Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Exchange Server (http://forum.oszone.net/forumdisplay.php?f=76)
-   -   Edge antiSpam (http://forum.oszone.net/showthread.php?t=230922)

MaleyDarc 21-03-2012 16:58 1884010
Edge antiSpam
 
Добрый.

Код:
Received: from HQTMG01v.mydomain.local (10.0.3.210) by HQEXCA01v.mydomain.local
 (10.0.3.219) with Microsoft SMTP Server (TLS) id 14.2.283.3; Wed, 21 Mar 2012
 16:03:24 +0400
Received: from sys (59.95.195.24) by post.mydomain.ru (192.168.3.33) with
 Microsoft SMTP Server id 14.1.339.1; Wed, 21 Mar 2012 16:03:23 +0400
Received: from apache by inbox.ru with local (Exim 4.63)        (envelope-from
 <blackishch@inbox.ru>)        id MH56VJ-EAP1Q8-4Z        for <support@mydomain.ru>; Wed, 21
 Mar 2012 17:33:23 +0530
To: <support@mydomain.ru>
Subject: =?koi8-r?B?+u/s7/Tv?=
Date: Wed, 21 Mar 2012 17:33:23 +0530
From: =?koi8-r?B?IPPV18/Sz9c=?= <blackishch@inbox.ru>
Message-ID: <7E3A32CC2015579B2E3332277DA3CE11@inbox.ru>
X-Priority: 3
X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset="koi8-r"
Return-Path: blackishch@inbox.ru
Received-SPF: SoftFail (HQEXCA01v.mydomain.local: domain of transitioning
 blackishch@inbox.ru discourages use of 10.0.3.210 as permitted sender)
Received-SPF: SoftFail (HQTMG01v.mydomain.local: domain of transitioning
 blackishch@inbox.ru discourages use of 59.95.195.24 as permitted sender)
X-MS-Exchange-Organization-AuthSource: HQEXCA01v.mydomain.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: inbox.ru
X-MS-Exchange-Organization-SenderIdResult: SoftFail
X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;0 0 0
X-Auto-Response-Suppress: DR, OOF, AutoReply
Вот такой спам валит. Но не понимаю почему. SenderID включен, Reject. Но оно не реджектится. Что еще надо крутить и что проверить/показать?
В общем интересует почему пропустило и как сделать правильную отбивку на Edge Transport.

MaleyDarc 14-05-2012 14:30 1915690
UP.
Не могу найти нормальную статью по настройке EDGE+TMG(на одном хосте) для борьбы со спамом. Идеи?

Oleg Krylov 14-05-2012 16:09 1915759
http://blogs.technet.com/b/yuridioge...g-2010-rc.aspx
http://blogs.technet.com/b/isablog/a...rotection.aspx
http://technet.microsoft.com/en-us/l.../ee513174.aspx
http://retrohack.com/how-to-use-tmg-...nsport-server/
По поводу первого поста: посмотрите не включен ли для support@mydomain.ru параметр BypassAntispam. Ну и смотреть в AgentLog, скорее всего.
Насколько я помню, Exchange по-умолчанию убивает только X-MS-Exchange-Organization-SenderIdResult:Fail, он же (-), он же 0х3. Попробуйте создать транспортное правило на проверку хидера X-MS-Exchange-Organization-SenderIdResult. Если равен SoftFail, или (~) или 0x4, удаляйте.

MaleyDarc 14-05-2012 16:30 1915772
Это первоначальная настройка. Уже давно сделано.
Вопрос в другом. Вот например прилетело сегодня:

Received: from HQTMG01v.mydomain.local (10.0.3.210) by HQEXCA02v.mydomain.local
(10.0.3.219) with Microsoft SMTP Server (TLS) id 14.2.283.3; Mon, 14 May 2012
13:43:04 +0400
Received: from viettel.vn (115.72.1.41) by post.mydomain.ru (192.168.3.33) with
Microsoft SMTP Server id 14.1.339.1; Mon, 14 May 2012 13:43:00 +0400
Subject: =?koi8-r?B?4PLp5On+5fPr6eUg9fPs9efpIOvv7ubp5OXu4+nh7Pju7w==?=
To: <support@mydomain.ru>
From: =?koi8-r?B?IPPNydLOz9c=?= <hookah71@gmail.com>
Reply-To: <hookah71@gmail.com>
Content-Type: multipart/alternative; boundary="----------Q29SJJXJRPDFWY7T"
Message-ID: <20120514164302.VVR8GL9F@narod.ru>
Date: Mon, 14 May 2012 16:43:02 +0700
MIME-Version: 1.0
Return-Path: natchezye44@narod.ru
Received-SPF: Neutral (HQEXCA02v.mydomain.local: 10.0.3.210 is neither
permitted nor denied by domain of hookah71@gmail.com)
Received-SPF: Neutral (HQTMG01v.mydomain.local: 115.72.1.41 is neither
permitted nor denied by domain of hookah71@gmail.com)
X-MS-Exchange-Organization-AuthSource: HQEXCA02v.mydomain.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-PRD: gmail.com
X-MS-Exchange-Organization-SenderIdResult: Neutral
X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;0 0 0
X-Auto-Response-Suppress: DR, OOF, AutoReply

И так. Что мы имеем: НЕсработавший антиспам по ReverceDNS. Почему не сработал? ХЗ. По логу не понятно. Точнее по логу это НЕСПАМ. Так какую гайку крутить? Так же не понятно куда делось X-MS-Exchange-Organization-SCL из заголовка?!

Oleg Krylov 15-05-2012 12:34 1916256
C RDNS Lookup вопрос сложный, переложили с явной проверки на SenderReputation Agent (он у вас включен, кстати?)
Заголовка да, нет. Вместо него Received-SPF. Который говорит, что это не спам.

MaleyDarc 15-05-2012 13:43 1916302
Включены следующие настройки:

Identity Enabled Priority
-------- ------- --------
Connection Filtering Agent True 1
Address Rewriting Inbound Agent True 2
Edge Rule Agent True 3
Content Filter Agent False 4
Protocol Analysis Agent True 5
Attachment Filtering Agent True 6
Address Rewriting Outbound Agent True 7
FSE Routing Agent True 8
Sender Id Agent True 9
Sender Filter Agent True 10
Recipient Filter Agent True 11
FSE Connection Filtering Agent True 12
FSE Content Filter Agent True 13

Что еще смотреть? Как продиагностировать работу фильтров? Почему проше спам?


Время: 18:42.

Время: 18:42.
© OSzone.net 2001-