Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Exchange Server (http://forum.oszone.net/forumdisplay.php?f=76)
-   -   Спам письмо от имени внутреннего ящика (http://forum.oszone.net/showthread.php?t=126964)

Delirium 25-12-2008 05:08 989672
Спам письмо от имени внутреннего ящика
 
Вложений: 1
Имеется такая проблема:
Exchange 2003 SP2, GFI MailEssential 12.
Идет фильтрация спама, отлавливает около 95%.
Но около месяца назад начал появляться спам, который проходит всю защиту GFI.
читать дальше »
Принцип спам письма :

Т.е. письмо ЯКОБЫ посылается человеку от самого себя.


Во вложении само письмо в msg формате. Открыв его блокнотом среди кракозябр видим следующее:
читать дальше »

Received: from ancal.com.ar ([121.133.149.149] RDNS failed) by kts.kna.ru with Microsoft SMTPSVC(6.0.3790.3959);
Thu, 25 Dec 2008 10:29:35 +1000
To: <kirpichev@domain.ru>
Subject: We need you here, now!
From: <kirpichev@domain.ru>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Return-Path: kirpichev@domain.ru


Код HTML страницы:
читать дальше »
HTML код:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>

</HEAD>
<BODY><a href="http://ironindicate.com/" target="_blank">
<img src="http://ironindicate.com/8dvs9.jpg" border=0 alt="Having trouble viewing this email?
Click here to view as a webpage."></a></BODY></HTML>


В теле письма просто HTML-ка с URL на картинку, которая подгружается при открытии письма.
Байес и другие фильтры, связанные с текстом такой спам не распознают, т.к. в письме нет ни одного слова. В черных списках этих адресов нет(все время разные). Опция в фильтре про Embedded GIF не срабатывает, там bmp либо jpg. Может у кого нибудь есть идея, как отлавливать данный спам?

Oleg Krylov 25-12-2008 12:17 989831
Цитата:
Цитата Delirium
([121.133.149.149] RDNS failed) »
А проверка на RDNS включена?
Я Пашу Нагаева попиннаю, он говорит у него есть идея как с этим бороться. Проблема в том, что фактически RFC не нарушается, и в поле From: которое идет после DATA, можно набить что угодно. И берется значение From именно оттуда, а не из Mail From:, вот такое вот дело... Лех, я поковыряю GFI, может победим. Сейчас со временем засада полная.

Delirium 26-12-2008 07:29 990465
Цитата:
Цитата Oleg Krylov
А проверка на RDNS включена? »
не всегда в этих письмах RDNS Failed, приведенный пример скорее исключение из правила.
Цитата:
Цитата Oleg Krylov
фактически RFC не нарушается, и в поле From: которое идет после DATA, можно набить что угодно »
Вот потому оно и проходит все фильтры, что по RFC все в порядке :)

Oleg Krylov 26-12-2008 11:58 990629
В Exchange 2007 при использовании транспортных агентов на Edge это точно режется, по крайней мере Виктор Иванидзе писал агента. И клятвенно обещал, что для пользователей из России этот агент будет бесплатным. А вот в Exchange 2003 как-то кисло с этим.
А ты чего все на 2003-м сидишь, мигрируй уже потихоньку :)

Delirium 29-12-2008 01:51 992667
Цитата:
Цитата Oleg Krylov
А ты чего все на 2003-м сидишь, мигрируй уже потихоньку »
Причин много.
читать дальше »
1 - моя контора не знает слова "лицензионное ПО".
2 - Нет дистрибы 2007 Exchange с ключом(см. п.1).
3 - Нет дополнительного сервера для постепенного мигрирования.

Delirium 31-12-2008 04:09 994276
У меня возникла такой вопрос/мысль:
GFI обрабатывает письма, приходящие извне. А если я в черный список включу свой адрес? т.е. в черном списке будет стоять *@kts.kna.ru, и теоретически, раз GFI считает, что это я, то и не будет пропускать эти письма. А извне отправить письмо от имени своего почтовика я не могу никак(кроме как через telnet).
Или же в таком случае GFI будет рубить ВСЮ почту, в том числе и внутреннюю?

Delirium 31-12-2008 06:00 994284
Хм. выставил тестово в черный список GFI свой ящик, поставил приоритет модуля черного списка первым для обработки. Письмо через telnet до ящика из моей организации не дошло, обрубилось модулем. Внутри сети почта от меня прошла нормально. Я нашел решение проблемы? или мне кажется? :)

Delirium 31-12-2008 06:23 994287
Мда. мне только кажется. Письмо наружу тоже не выпускается с ящика из черного списка....

Oleg Krylov 31-12-2008 11:20 994389
Да не пройдет такой фокус:) Иди уже Новый год встречай. А после праздников садись писать обработчик на SMTP. По-моему это единственный вариант.

Delirium 01-01-2009 04:44 994895
Ну нифига себе, обработчик на SMTP. Я писал под ISA, для сети, и прочей фиговинки, так теперь еще и за протоколы что ли браться? :)

Coutty 01-01-2009 09:28 994927
Я, конечно, ничего не понимаю в почтовых серверах, но разве нельзя просто создать какой-нибудь фильтр "Если from: == to: => отложить в спам".
В Гугловской почте каждое шестое письмо в спаме написал я сам себе :)

Oleg Krylov 02-01-2009 01:55 995376
Можно конечно, и люди пишут. Странно, что большинство программ, использующихся для фильтрации спама не имеют такого функционала... Есть целая категория, т.н. SMTP Event Sink, мало мне понятная пока (надеюсь). Именно там принимается решение и контролируется весь процесс приема и передачи.

MD@nshin 11-01-2009 09:28 1003473
А зачем GFI, при отправке наружу, проверяет находится ли отпровитель в черном списке или нет? Мне кажется это излишней нагрузкой на сервер. Если эту опцию отключить, то решение вполне приемлимое.

Delirium 11-01-2009 09:49 1003482
Цитата:
Цитата MD@nshin
А зачем GFI, при отправке наружу, проверяет находится ли отпровитель в черном списке или нет? Мне кажется это излишней нагрузкой на сервер. Если эту опцию отключить »
В упор не вижу, где это можно отключить :)

MD@nshin 11-01-2009 10:42 1003504
Цитата:
Цитата Delirium
В упор не вижу, где это можно отключить »
Я чисто риторически... :)

Telepuzik 12-01-2009 15:04 1005025
Delirium,
Такая же точно проблема один в один. Борюсь с таким спамом используя GFI MailSecurity.

Delirium 13-01-2009 05:00 1005925
Telepuzik, если не сложно, уточни, что именно в MailSecurity необходимо выставить для избавления от подобного спама.

Telepuzik 13-01-2009 09:45 1005996
В "Content Checking" создал правило, на закладке "Subject" забиваю заголовки писем, на закладке "Body" забиваю слова чаще всего встречающиеся в теле писем. Примерно 80 % такого спама блокируется.

Delirium 14-01-2009 02:39 1006964
Такой принцип у меня используется в GFI Mail Essentials. Чувствую, придется на досуге заняться написанием модуля для SMTP.....

Oleg Krylov 14-01-2009 09:24 1007073
Предложение коллеги Telepuzik - обходной путь. Работать будет, конечно. Но слишком много телодвижений. Delirium, посмотри в GFI ME в сторону Custom Blacklist и сверку SMTP FROM и MIME FROM. Сам я не делал подобного, и времени, КАК ВСЕГДА в минусе, но ты все-таки программист, в отличие от меня, должен разобраться.

Delirium 15-01-2009 00:58 1007987
Помимо GFI MailEssential поставил и MailSecurity. После внесения кучи правил 95% спама отсеялось, но, как верно подметил Oleg Krylov, слишком много телодвижений :). Custom Blacklist у меня используется, а вот насчет MIME FROM надо будет глянуть повнимательней.

Delirium 22-09-2010 09:49 1501403
Похоже, решение найдено. Огромное спасибо Павлу Нагаеву за предложенный вариант.

Описание и решение здесь


Время: 05:34.

Время: 05:34.
© OSzone.net 2001-