сгенерированных адресов и выставить таймаут на ожидание отклика.
Если ничего лучшего нет - поробую это, по крайней мере сильно затруднит сбор ликвидных адресов.

Хороший спам-фильтр? С напарником тестировали касперского и доктора-веба (оба варианта для Exchange, там и антивир и антиспам в одном флаконе, и оба пока в бета-версии). Результаты были вполне неплохие, но была неполадка. Периодически подвисала служба SMTP Server. Это могло происходить и раз в неделю и несколько раз за день. В журналах ошибок не было, проявлялось это так: просто переставала поступать почта, на выход работала. SMTP server в службах отображался как рабочий, попытки перезапустить службу приводили к ее зависанию.
Неполадка полностью устранялась путем удаления касперского и докторавеба)

Пока пользуюся штатными инструментами Exchange : в частности IMF.
Правда сегодня всплыла интересная особеность: IMF блокировал все письма с mail.ru, при любых настройках рангов IMF. Если письмо с mail.ru было отправлено через Ответ, письмо проходит через фильтр.

Oleg Krylov 08-10-2008 08:55 918527

IMF в Exchange 2003 - мягко скажем, лажа полная.
Не хватает знаний настроить локальный фильтр пути два:
1. Читать документацию\обратиться в Support
2. Использовать Hosted Services
Доктор Веб в качестве спам-фильтра - примерно схож с IMF. Т.е. см. выше.
Касперский хорош только в виде опять же Hosted Services. Оптимальный выбор - ORF или GFI.
Ну кто-то еще спам-оборону хвалит от Яндекса. Честно скажу не впечатлен.
Файловый антивирус кстати на почтовом сервере - то еще зло. Особенно с настройками по дефолту. Это тоже может привести к подвисанию SMTP.
А по поводу RFC и спама: вы за выходом их следите вообще? Почему все считают, что их писали при царе Горохе? Не поверите, но их и сейчас пишут. И будут продолжать. Но нигде не советуют отключить NDR.
И высказывание: "Пусть правильно пишет адрес" - похоже на комплекс Бога. IT - это не цари и Боги, это в первую очередь обслуживающий персонал, ничем особо не отличающийся от официантов и горничных, поставленный на службу бизнесу, и его потребности удовлетворяющий. В небольших компаниях, согласен, можно и так ответить клиенту, а как быть админу Газпрома например? Его за такое высказывание в Уренгой отправят.

Imko 08-10-2008 13:36 918774

Благодарю Олега за предоставленые мнения и советы. Я их обязательно учту . )
Локальный фильтр (как я понял, имеется в виду штатный инстументарий Exchange) имеет свои ограничения и логику работы, и вполне вероятно, не сможет полностью удовлетворить меня.
Об использовании услуг по аусорсингу почтового трафика я уже думал, но пока организация, в которой я работаю не готова к этому шагу.
А вот второй частью ответа я просто возмущен.
Скажите, а были ли выпуски RFC, которые полностью делали невозможным рассылок спама?
Совет по неотключению NDR родился потому, что без NDR невозможно эффективо решать почтовые проблемы. Но...
Вот пожарные также не рекомендуют устанавливать железные двери в квартирах и коридорах.
А граждане, больше обеспокоенные сохраностью своего имущества, ставят их. И в Москве их уже наверное 2/3 от общего количество квартир.
Так что же делать: жить по всем правилам (а очень часто правила различных организаций притиворечат друг другу) или жертвовать чем-либо для достижении другой цели.
Я ведь непросто так написал в своем посте
Цитата:

Цитата Imko
я готов пожертвовать дружелюбностью к респонденту »

. Я ведь этим указал, что иду на этот шаг сознательно, пытаясь хоть немного выиграть в борьбе со спамом.
Слова про комплекс бога и места IT-отдела я , пожалуй, опущу (их можно вполне вернуть Вам обратно, что бы Вы сами подумали о своих комплексах), а то ведь поругаемся.
И при чем здесь Газпром? Имея такой большой ресурс, можно реализовать другие решения.
Я думаю, он вполне способен купить провайдера, нанять толпу операторов, которые в спамовых отстойниках будут выискивать информативные письма (денег у него хватит).
Вы можете гарантировать 100% фильтрацию спама и полностью исключить ложные срабатывания?
Что сделают с админом из Газпрома за такое утверждение?
Моя же контора ограничена в средствах и я как администратор просто обязан сделать не только хорошо но еще и недорого.
Все мы на каждом шагу решаем задачи оптимизации, мы вынуждены чем-то жертвовать для достижении какой-либо цели. Даже в продуктовом магазине, покупая колбасу, думаем какую и сколько купит, особенно, если еще нужно оплатить счет за домашний интернет, а в кошельке не густо. )))

Oleg Krylov 08-10-2008 14:04 918796

Ну ладно. Согласен, резко. Но основной смысл Вы, я так понял, увидели. Ругаться не будем, ибо бессмысленно :)
Теперь конкретика опять же...
RFC не могут никак повлиять на рассылку спама. Спам - это рак почтовых систем. Уродливая аномалия. Ведь застрелили же директора Ц-е-н-т-р-а А-м-е-р-и-к-а-н-с-к-о-г-о А-н-г-л-и-й-с-к-о-г-о. Но видимо его опыт никого не учит.
100% гарантию, как говорил Остап Бендер, дает полис Росгосстраха. И даже через Hosted Services, я например использую Касперского, все равно пролетают письма. И ложные срабатывания есть. Мало, но есть.
От IMF откажитесь, не стоит даже Ваших усилий. Попробуйте для начала ORF. Не такой дорогой как GFI, но эффективный. Денег не хватает. Согласен. Тот же пресловутый Газпром строго бюджетирует расходы на IT. И там тоже нужно упорно доказывать, часто не один месяц проводя в спорах, что какой-то сервис необходим, и на него нужно тратить деньги. Не сможете убедить, а претензии руководства будут продолжаться, ставьте пиратки на их страх и риск.

Imko 08-10-2008 14:42 918833

Обязательно рассматрю ORF и GFI. Еще раз, спасибо за совет и рекомендации фильтров.

Все равно придеться этот вопрос изучать, спамовский трафик, хоть и значительно сократился, но продолжает медленно увеличиваться. Потому я и подозреваю сканирование валидных адресов.
да я у MS нашел службы Hosted service, то же оказывают услуги. )

Все, тема исчерпана, можно закрывать.

PS как ее закрыть?

Oleg Krylov 08-10-2008 20:43 919120

Exchange Hosted Services даже дешевле чем у Kaspersky Hosted Security. Замедление SMTP-ответов не помогло?

Imko 09-10-2008 11:34 919507

А как замедление ответов может повлиять на спам в краткосрочной перспективе?
Он должен замедлить темпы рост спама.
Обычные спам-боты тупо шлют письма, и им нафиг не нужны никакие NDRы.
А вот на создание спамоводами своих баз адресов, эта штука и должна повлиять.
Чтобы увидить эффект этого действия нужно пронаблюдать входящий трафик в течении нескольких недель.

А hosted services пойдут в мою копилку знаний, пригодиться.
Когда летом я говорил с руководством об общей проблеме спама, я упоминал в качестве решения перенос почтовика или аудита почтового трафика стороней фирмой. Только я тогда не знал кто оказывает такие услуги и как это называется.
Теперь я это знаю.

Oleg Krylov 09-10-2008 11:45 919515

Реально увидеть действие тар питтинга можно по уменьшению количества NDR в очередях. В таком случае наблюдать нужно больше исходящий траффик.

Delirium 10-10-2008 01:51 920181

Присоединюсь к советам Oleg Krylov насчет GFI - настроек у него немного, работает на ура. Проблему, озвученную в шапке темы, решает на 100%. Я когда отстраивал, весь спам выставлял пересылать на свой ящик для анализов ложных срабатывай и создания качественного белого списка. Через неделю включил Байесовскую фильтрацию, а так как копия всей почта предприятия сыпитсы в отдельный public folder, то я его подключил к Outlook и весь спам просочившийся(4-5 писем в сутки из общего объема 4000 писем в день, 98% спама) пересылаю в общую папку GFI для сбора спама. Таким образом, за 2 месяца я практически забыл, что такое спам на предприятии.


Время: 20:28.

Время: 20:28.
© OSzone.net 2001-