Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Exchange Server (http://forum.oszone.net/forumdisplay.php?f=76)
-   -   [решено] Спам от пользователей копании (http://forum.oszone.net/showthread.php?t=145776)

wolland 21-07-2009 19:49 1173917
Спам от пользователей копании
 
Последнее время начал приходить спам от сотрудников компании.
Пробежал ручками по smtp, получил следующее

Код:
220 mail.oprf.ru Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at
Tue, 21 Jul 2009 19:29:42 +0400
ehlo test.ru
250-mail.mydomain.ru Hello [16.55.77.40]
250-TURN
250-SIZE
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250-X-EXPS GSSAPI NTLM LOGIN
250-X-EXPS=LOGIN
250-AUTH GSSAPI NTLM LOGIN
250-AUTH=LOGIN
250-X-LINK2STATE
250-XEXCH50
250 OK
mail from: am@mydomain.ru
250 2.1.0 am@mydomain.ru....Sender OK
rcpt to: am@mydomain.ru
250 2.1.5 am@mydomain.ru
data
354 Start mail input; end with <CRLF>.<CRLF>
test
.
250 2.6.0 <EXCHANGEJxV0HvBgUp500001647@mail.mydomain.ru> Queued mail for delivery
То есть пересылка почты внутри ведется без какой либо аудентификации.
Если отключтить anonymous access в default smtp virtual server,
Код:
mail from: am@mydomain.ru
454 5.7.3 Client does not have permission to submit mail to this server.
Релей с внешних адресов закрыт.

Где копать?

Delirium 22-07-2009 01:04 1174199
Копать очень просто. Этот спам - извне, а не от ваших пользователей. Зовется спам с подменой отправителя. У меня это основная проблема в спаме, все остальное отсеивается.
Для того, чтобы проверить, так ли это у вас, откройте письмо спама, сохраните его как msg и откройте блокнотом содержимое. Ищите строки smtp from И прочее. Там должен быть другой адрес.
А с telnet действительно можно отправить письма от себя себе же. Я так часто с дома делаю, когда проверяю работоспособность почты :)

wolland 22-07-2009 10:56 1174434
Единственноые строки с smtp содержат слежующее

Код:
Received: from YBWUZJO ([59.93.123.8] RDNS failed) by mail.oprf.ru with Microsoft SMTPSVC(6.0.3790.3959);
        Tue, 21 Jul 2009 13:23:24 +0400
Received: from 59.93.123.8 by mx.maycom.co.jp; Tue, 21 Jul 2009 14:54:16 +0530
Message-ID: <000d01ca09e5$04f66da0$6400a8c0@bassesv3>
From: user@mydomain.ru
To: <user@mydomain.ru>
Код:
user@mydomain.ru                                            SMTP                                                                                                                  user@mydomain.ru                                            EX:/O=MYDOMAIN/OU=FIRST ADMINISTRATIVE GROUP/CN=RECIPIENTS/CN=USER                                                                Ь§@ИАBґ№ +/б‚      /O=MYDOMAIN/OU=FIRST ADMINISTRATIVE GROUP/CN=RECIPIENTS/CN=USER                                                                                                  Full_User_NAME                                  /O=Mydomain/OU=FIRST ADMINISTRATIVE GROUP/CN=RECIP
Но все это содержалось в конце письма, в блоке проверки NOD'ом
Понятно, что mx.maycom.co.jp - это и есть спамер, но куда теперь копать, ведь он не один?

Oleg Krylov 22-07-2009 20:17 1174938
Delirium, двойка :) То, что ты советуешь смотреть - MIME-конверт, там уже все подменено. Нужно смотреть SMTP-log, и сравнивать его с данным конвертом.
wolland, в Exchange 2003 функционала, разрешающего данную проблему нет. Используйте Graylist - дешево и сердито. Принцип можете почитать у меня в блоге. Ну или ставть серьезный спам-фильтр.

wolland 23-07-2009 02:23 1175195
GFI Mail Essantial 12 не справляется с данной задачей.
Ну либо у меня кривые руки

Delirium 23-07-2009 04:56 1175224
Цитата:
Цитата Oleg Krylov
Delirium, двойка То, что ты советуешь смотреть - MIME-конверт, там уже все подменено »
Нифига не двойка, я как раз и хотел увидеть вот эту строку :) :
Цитата:
Цитата wolland
Received: from 59.93.123.8 by mx.maycom.co.jp »
А то может, у него действительно, от самого себя идет :) А так посмотреть просто и быстро :)

Цитата:
Цитата wolland
GFI Mail Essantial 12 не справляется с данной задачей. »
и 14 не справится, и GFI MailSecurity не справится.

А вот по поводу graylisting'а ничего не могу сказать, не настраивал еще.
wolland, Пока что я обхожусь идиотским способом - keyword checking. Забил туда кучу записей со спам писем, пока отсеивает, но это не выход.

wolland 23-07-2009 09:48 1175307
А при чем здесь mail security, это же совсем из другой оперы
Пробовал использовать стандартный фильтр Sender ID но как то хреновая у него продуктивность.
Graylist фильтр в 12gfi у меня включен.. в том то и проблема, что проходит спам только с подменой имен, все остальной благополучно отсеивается.

Oleg Krylov 24-07-2009 10:17 1176299
Цитата:
Цитата wolland
Graylist фильтр в 12gfi у меня включен.. »
Вот так даже? А где включали, если не секрет? Насколько я помню, в GFI MailEssential до сих пор модуля Graylisting'а нет. Поэкспериментуируйте с добавлением в блэклист всего вашего домена, но в этом случае есть подводные камни: POP3 клиенты не смогут отправлять почту, это всякие Outlook Express, The Bat старых версий и Mozillla Thunderbird..., и нужно будет отключать фильтрацию исходящей почты, т.к. иначе исходящая почта может встать.
По поводу модуля Graylisting'а советую поискать в Гугле JEP(S), очень качественный продукт, его бесплатная версия может очень много, ну а купив ее за 200 евро (количество SMTP-серверов, ящиков и т.п. неограничено) получите просто сказочный функционал в виде, например, Auto-WhiteList'а, т.е. белый список будет заполняться по исходящей почте. Супер же :)


Время: 05:28.

Время: 05:28.
© OSzone.net 2001-