Антиспам-фильтр LOB для Exchange 2003
Как вы наверное знаете, неудобства – тоже один из двигателей прогресса. И неудовлетворенность текущим состоянием дел сподвигает светлые умы всех времен на улучшение того что нас окружает.
Так, мой друг Алексей Лобанов, системный администратор и талантливый инженер однажды задался идеей некоторой модернизации и доработки антиспам механизмов для Exchange Server 2003.
«Что сподвигло меня на написание своего скрипта – спам одолел меня окончательно. Как показала статистика, можно до потери пульса придумывать контент-фильтры, а спам в будет сыпатся с поддельных адресов. Встроенные средтва Exchange работают не так как хочется, сторонние продукты либо не имеют нужного мне функционала, либо просто дорогие, при этом глючные продукты. Например, взять технологию Sender ID- в Exchange она есть, но нет защиты от дурака, например, в зоне mail.ru можно увидеть такую запись: v=spf1 ip4:194.67.57.0/24 ip4:194.67.23.0/24 ip4:194.67.45.0/24 ~all. Здесь нет пометки PTR, поэтому для mail.ru технология не работает.»
Скрипт был опробован нами и действительно показывает неплохие результаты.
«Антиспам LOB – это фильр, встраеваемый в транспорт SMTP
Использует SPF технологию и личные наработки
Пишет информацию обо всех письмах в EventLog.Для корректной работы механизма, SMTP-сервер должен быть «фронтовым» и иметь публичный адрес (т.е. перед ним не должно стоять релеев).
Механизм опробован и годен для Exchange 2000, Exchange Server 2003 или SMTP-relay (IIS)»
Алексей Лобанов, 2008.
| Недавно Алексей в очередной раз улучшил скрипт, и перед вами представлена его новая версия Antispam LOB v3.1 |
 |
| Version History | |
| v 3.0 | - Экономит трафик – не делает доставку самого письма - Пишет отчеты в EventLog |
| v 3.1 | - добавлен счетчик статистики спама (пропущено, отсеяно, в процентах) |
Вопросы по функциональности – к автору: Алексей Лобанов A.Lobanov (#) mail . ru
Пробуйте, дамы и господа!
вот такой вопрос – «Для корректной работы механизма, SMTP-сервер должен быть “фронтовым” и иметь публичный адрес (т.е. перед ним не должно стоять релеев).» , у меня SMTP опубликован на цыске, то есть внешний мир обращается к нему по рутабельному адресу, а в локальной сети он ессно имеет 192.168.х.х и стоит за той самой цыской. Стоит ли мне пробывать решение Алексея в текущем окружении, или выносить релей в космос? Спасибо.
В принципе, мы подозревали, что обычно, организации защищают свои почтовые front- сервера фаерволлами, это нормальное явление, и вы не исключение. То, что требуется в описании фильтра – это чтобы перед вашим Exchange Server 2003, не стояло бы каких-нибудь пингвинов или IIS, с функциями релея, принимающих почту самостоятельно, для последующей передачи вашему почтовику.
Так что все нормально, можете применять (но сначала в тестовой среде разумеется). Успехов!
Пользуюсь грейлистингом, реализация – JEPS (Proxmea). Эффективно и дешево. Но и Ваше решение посмотрю.
To tester:
публикацией на Cisco не занимался, поэтому не подскажу какой командой задавать настройку, а у меня стоит ISA 2004, в правиле публикации на вкладке To должна быть галка:
Requests appear to come from the original client
To Andrey A Dengin:
– может загонять его в stop list на 24 часа по умолчанию.
Кстати GrayList фильтр реализован в Exchange Server 2007 штатными средствами. Есть такой Sender Reputation Filter, который по праву может называться «intelligent», и который на основании ряда тестов, и плохой или хорошей «кармы» отправителя в целом
to Jim:
меня не смущает публикация релея, меня смутило «Для корректной работы механизма, SMTP-сервер должен быть “фронтовым” и иметь публичный адрес (т.е. перед ним не должно стоять релеев).»
Теперь я думаю, что корректнее оставить «должен быть фронтовым», без публичной адресации
To tester:
главное что все правильно поняли.
To All:
Ну что, кто-нибудь еще попробовал фильтр? Отзывы? Предложения? Комментарии?
Фильтр обновился!
v 3.1
- добавлен счетчик статистики спама (пропущено, отсеяно, в процентах)
to Maxim
/*Кстати GrayList фильтр реализован в Exchange Server 2007 штатными средствами. Есть такой Sender Reputation Filter, который по праву может называться “intelligent”, и который на основании ряда тестов, и плохой или хорошей */
А поподробней нельзя?
или подскажите ссылкой где посмотреть
Sender Reputation Filter.
Стандартный антиспам фильтр Exchange Server 2007. Выполняет функцию не совсем gray-list, а скорее «стоп-листа».
На протяжение всего времени работы Exchange Server, SRF учитывает особенности доставки писем от ВСЕХ (внешних) отправителей, с которыми имеет дело transport pipe Exchange’а. Учитываются условия приема, интенсивность засылки, реакция всех прочих антиспам фильтров на отправителя, IP адрес его MTA, содержимое писем, частота блокировки писем с этого (IP/mail) адреса и т.п. В этоже время формируется рейтинг каждого отправителя, SRL – Sender Reputation Level.
Администратор выставляет пороговое значение доверия по 9ти-бальной шкале, после превышения которого отправителем, его IP адрес заносится в IP block list в соседнем Connection Filter. Но не навсегда, только на 24 часа.
Так что спамер имеет все шансы быстро испортить себе карму у Exchange Server’a и перманентно не вылезать из IP block list’а.
Уговорили
будет поподробней, прямо здесь, отдельным постом.